08.12.25 11:23Lesedauer: 6 Min | Legal News, NIS2-Richtlinie, NIS2-Umsetzungsgesetz, Cybersecurity

NIS2-Umsetzungsgesetz

Mit der Verabschiedung des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) setzt Deutschland die europäische NIS2-Richtlinie in nationales Recht um. Das bringt weitreichende neue Pflichten und Chancen für Unternehmen mit sich, die eine zentrale Rolle in der digitalen Infrastruktur spielen.

Was ist NIS2?

Die NIS2-Richtlinie (auch „Zweite Netzwerk- und Informationssicherheitsrichtlinie“) ist ein EU-Richtlinie zur Erhöhung der europaweiten Cybersicherheit. Sie löste die bisher geltende NIS-Richtlinie ab und legt einen deutlich erweiterten Anwendungsbereich sowie strengere Anforderungen an Sicherheitsmaßnahmen und Meldepflichten fest.

Ziel ist es, die Resilienz und Reaktionsfähigkeit von Unternehmen und staatlichen Stellen in ganz Europa gegenüber Cyberbedrohungen auszubauen. Ein weiteres Ziel ist die die Harmonisierung der Sanktionsmöglichkeiten in allen Mitgliedsstaaten. Die Richtlinie verpflichtet sowohl Betreiber kritischer Infrastrukturen als auch viele andere Unternehmen dazu, wirksame Maßnahmen zur Verbesserung der IT-Sicherheit und des Risikomanagements umzusetzen.

Was regelt das deutsche NIS2-Umsetzungsgesetz konkret?

Der Deutsche Bundestag hat das Gesetz am 2. Dezember 2025 beschlossen. Bereits am 6. Dezember 2025 ist es in Kraft getreten – und entfaltet seither unmittelbare Wirkung für betroffene Unternehmen. Das Gesetz ergänzt und erweitert das bestehende BSI-Gesetz (BSIG) und definiert neue Pflichten für sogenannte „wichtige“ und „besonders wichtige“ Einrichtungen.

Die wichtigsten Neuerungen im Überblick:

Erweiterter Geltungsbereich: Rund 30.000 Unternehmen in Deutschland werden künftig erfasst. Viele davon auch zum ersten Mal.
Verbindliche Cybersicherheitsmaßnahmen: Einführung von technischen, organisatorischen und prozessualen Mindeststandards (z. B. Risikomanagement, Business Continuity, Schwachstellenmanagement).
Meldepflichten bei Sicherheitsvorfällen: Relevante IT-Sicherheitsvorfälle müssen nun innerhalb von 24 Stunden an das Bundesamt für Sicherheit in der Informationssicherheit (BSI) gemeldet werden.
Haftung der Geschäftsleitung: Geschäftsführende Personen sind explizit für die Umsetzung verantwortlich und können bei entsprechenden Verstößen haftbar gemacht werden.
Strengere Aufsicht und Sanktionen: Das BSI erhält erweiterte Prüfungsrechte. Bußgelder können bis zu 10 Mio. € oder 2 % des weltweit erzielten Jahresumsatzes betragen.

Wer ist betroffen?

Das Gesetz gilt für Unternehmen aus über 18 Sektoren, darunter unter anderen:

Energie, Transport und Verkehr, Gesundheit, Finanzwesen
Digitale Infrastruktur, Telekommunikation, öffentliche Verwaltung, Raumfahrt
Lebensmittelwirtschaft, Abfall- und Wasserwirtschaft
Anbieter digitaler Dienste, beispielsweise Cloud-Services oder Rechenzentren

Kriterium ist hierbei auch die Unternehmensgröße: Grundsätzlich gilt das Gesetz für Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz bzw. einer Bilanzsumme von über 10 Mio. Euro. In bestimmten Sektoren – wie etwa der Telekommunikation oder bei Vertrauensdiensteanbietenden – können jedoch auch kleinere Unternehmen unter den Geltungsbereich fallen.

Was müssen Unternehmen jetzt tun?

Die Umsetzung der NIS2-Anforderungen ist kein einmaliges Projekt, sondern ein retardierendes Element. Es bietet sich daher an frühzeitig strategisch handeln, um Risiken zu minimieren und Chancen aktiv zu nutzen.

Betroffenheit prüfen
Überprüfen Sie, ob Ihr Unternehmen unter den Geltungsbereich fällt. Dies hängt insbesondere von Ihrer Branchenzugehörigkeit und den Unternehmenskennzahlen
Verantwortlichkeiten klären
Geschäftsleitung, IT-Sicherheit, Risikomanagement und Compliance müssen eng zusammenarbeiten. Die internen Strukturen sollten an die neuen Anforderungen angepasst werden und es wird teilweise erforderlich sein, neue Verantwortungsbereiche zu etablieren
Gap-Analyse durchführen
Vergleichen Sie den derzeitigen Stand Ihrer digitalen Infrastruktur mit den Anforderungen der NIS2. Wo bestehen Handlungsbedarfe?
Maßnahmen priorisieren und umsetzen
Setzen Sie auf ein integriertes Managementsystem für Informationssicherheit und Resilienz – idealerweise mit etablierten Standards wie ISO/IEC 27001 oder dem IT-Grundschutz-Kompendium.
Meldestrukturen etablieren
Richten Sie interne Meldeprozesse ein, um Vorfälle schnell und gesetzeskonform an das BSI melden zu können.

Jetzt Verantwortung übernehmen – für eine rechtssichere und nachhaltige Zukunft.

