Was Unternehmen ab dem 6. Dezember 2025 zur Cybersicherheit wissen müssen

Mit der Veröffentlichung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ am 5. Dezember 2025 hat der Gesetzgeber ein deutliches Signal gesetzt: Die Anforderungen gelten sofort. Bereits ab dem 6. Dezember sind die neuen Cybersicherheitsvorgaben vollumfänglich anwendbar – ohne Übergangsfrist, ohne Aufschub. Für mehr als 30.000 Unternehmen in Deutschland bedeutet dies unmittelbaren Handlungsbedarf.

Erweiterter Geltungsbereich auf 18 Sektoren

Das Gesetz betrifft nicht nur traditionelle kritische Infrastrukturen, sondern insgesamt 18 Wirtschaftsbereiche. Dazu gehören Energie, Transport, Gesundheit, digitale Infrastruktur, Produktion, Lebensmittel, Forschung, Abfallwirtschaft und Teile der Verwaltung. Unternehmen, die in diesen Sektoren tätig sind und bestimmte Größenkriterien erfüllen, werden als wesentliche oder wichtige Einrichtungen eingestuft, was bestimmte Pflichten mit sich bringt.

Wichtige Pflichten für betroffene Unternehmen

Kernpunkt der neuen Gesetzeslage ist ein systematisches Risikomanagement für die Informationssicherheit. Unternehmen müssen Gefährdungen erkennen, einschätzen und passende Schutzmaßnahmen treffen. Das umfasst sowohl technische als auch organisatorische Vorkehrungen, die nachvollziehbar dokumentiert sein müssen.

Zudem müssen sich betroffene Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Größere Sicherheitsvorfälle müssen sofort gemeldet werden. Ziel ist es, IT-Bedrohungen schneller zu erkennen und branchenübergreifend darauf zu reagieren.

Geschäftsführung in der Verantwortung

Eine wichtige Neuerung ist die klare Zuweisung von Verantwortung: Cybersicherheit ist jetzt Chefsache. Die Geschäftsführung muss sicherstellen, dass die gesetzlichen Vorgaben eingehalten und deren Wirksamkeit kontrolliert wird. Bei Verstößen drohen persönliche Haftungsrisiken. Dadurch bekommt Informationssicherheit eine größere Bedeutung in der Führung von Firmen.

Hoher Handlungsdruck durch sofortige Gültigkeit

Da es keine Übergangsfrist gibt, müssen Unternehmen ihre Sicherheitsmaßnahmen schnell überprüfen und anpassen. Das beinhaltet im Einzelnen:

• Prüfen, ob das Unternehmen betroffen ist
• Aufbau oder Weiterentwicklung eines Informationssicherheits-Managementsystems (ISMS) und eines dokumentierten Risikomanagements
• Umsetzung passender technischer und organisatorischer Maßnahmen
• Einrichtung eines Prozesses für das Vorfallmanagement und die Meldung von Vorfällen
• Vorbereitung der Registrierung beim BSI

Die nächsten Wochen sind entscheidend, um Risiken zu minimieren, die Einhaltung der Regeln sicherzustellen und mögliche Strafen zu vermeiden.

Schlussfolgerung

Das NIS-2-Umsetzungsgesetz verschärft die Anforderungen an die Cybersicherheit in Deutschland deutlich und weitet den Kreis der betroffenen Firmen aus. Wer jetzt aktiv wird, schützt nicht nur seine Infrastruktur, sondern vermeidet auch rechtliche Probleme. Unternehmen sollten möglichst bald prüfen, ob sie betroffen sind und die notwendigen Schritte einleiten.