NIS2UmsuCG-Status 2026: was Unternehmen jetzt tun sollten

Der Gesetzgebungsstand Mitte 2026

Das NIS2UmsuCG ist mehrfach durch das Bundeskabinett und den Bundestag verzögert worden. Stand 2026 wird das Inkrafttreten in den kommenden Monaten erwartet, mit einer kurzen Vacatio Legis und ohne große Schonfristen.

Die EU-Kommission hat im Juni 2024 ein Vertragsverletzungsverfahren gegen mehrere Mitgliedstaaten eröffnet, darunter Deutschland. Das erhöht den politischen Druck, das Gesetz zeitnah zu verabschieden.

Bis zum Inkrafttreten gilt das vorhandene BSI-Gesetz mit KritisV. NIS2-Pflichten sind formell noch nicht direkt geltend, faktisch werden sie aber bereits über Vertragsklauseln und Versicherungsbedingungen weitergereicht.

Warum Warten gefährlich ist

Erstens: ein NIS2-Compliance-Programm dauert realistisch 9-18 Monate. Wer mit dem Inkrafttreten startet, ist 1-2 Jahre zu spät.

Zweitens: Vertragsklauseln laufen schon. Wesentliche Einrichtungen schreiben in neue Lieferantenverträge NIS2-konforme Anforderungen. Ohne Vorbereitung verlieren Zulieferer Aufträge.

Drittens: Cyber-Versicherungen koppeln Prämien und Selbstbehalte zunehmend an NIS2-Reife. Wer keinen dokumentierten Reifegrad zeigt, zahlt mehr oder bekommt keine Police.

Viertens: Vorstand und Aufsichtsrat sind durch Art. 20 NIS2 persönlich verantwortlich. Wer eine späte Umsetzung billigt, kann nach Inkrafttreten persönlich haften.

Fünf Schritte, die nicht warten

1. Anwendbarkeits-Prüfung dokumentieren. Bin ich wesentliche oder wichtige Einrichtung, bin ich Zulieferer einer, falle ich unter Schwellenwerte. Diese Prüfung muss schriftlich vorliegen, mit Begründung und Stichtag.

2. Gap-Assessment gegen Art. 21. Die zehn Mindestmaßnahmen sind klar. Ein strukturiertes Delta gegen ISO 27001 und vorhandene Praxis liefert die Roadmap.

3. Geschäftsleitungs-Beschluss zur Cyber-Risiko-Strategie. Art. 20 verlangt explizit, dass die Geschäftsleitung die Maßnahmen billigt und überwacht. Ein Beschluss-Protokoll ist Pflicht-Doku.

4. Strukturierte Entscheidungen über die teuersten Maßnahmen: EDR/XDR, IAM mit MFA, SIEM/SOC, Backup mit Immutability. Jede dieser Entscheidungen sollte als auditierbares Decision Memo dokumentiert sein, nicht als Excel-Tabelle.

5. Meldewege technisch und organisatorisch testen. 24h-Frühwarnung, 72h-Vorfallsmeldung, 1-Monat-Abschlussbericht. Wer den Prozess nie probt, scheitert beim ersten echten Vorfall.

Was DecisionOS dabei tut

DecisionOS produziert die strukturierten Entscheidungs-Memos für Schritt 4. Jedes Memo mappt direkt auf Art. 21 Mindestmaßnahmen, dokumentiert Stakeholder-Alignment über CIO, CISO, Vorstand, halt Dealbreaker (EU-Hosting, Pflicht-Klauseln, Exit-Strategie) sichtbar und liefert einen Readiness Score, der die Prüfreife signalisiert. So entsteht aus dem NIS2-Pflichtprogramm ein konsolidiertes Auditdossier.