Compliance Blog

NIS2-Umsetzungsgesetz

Geschrieben von Admin | 08.12.25 10:23

Mit der Verabschiedung des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) setzt Deutschland die europäische NIS2-Richtlinie in nationales Recht um. Das bringt weitreichende neue Pflichten und Chancen für Unternehmen mit sich, die eine zentrale Rolle in der digitalen Infrastruktur spielen.


Was ist NIS2?

Die NIS2-Richtlinie (auch „Zweite Netzwerk- und Informationssicherheitsrichtlinie“) ist ein EU-Richtlinie zur Erhöhung der europaweiten Cybersicherheit. Sie löste die bisher geltende NIS-Richtlinie ab und legt einen deutlich erweiterten Anwendungsbereich sowie strengere Anforderungen an Sicherheitsmaßnahmen und Meldepflichten fest.

Ziel ist es, die Resilienz und Reaktionsfähigkeit von Unternehmen und staatlichen Stellen in ganz Europa gegenüber Cyberbedrohungen auszubauen. Ein weiteres Ziel ist die die Harmonisierung der Sanktionsmöglichkeiten in allen Mitgliedsstaaten. Die Richtlinie verpflichtet sowohl Betreiber kritischer Infrastrukturen als auch viele andere Unternehmen dazu, wirksame Maßnahmen zur Verbesserung der IT-Sicherheit und des Risikomanagements umzusetzen.

Was regelt das deutsche NIS2-Umsetzungsgesetz konkret?

Der Deutsche Bundestag hat das Gesetz am 2. Dezember 2025 beschlossen. Bereits am 6. Dezember 2025 ist es in Kraft getreten – und entfaltet seither unmittelbare Wirkung für betroffene Unternehmen. Das Gesetz ergänzt und erweitert das bestehende BSI-Gesetz (BSIG) und definiert neue Pflichten für sogenannte „wichtige“ und „besonders wichtige“ Einrichtungen.

Die wichtigsten Neuerungen im Überblick:

  • Erweiterter Geltungsbereich: Rund 30.000 Unternehmen in Deutschland werden künftig erfasst. Viele davon auch zum ersten Mal.
  • Verbindliche Cybersicherheitsmaßnahmen: Einführung von technischen, organisatorischen und prozessualen Mindeststandards (z. B. Risikomanagement, Business Continuity, Schwachstellenmanagement).
  • Meldepflichten bei Sicherheitsvorfällen: Relevante IT-Sicherheitsvorfälle müssen nun innerhalb von 24 Stunden an das Bundesamt für Sicherheit in der Informationssicherheit (BSI) gemeldet werden.
  • Haftung der Geschäftsleitung: Geschäftsführende Personen sind explizit für die Umsetzung verantwortlich und können bei entsprechenden Verstößen haftbar gemacht werden.
  • Strengere Aufsicht und Sanktionen: Das BSI erhält erweiterte Prüfungsrechte. Bußgelder können bis zu 10 Mio. € oder 2 % des weltweit erzielten Jahresumsatzes betragen.

Wer ist betroffen?

Das Gesetz gilt für Unternehmen aus über 18 Sektoren, darunter unter anderen:

  • Energie, Transport und Verkehr, Gesundheit, Finanzwesen
  • Digitale Infrastruktur, Telekommunikation, öffentliche Verwaltung, Raumfahrt
  • Lebensmittelwirtschaft, Abfall- und Wasserwirtschaft
  • Anbieter digitaler Dienste, beispielsweise Cloud-Services oder Rechenzentren

Kriterium ist hierbei auch die Unternehmensgröße: Grundsätzlich gilt das Gesetz für Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz bzw. einer Bilanzsumme von über 10 Mio. Euro. In bestimmten Sektoren – wie etwa der Telekommunikation oder bei Vertrauensdiensteanbietenden – können jedoch auch kleinere Unternehmen unter den Geltungsbereich fallen.

Was müssen Unternehmen jetzt tun?

Die Umsetzung der NIS2-Anforderungen ist kein einmaliges Projekt, sondern ein retardierendes Element.  Es bietet sich daher an frühzeitig strategisch handeln, um Risiken zu minimieren und Chancen aktiv zu nutzen.

  • Betroffenheit prüfen
    Überprüfen Sie, ob Ihr Unternehmen unter den Geltungsbereich fällt. Dies hängt insbesondere von Ihrer Branchenzugehörigkeit und den Unternehmenskennzahlen
  • Verantwortlichkeiten klären
    Geschäftsleitung, IT-Sicherheit, Risikomanagement und Compliance müssen eng zusammenarbeiten. Die internen Strukturen sollten an die neuen Anforderungen angepasst werden und es wird teilweise erforderlich sein, neue Verantwortungsbereiche zu etablieren
  • Gap-Analyse durchführen
    Vergleichen Sie den derzeitigen Stand Ihrer digitalen Infrastruktur mit den Anforderungen der NIS2. Wo bestehen Handlungsbedarfe?
  • Maßnahmen priorisieren und umsetzen
    Setzen Sie auf ein integriertes Managementsystem für Informationssicherheit und Resilienz – idealerweise mit etablierten Standards wie ISO/IEC 27001 oder dem IT-Grundschutz-Kompendium.
  • Meldestrukturen etablieren
    Richten Sie interne Meldeprozesse ein, um Vorfälle schnell und gesetzeskonform an das BSI melden zu können.

Jetzt Verantwortung übernehmen – für eine rechtssichere und nachhaltige Zukunft.

Die NIS2-Richtlinie setzt neue Maßstäbe für Cybersicherheit und Resilienz der Unternehmen. Das deutsche NIS2-Umsetzungsgesetz konkretisiert diese Anforderungen und macht deutlich: Sicherheit ist nicht nur eine IT-Aufgabe, sondern eine strategische Verantwortung auf Managementebene.

 

Compliance Update vom 31. Juni 2024
Vollständigen Beitrag anzeigen