Die NIS2-Richtlinie setzt neue Maßstäbe für Cybersicherheit und Resilienz der Unternehmen. Das deutsche NIS2-Umsetzungsgesetz konkretisiert diese Anforderungen und macht deutlich: Sicherheit ist nicht nur eine IT-Aufgabe, sondern eine strategische Verantwortung auf Managementebene.

Compliance Update vom 31. Juni 2024

NIS2-Richtlinie: Mehr Transparenz in der IT-Sicherheit? Die Umsetzungsfrist der NIS2-Richtlinie endet im Oktober 2024, ein entsprechendes Gesetz befindet sich aktuell noch in der Ausarbeitung. Jetzt ist also der beste Zeitpunkt, um auf die NIS-Richtlinie aus dem Jahr 2016 zurückzuschauen und einen Blick auf die nun umzusetzende NIS2-Richtlinie als Weiterentwicklung zu richten.

NIS-Richtlinie aus 2016
Die NIS-Richtlinie ist die „Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“. Ziel war es, die Cybersicherheit in der EU und damit auch in Deutschland zu verbessern, insbesondere im Bereich der kritischen Infrastruktur. Dies sind Einrichtungen mit erheblicher Bedeutung für das Allgemeinwohl, durch deren Ausfall enorme Schäden drohen können und insbesondere auch die öffentliche Sicherheit gefährdet sein kann. Als Beispiel sind hier die Sektoren Energie, Gesundheit und Telekommunikation zu nennen. Das grundlegende Ziel der NIS-Richtlinie bestand darin, einen EU-weiten, einheitlichen Standard für IT-Sicherheit zu schaffen.

Die NIS-Richtlinie wurde im Gesetz zur Umsetzung der NIS-Richtlinie durch den Gesetzgeber in nationales Recht umgesetzt, welche im Jahr 2017 verkündet wurde.

Warum NIS2?
Nach der Umsetzung zeigten sich in den Mitgliedsstaaten erhebliche Unterschiede in der Einteilung, ob ein Unternehmen als kritischer Dienstleister oder Betreiber einzuordnen sei. Dies führte dazu, dass die Anzahl der kritischen Dienstleister nach Mitgliedstaat zwischen 12 und 87 lag. Noch extremer war die Abweichung bei den Betreibern kritischer Dienste, bei denen sich die Zahl zwischen 20 und 10.897 bewegte. Um diese Unsicherheit zu beheben, wurde die NIS2 erlassen.

Wer ist von der NIS2 betroffen?
Die NIS2-Richtlinie enthält eine klare Einteilung, welche Unternehmen zu den kritischen Dienstleistern gehören und welche nicht. Damit geht eine enorme Ausdehnung des Geltungsbereichs einher. Die NIS2 unterscheidet nun zwischen „Wesentlichen Einrichtungen“ („essential entities“) und „Wichtigen Einrichtungen“ (emportant entities“). Dazu findet sich eine Aufzählung, welches Unternehmen wie einzuordnen ist, sodass die Anzahl abweichender Einordnungen in den Mitgliedstaaten deutlich reduziert werden soll. Beispielsweise sind Unternehmen aus den Sektoren Energie, Straßenverkehr, Wasser und Gesundheit den „Wesentlichen Einrichtungen“ zugeordnet, wohingegen Unternehmen aus den Sektoren Abfallwirtschaft, Lebensmittel und digitale Anbieter zu den „Wichtigen Einrichtungen“ zählen. Dies soll zu einer Vereinheitlichung der IT-Sicherheit in der gesamten Union führen.

NIS2 – Der Referentenentwurf steht
Ob dieses Ziel mit der NIS2 erreicht werden kann, wird sich in Zukunft zeigen. Ein Referentenentwurf ist bereits veröffentlicht. Dieser sieht insbesondere Änderungen des BSIG, des BNDG und weiteren Gesetzen vor, welche sich mit kritischen Infrastrukturen beschäftigen (beispielsweise EnWG und TKG).

In dem Referentenentwurf wird unter anderem der völkerrechtswidrige russische Angriffskrieg auf die Ukraine als Treiber herausgestellt, wodurch sich die IT-Sicherheitslage zugespitzt habe: Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette zählten damit zu den größten Bedrohungen. Ziel sei es, die Resilienz der deutschen Wirtschaft gegenüber den Gefahren der digitalen Welt zu erhöhen.

Der Referentenentwurf – Kritische Stimmen
Zu dem Referentenentwurf gibt es jedoch auch kritische Stimmen, die eine Nachbesserung fordern. Beispielsweise sieht die Bundesvereinigung Deutscher Apothekenverbände e.V. Nachbesserungsbedarf bei der Definition kritischer Komponenten in § 2 I Nr. 22 BSIG-E, damit Klarheit darüber herrsche, welche Komponenten als kritisch einzustufen sind. Dies hat wiederum Auswirkungen auf die Anwendbarkeit. Es findet sich somit ähnliche Kritik wie damals bei der NIS-Richtlinie, welche für Verbesserungsbedarf gesorgt hat. Auch der Bundesverband WindEnergie äußert Bedenken: Die Einordnung von Betreibergesellschaften, die Tochtergesellschaften großer Mutterunternehmen sind, sei unklar und nicht zielführend. Es würde die falschen Unternehmen verpflichten, obwohl dies nicht erforderlich sei.

Ausblick
Für den nationalen Gesetzgeber ist schlussfolgernd noch einiges zu tun, bis im Oktober die Umsetzungsfrist der Richtlinie ausläuft. Ein Anfang ist mit dem Referentenentwurf jedoch bereits gemacht, sodass die verbleibende Zeit für die geforderten Nachbesserungen genutzt werden kann. So kann spätestens im Oktober das neue Gesetz verkündet werden und in Kraft treten.