Der aktuelle Stand NIS2 Umsetzungsgesetz
Bundestag beschließt NIS2 Umsetzungsgesetz
Bonn, 24.11.2025 (PresseBox) - Die ursprünglich für Oktober 2024 geplante EU-weite Umsetzung wurde in Deutschland im Gesetzgebungsverfahren nicht eingehalten. Finally hat der Bundestag am 13. November 2025 einen Gesetzesentwurf beschlossen, mit dem die EU-RichtlinieNIS2in deutsches Recht umgesetzt wird. Der offizielle Name lautet „NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz“. Dieses Gesetz verschärft die Anforderungen an die Cybersicherheit für Unternehmen. Die Umsetzung ist jedoch erst abgeschlossen, wenn das Gesetz nach der Zustimmung des Bundesrats im Bundesgesetzblatt verkündet. Derzeit wird ein Inkrafttreten Ende 2025 oder Anfang 2026 erwartet.
Was sind die wesentlichen Punkte des NIS2 Umsetzungsgesetz (Stand November 2025)?
- Erweiterter Geltungsbereich
Das Gesetz erweitert die bisherigen Sektorregelungen über klassische KRITIS-Bereiche hinaus (z. B. Energie, Wasser). Betroffen sind Unternehmen in Logistik, Maschinenbau, Lebensmittelproduktion, Pharmazie, digitalen Diensten, Post- und Lieferdiensten – sofern sie die Schwellenwerte von mindestens 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz erfüllen. Laut Regierungsschätzung betrifft das künftig etwa 29.500 Unternehmen. - Konkretisierte Risikomanagement-Maßnahmen
Die Einführung strukturierter Prozesse für das IT-Risikomanagement ist verpflichtend und nicht optional. Das betrifft technische und organisatorische Risikomanagement-Maßnahmen wie Risikoanalysen, Audits, Konzepte zur Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Schulungen und Sensibilisierungsmaßnahmen, Multi-Faktor-Authentifizierung und sichere Kommunikation. Das Gesetz konkretisiert diese Maßnahmen. - Meldepflichten bei Cybervorfällen
Es gibt nun ein dreistufiges Melderegime für Sicherheitsvorfälle (nicht mehr nur eine Stufe). Unternehmen sind verpflichtet, Vorfälle differenzierter zu kategorisieren und an die Behörden zu melden. - Stärkere Kontroll- und Aufsichtsrechte
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bekommt erweiterte Befugnisse für Aufsichtsmaßnahmen. - Informationssicherheitsmanagement in der Bundesverwaltung
Es wird ein zentrales Informationssicherheitsmanagement für die Bundesverwaltung eingeführt. Außerdem wird ein ressortübergreifender „CISO Bund“ (Chief Information Security Officer des Bundes) etabliert. - Änderungen bei Telekommunikationsdiensten
Der Schwellenwert von 100.000 Kunden in § 16 des BSI-Gesetzes für Anordnungen gegenüber Telekommunikationsdiensten entfällt ersatzlos. - Nachweiszeitraum für umgesetzte Anforderungen
Für die Bundesverwaltung wird die Frist zum Nachweis der BSIG-Umsetzung von maximal 5 Jahren nach Inkrafttreten des Gesetzes auf 3 Jahre verkürzt. Das darf auch als Signal an die Privatwirtschaft verstanden werden, bei der NIS2 Umsetzung ebenfalls Tempo zu machen. - Haftung der Geschäftsleitung
Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen. Die Verantwortung für Cyber-Sicherheit liegt explizit bei der Geschäftsführung. Eine reine Delegation reicht nicht. Führungskräfte haften für Verstöße.
Mit der Absenkung der Schwellenwerte fallenzahlreiche kleine und mittlere Unternehmenunter den Kritis-Schutz und müssen die gesetzgeberischen Vorgaben nutzen.Die NIS2 Anforderungenmüssendirekt mit Verabschiedung umgesetzt sein. Auch wenn diese gesetzliche Forderung nicht realistisch ist und anfangs vermutlich noch keine Sanktionen drohen, besteht Handlungsbedarf. Die NIS2 Umsetzung wird in vielen Organisationen mehrere Monate dauern. Starten Sie jetzt mit der Prüfung und Umsetzungsplanung, sodass Sie mit der Gesetzes-Verabschiedung einen Großteil der Anforderungen erfüllt haben. Zumal aktuell noch fachkundige Hilfe zu bekommen ist.
Befassen Sie sich jetzt mit dennotwendigen Handlungsschrittenzur NIS2 Umsetzung:
- Bewerten Sie Ihr Cyberrisiko und evaluieren Sie Risiken
- Überprüfen Sie bereits existente Cybersicherheitskonzepte
- Erarbeiten Sie erforderliche Dokumentation wie Cybersicherheitskonzepte, Notfallpläne etc. – gemeinsam mit (internen/externen) technischen und rechtlichen Expert*innen
- Implementieren Sie geeignete Sicherheitsmaßnahmen, inklusive technischer und organisatorischer Vorkehrungen
- Unternehmen in Sektoren wie Energie, Verkehr und Gesundheitswesen müssen spezifische Anforderungen erfüllen.
Wo gibt es verlässliche Infos zum NIS2 Umsetzungsgesetz?
Informationen zumUmsetzungsstandder NIS2 Richtlinie finden Sie beimBundesministerium des Innern und für Heimat(BMI).
Um Einrichtungen zu informieren, die potenziell von den neuen gesetzlichen Pflichten betroffen sind, erstellt das BSI fortlaufend Unterstützungsangebote und umfangreiche Informationen – einschließlich einer auf derBSI-Webseiteveröffentlichten interaktivenNIS2 Betroffenheitsprüfung.
Kritik und Nachbesserungsbedarf
Experten, Wirtschaftsverbände und Teile der Opposition haben teils starke Kritik geäußert. Ein Punkt: Unterschiedliche Umsetzungsmodelle in der EU erschweren es Unternehmen, die grenzüberschreitend tätig sind. Der Bundesrat hat ebenfalls Anmerkungen gemacht, u.a. zur Entbürokratisierung und zur besseren Einbindung der Länder.
Daten & Fakten – was bisher geschah
- DieNIS2 Richtlinie (EU 2022/2555)ist seit dem 16. Januar 2023 in Kraft
- Umsetzungsfristfür die Richtlinie war der 17. Oktober 2024
- Nach den Wahlen in Deutschland kann das Gesetz erst in 2025 verabschiedet werden. Ein neuerReferentenentwurfwurde Juni 2025 veröffentlicht.
- Am 30. Juli 2025 wurde ein neuerRegierungsentwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinieverabschiedet.
- Am 13. November 2025 hat der Deutsche Bundestag das NIS2 Umsetzungsgesetz beschlossen – Video zur halbstündigen
- Debatte im BundestagNext Step „Inkrafttreten“, vermutlich Ende 2025/Anfang 2026: Verkündung der Zustimmung des Bundesrats im Bundesgesetzblatt => Inkrafttreten
