Die Umsetzung der NIS-2-Richtlinie ist mit Verkündung des NIS2UmsuCG im Bundesgesetzblatt am 5. Dezember 2025 und dessen Inkrafttreten am 6. Dezember 2025 in das deutsche Recht überführt. Mit dem Inkrafttreten des NIS2UmsuCG und der vollständigen Neufassung des BSI-Gesetzes gelten die neuen materiellen Anforderungen an die Informationssicherheit unmittelbar, ohne Übergangsfrist. Einzelne Pflichten sind jedoch fristgebunden, insbesondere die Registrierung nach § 33 BSIG, die spätestens innerhalb von drei Monaten nach Eintritt der Registrierungspflicht zu erfolgen hat. Für bereits seit Inkrafttreten betroffene Einrichtungen läuft diese Frist regelmäßig bis zum 6. März 2026. Dennoch bleibt für viele Unternehmen unklar, ob sie künftig unter das neue Cybersicherheitsrecht fallen. Besonders der Begriff der „Vernachlässigbarkeit“ in § 28 Abs. 3 BSIG wirft grundlegende Auslegungsfragen auf.