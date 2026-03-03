Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW)

NIS-2-Umsetzungsgesetz: Unternehmen müssen bei Cybersicherheit umfangreiche neue Anforderungen erfüllen

Düsseldorf (ots)

Die Uhr tickt: Die dreimonatige Registrierungsfrist nach dem neuen NIS-2-Umsetzungsgesetz läuft am 6. März 2026 ab. Bis dahin müssen sich betroffene Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Vor diesem Hintergrund veröffentlicht das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) ein neues Knowledge Paper, das Unternehmen bei der Implementierung des NIS-2-Umsetzungsgesetzes unterstützt.

Seit Dezember 2025 gilt in Deutschland das NIS-2-Umsetzungsgesetz - ein entscheidender Bestandteil der europäischen Strategie zur Stärkung der Cybersicherheit. Die Neuregelung erweitert den Anwendungsbereich des BSI-Gesetzes (BSIG) erheblich: Die Zahl der betroffenen Organisationen steigt von rund 4.500 auf etwa 29.500. Damit geraten erstmals auch zahlreiche mittelständische Unternehmen aus unterschiedlichsten Sektoren in den Geltungsbereich.

"Für viele Unternehmen bedeutet das NIS-2-Umsetzungsgesetz einen tiefen Eingriff in bestehende Strukturen. Die Anforderungen sind anspruchsvoll - gleichzeitig bieten sie die Chance, Informationssicherheit nachhaltig und professionell zu verankern", erklärt Melanie Sack, Vorstandssprecherin des IDW. "Es ist wichtig, dass Unternehmen jetzt zügig Transparenz schaffen: Bin ich betroffen? Welche Pflichten gelten? Wo habe ich Handlungsbedarf? Genau dabei unterstützt unser Knowledge Paper."

Das Gesetz verpflichtet betroffene Unternehmen, umfangreiche Risikomanagement-, Registrierungs- und Meldeprozesse einzuführen oder bestehende Strukturen an den Stand der Technik anzupassen. Dazu zählen u.a. dokumentierte Risikoanalysen, Konzepte zur Bewältigung von Sicherheitsvorfällen, Maßnahmen zur Lieferkettensicherheit, Backup- und Notfallmanagement sowie Mitarbeiterschulungen. Betreiber kritischer Anlagen müssen zudem Systeme zur Angriffserkennung einsetzen.

Eine besondere Herausforderung stellen die neuen Meldefristen dar: Unternehmen müssen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden melden, innerhalb von 72 Stunden aktualisierte Informationen bereitstellen und nach einem Monat eine Abschlussmeldung einreichen. Wer betroffen ist, muss sich innerhalb von drei Monaten beim BSI registrieren. Diese Frist läuft am 6. März 2026 ab.

Das Knowledge Paper bietet Unternehmen praxisorientierte Hilfestellung: Von der ersten Betroffenheitsprüfung über die Analyse zentraler Pflichten bis hin zu operativen Handlungsempfehlungen wie Gap-Analysen, Prozessanpassungen und Mitarbeiterschulungen.

"Cybersicherheit entwickelt sich zunehmend zu einem zentralen Wettbewerbsfaktor. Unternehmen, die jetzt strukturiert vorgehen, erhöhen nicht nur ihre Resilienz gegenüber Angriffen, sondern stärken auch das Vertrauen von Kunden und Partnern", betont Melanie Sack. "Wirtschaftsprüfer können Unternehmen bei der Umsetzung wesentlich unterstützen - etwa durch Betroffenheitsanalysen, Gap-Analysen, die Weiterentwicklung von Risiko- und Compliance-Strukturen sowie durch unabhängige Beurteilungen der implementierten Maßnahmen. Unser Ziel ist es, Unternehmen zu befähigen, die Vorgaben des Gesetzes pragmatisch und wirkungsvoll umzusetzen."

