NIS-2-Umsetzungsgesetz 2026: Fristen, Pflichten und die neue Haftung der Geschäftsführung
Das Jahr 2026 markiert einen Wendepunkt für die Cybersicherheit in Deutschland. Mit dem Inkrafttreten des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) am 6. Dezember 2025 sind rund 30.000 Unternehmen nun gesetzlich in der Pflicht. Die Schonfrist ist vorbei – wer die NIS-2-Fristen ignoriert, riskiert nicht nur horrende Bußgelder, sondern auch die persönliche Haftung der Leitungsebene.
In diesem Beitrag erfährst du alles über die dringlichsten To-dos und wie du dein Team durch gezielte Cyber Security Schulungen rechtssicher aufstellst.
1. Die wichtigste Frist: Registrierung im BSI-Portal bis März 2026
Seit dem 6. Januar 2026 ist das neue BSI-Meldeportal freigeschaltet. Alle betroffenen Einrichtungen – von der Energieversorgung bis zum Maschinenbau – müssen die Erstregistrierung zwingend abschließen.
Deadline: 6. März 2026 (drei Monate nach Inkrafttreten).
Voraussetzung: Ein gültiges ELSTER-Organisationszertifikat über „Mein Unternehmenskonto“ (MUK).
Meldepflicht: Erhebliche Sicherheitsvorfälle müssen ab sofort innerhalb von 24 Stunden (Frühwarnung) und 72 Stunden (ausführliche Meldung) an das BSI übermittelt werden.
2. § 38 BSIG: Die neue Schulungspflicht für die Geschäftsführung
Eine der drastischsten Neuerungen im Jahr 2026 ist die gesetzliche Schulungspflicht für Geschäftsführer und Vorstände (§ 38 Abs. 3 BSIG). Cybersicherheit ist keine reine IT-Aufgabe mehr, sondern Chefsache.
Die Geschäftsleitung muss nun regelmäßig an Schulungen teilnehmen, um Cyberrisiken bewerten und Abwehrmaßnahmen billigen zu können. Bei Pflichtverletzungen droht die persönliche Haftung mit dem Privatvermögen.
Experten-Tipp: Nutzen Sie hochkarätige Management-Zertifizierungen, um diese Pflicht zu erfüllen und gleichzeitig strategisches Know-how aufzubauen.
Passende Schulung: CISSP Zertifizierung (ISC2) – Der Goldstandard für Security-Management.
3. Die 10 Mindestanforderungen: Was du jetzt umsetzen musst
Die NIS-2-Richtlinie schreibt einen Katalog von Risikomanagement-Maßnahmen vor, die dem „Stand der Technik“ entsprechen müssen. Dazu gehören:
Risikoanalyse und Sicherheitskonzepte
Bewältigung von Sicherheitsvorfällen (Incident Management)
Aufrechterhaltung des Betriebs (Backup & Disaster Recovery)
Sicherheit der Lieferkette (Supply Chain Security)
Kryptografie und Verschlüsselung
Multi-Faktor-Authentifizierung (MFA)
Um diese komplexen Anforderungen zu koordinieren, benötigt jedes Unternehmen einen qualifizierten Verantwortlichen.
Passende Schulung: IT Security Beauftragter (TÜV) – Ideal für die operative Umsetzung der NIS-2-Vorgaben und den Aufbau eines ISMS nach ISO 27001.
4. Fachkräfte sichern: Ethical Hacking als Verteidigungsstrategie
Reine Compliance reicht 2026 nicht mehr aus. Um die Wirksamkeit Ihrer Maßnahmen gemäß NIS-2 regelmäßig zu überprüfen, müssen Sie Ihre Infrastruktur aus der Sicht eines Angreifers testen. Die Ausbildung interner Mitarbeiter zu "Ethical Hackern" ist eine der effektivsten Investitionen in die Resilienz.
