Also: NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, deutsches NIS2-Umsetzungsgesetz

Deutsches Gesetz zur Umsetzung der NIS2-Richtlinie (EU) 2022/2555. Stand Mai 2026 noch nicht in Kraft: die Bundesregierung hat den Entwurf mehrfach überarbeitet, die EU-Kommission hat ein Vertragsverletzungsverfahren wegen Nicht-Umsetzung eingeleitet. Bis zum Inkrafttreten gilt EU-Recht in Direktwirkung nur eingeschränkt.

Die NIS2-Richtlinie hätte bis zum 17. Oktober 2024 in deutsches Recht überführt werden müssen. Deutschland verfehlte diese Frist; die EU-Kommission leitete im November 2024 ein Vertragsverletzungsverfahren ein. Mehrere Gesetzesentwürfe (Referentenentwürfe BMI 2023, 2024, 2025) wurden vorgelegt, jeweils mit Anpassungen an Geschäftsleiter-Haftung, Schwellenwerten und Sektor-Abgrenzungen.

Inhaltlich überführt das NIS2UmsuCG die zehn Mindestmaßnahmen aus Art. 21 der Richtlinie in deutsches BSI-Gesetz, regelt Meldepflichten (24h/72h/Monatsbericht) an das BSI, definiert wesentliche und wichtige Einrichtungen und konkretisiert die persönliche Haftung der Geschäftsleitung nach Art. 20.

Praxis-Konsequenz: Unternehmen, die unter den NIS2-Anwendungsbereich fallen, sollten Stand Mai 2026 nicht auf das deutsche Umsetzungsgesetz warten, sondern die Pflichten aus der Richtlinie direkt vorbereiten. Aufsichtsbehörden (BSI, BNetzA, BaFin) bereiten ihre Prüf-Konzepte bereits NIS2-konform vor.

NIS2UmsuCG

Related terms