Profi-Level: Certified Ethical Hacker v13 (CEH v13) – Inklusive der neuen KI-Hacking-Module, die 2026 entscheidend für die Abwehr automatisierter Angriffe sind.
NIS-2 Richtlinie Fazit: Agiere, bevor die Frist abläuft
Die NIS-2-Richtlinie ist kein "Papiertiger" mehr. Die Kombination aus engen Meldefristen, strengen technischen Auflagen und der persönlichen Haftung der Geschäftsführung macht schnelles Handeln unumgänglich.
Möchten du eine individuelle Beratung für deinen NIS-2-Schulungsplan? Wir bei INCAS Training unterstützen dich dabei, deine Geschäftsführung und IT-Teams punktgenau zu qualifizieren. Kontaktiere uns für ein unverbindliches Erstgespräch.
NIS-2-Umsetzungsgesetz: Das solltest du über die NIS-2 Richlinie wissen:
Die gesetzliche Frist zur Registrierung im BSI-Portal endet am 6. März 2026. Da das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) am 6. Dezember 2025 in Kraft getreten ist, haben betroffene Unternehmen genau drei Monate Zeit für die Erstregistrierung. Voraussetzung für den Login im Portal ist ein gültiges ELSTER-Organisationszertifikat über „Mein Unternehmenskonto“ (MUK). Eine verspätete Registrierung gilt bereits als formaler Verstoß und kann Bußgelder nach sich ziehen.
Betroffen sind primär Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von über 10 Mio. Euro, die in einem der 18 kritischen Sektoren tätig sind (z. B. Energie, Gesundheit, Abfallbewirtschaftung oder Ernährung). Das Gesetz unterscheidet zwischen „besonders wichtigen“ und „wichtigen“ Einrichtungen. Um sicherzugehen, sollten Firmen die offizielle BSI-Betroffenheitsprüfung durchführen.
Wichtig: Auch kleinere Zulieferer können indirekt durch die Anforderungen an die Lieferkettensicherheit zur Einhaltung von Sicherheitsstandards gezwungen sein.
emäß § 38 des neuen BSI-Gesetzes ist die Geschäftsführung verpflichtet, regelmäßig an Cyber-Security-Schulungen teilzunehmen. Diese Pflicht ist nicht delegierbar. Ziel ist es, dass Entscheidungsträger die Risiken und die Wirksamkeit der implementierten Maßnahmen selbst beurteilen können. Wer diese Fortbildung vernachlässigt, haftet bei Sicherheitsvorfällen unter Umständen persönlich mit dem Privatvermögen.
Lösung: Die CISSP Zertifizierung bietet das ideale strategische Niveau für Management-Verantwortliche.
Das NIS-2-Meldesystem ist mehrstufig und extrem zeitkritisch:
Innerhalb von 24 Stunden: Eine Erstmeldung (Frühwarnung) an das BSI.
Innerhalb von 72 Stunden: Eine detaillierte Aktualisierung des Vorfalls.
Nach einem Monat: Ein abschließender Bericht über die Ursachen und Abhilfemaßnahmen. Um diese Prozesse rechtssicher zu etablieren, ist die Qualifizierung eines internen Experten unerlässlich.
Lösung: Im Kurs IT Security Beauftragter (TÜV) lernst den Aufbau eines ISMS, das solche Meldewege automatisiert.
Die ISO 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Während NIS-2 das „Was“ (gesetzliche Anforderungen) vorgibt, liefert die ISO 27001 das „Wie“ (die Umsetzung). Ein nach ISO 27001 zertifiziertes Unternehmen erfüllt bereits einen Großteil der NIS-2-Mindestanforderungen, wie z. B. Business Continuity Management (BCM), Kryptografie und Zugriffskontrolle.
Lösung: Starte mit dem ISO 27001 Foundation Training, um die Lücke (Gap-Analyse) zwischen deinem aktuellen Status und der NIS-2-Konformität zu schließen.
Trainings, die für dich interessant sein könnten: