Bundestag beschließt NIS-2-Umsetzung

1 month ago 3

ParagraphKleiner Nachtrag von voriger Woche. Der Deutsche Bundestag hat bereits am 13. November 2025 den Gesetzentwurf zur Umsetzung der EU NIS-2-Richtlinie beschlossen. Allerdings steht meines Wissens noch die Zustimmung des Bundesrats aus.

Was heißt NIS-2?

Das Kürzel NIS steht für steht für Network and Information Security. Und die NIS-2-Richtlinie der Europäischen Union legt verbindliche Cyber Security-Mindeststandards für Betreiber kritischer Infrastrukturen (KRITIS) fest. Ziel der Richtlinie ist die Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit.

NIS-2 bildet die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu gehören etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur.

Es handelt sich bei NIS-2 um eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, und die Richtlinie wurde bereits 2022 beschlossen und im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht.

Von dieser Richtlinie betroffene Unternehmen waren laut EU-Verordnung verpflichtet, die Maßnahmen bis Oktober 2024 umzusetzen. IT-Verantwortliche waren aufgefordert zu handeln und zu prüfen, ob sie mit der Unternehmens-IT unter die NIS-2-Richtlinie fallen. Ich hatte hier im Blog mehrfach über die NIS-2-Richtlinie berichtet (siehe Links am Artikelende). Nachfolgende Folie zum Geltungsbereich stammt auch dem Beitrag NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden.

Deutschland bei NIS-2 im Verzug

NIS-2 trat am 16. Januar 2023 offiziell EU-weit in Kraft, die Mitglieder der EU hätten NIS-2 bis Oktober 2024 in nationales Recht umsetzen müssen. In Deutschland sollte die nationale Umsetzung durch das NIS-2UmsuCG erfolgen. Durch den Bruch der Ampel-Koalition im November 2024 konnte das Gesetz aber in Deutschland nicht umgesetzt und verabschiedet werden.

Deutschland geriet dadurch bei der NIS-2-Umsetzung in Verzug und bekam von der EU-Kommission eine Mahnung sowie die Androhung eines Vertragsverletzungsverfahrens. Ich hatte hier im Blog mehrfach über den Sachstand berichtet (siehe Artikellinks am Beitragsende).

Im Sommer 2025 gab es dann einen Kabinettsbeschluss (siehe Kabinettsbeschluss zur NIS-2-Richtlinie). Zum 13. November 2025 fand dann die Abstimmung zum NIS-2-Umsetzungsgesetz im Deutschen Bundestag statt. Dort wurde der Gesetzentwurf zur Umsetzung der EU NIS-2-Richtlinie beschlossen. Dies geht aus dieser Pressemitteilung der deutschen Bundesregierung hervor. Dort heißt es:

  • Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wird ermöglicht, gegenüber bisher von der Regelung nicht erfassten Anbietern von öffentlich zugänglichen Telekommunikationsdiensten mit 100.000 oder weniger Kunden Anordnungen zur Abwehr erheblicher Gefahren auszusprechen. Ohne diese Erweiterung würden eine Vielzahl von Nutzern, denen über kleinere (etwa regionale) Anbieter Telekommunikationsdienstleistungen zur Verfügung gestellt werden, nicht entsprechend geschützt werden.
  • Des Weiteren ist unter anderem vorgesehen, dass das Bundesinnenministerium gegenüber dem Betreiber kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers im Benehmen mit den für den jeweiligen Sektor genannten Bundesministerien sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen kann, wenn der Einsatz die öffentlicher Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt.

Golem hat in diesem Artikel über diesen Sachverhalt sowie die Kritik der Verbände berichtet. Aktuell ist mein Wissensstand, dass der Deutsche Bundesrat bisher diesem Gesetz nicht zugestimmt hat und zahlreiche Nachbesserungen fordert. Allgemein wird mit einem Inkrafttreten von NIS-2 bis Anfang 2026 gerechnet.

NIS-2 – was Unternehmen wissen müssen

Unternehmen mussten sich eigentlich bereits seit einem Jahr um die NIS-2-Umsetzung kümmern und prüfen, ob sie unter die Richtlinie fallen. Pantelis Astenburg, Vice President Global Sales DACH von Versa Networks schätzt, dass rund 40.000 Unternehmen aus 18 Sektoren in Deutschland betroffen sind. Wenn die Unternehmen sich nicht seit 2024 vorbereitet haben, stehen sei nun unter erheblichem Zeitdruck ihre IT-Sicherheitsarchitektur überprüfen und anpassen zu müssen.

Die Seite OpenKritis gibt hier einen Überblick über den Sachstand. Ich hatte in den Beiträgen Praxisleitfaden zur NIS-2-Umsetzung und BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen zudem auf Dokumente hingewiesen, die Unternehmen bei der Umsetzung von NIS-2 verwenden können.

Betroffenheitsprüfung: Gilt die NIS2 für Ihr Unternehmen?

Der erste und wichtigste Schritt ist die eindeutige Klärung, ob das eigene Unternehmen unter die NIS2-Regulierung fällt. Der Anwendungsbereich könnte sich deutlich von den bisher avisierten 30.000 Einrichtungen erhöhen, da nun sämtliche Aktivitäten eines Unternehmens berücksichtigt werden sollen. Ausgenommen sind nur vernachlässigbare Geschäftstätigkeiten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine Betroffenheitsprüfung bereit, die als Ausgangspunkt dient. Entscheidend sind die Zugehörigkeit zu einem der 18 regulierten Wirtschaftssektoren, die Unternehmensgröße sowie der Jahresumsatz.

Die Unterscheidung zwischen „besonders wichtigen" und „wichtigen" Einrichtungen ist laut Versa Networks dabei nicht nur akademisch: Während beide Kategorien die gleichen Risikomaßnahmen umsetzen müssen, werden besonders wichtige Einrichtungen regelmäßig behördlich überprüft, wichtige Einrichtungen hingegen nur anlassbezogen. Alle wesentlichen und wichtigen Einrichtungen müssen sich innerhalb von drei Monaten nach Identifizierung registrieren. Diese Registrierung ist der erste formale Schritt in die Compliance.

Gap-Analyse: Wo steht das Unternehmen wirklich?

Nachdem die Betroffenheit geklärt ist, muss die ehrliche Bestandsaufnahme folgen. Eine umfassende Analyse muss zeigen, welche der geforderten Maßnahmen bereits implementiert sind und wo Lücken klaffen, fordert Versa Networks. Die NIS2-Richtlinie fordert konkrete technische und organisatorische Maßnahmen zum Risikomanagement, darunter: Risikoanalysen, Incident-Response-Prozesse, Business-Continuity-Management, Sicherheit der Lieferketten, Sicherheitskonzepte für Beschaffung und Entwicklung sowie Konzepte zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen.

Deutlich verschärft wurde die Meldepflicht: Unternehmen müssen Sicherheitsvorfälle unverzüglich dem BSI melden, mit einem vorläufigen Bericht innerhalb von 24 Stunden, einem vollständigen Bericht innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Viele Unternehmen unterschätzen den organisatorischen Aufwand, der mit diesen Meldeprozessen verbunden ist. Hier gilt es, nicht nur technische Lösungen, sondern auch klare interne Eskalations- und Kommunikationswege zu etablieren.

Management in der Pflicht und der Haftung

Ein oft unterschätzter Aspekt der NIS-2 sei die persönliche Haftung der Geschäftsführung, schreibt Versa Networks. Die Richtlinie verpflichtet die Leitungsorgane explizit, Cybersicherheitsmaßnahmen zu genehmigen, deren Umsetzung zu überwachen und sich regelmäßig schulen zu lassen. Cybersecurity ist damit endgültig Chefsache – nicht nur rhetorisch, sondern mit rechtlichen Konsequenzen.

Unternehmen müssen klare Governance-Strukturen etablieren: Wer trägt die Verantwortung für die Informationssicherheit? Wie sind die Entscheidungswege definiert? Wie wird die Geschäftsführung regelmäßig über die Sicherheitslage informiert? Die Benennung eines Chief Information Security Officers (CISO) oder einer vergleichbaren Rolle ist für viele Unternehmen unumgänglich. Diese Rolle muss mit entsprechenden Kompetenzen und Ressourcen ausgestattet werden.

Die Verabschiedung des NIS-2-Umsetzungsgesetzes (sobald der Deutsche Bundesrat zugestimmt hat und das Gesetz im Bundesanzeiger veröffentlicht wurde) markiert das Ende der Ungewissheit – und den Beginn der Umsetzungsphase. Unternehmen, die gehofft haben, die Regulierung würde sich noch länger verzögern oder sie würde nicht unter den Anwendungsbereich fallen, müssen jetzt umdenken. Die NIS-2 ist keine abstrakte EU-Vorgabe mehr, sondern geltendes Recht mit erheblichen Konsequenzen bei Nichteinhaltung – schreibt Versa Networks.

Ähnliche Artikel:
Kabinettsbeschluss zur NIS-2-Richtlinie
Praxisleitfaden zur NIS-2-Umsetzung
BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen
NIS-2-Richtlinie: Wie ist der Status? Neuer Referentenentwurf (Juni 2025)
Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Read Entire Article
  1. Homepage
  2. AI News DE
  3. Bundestag beschließt NIS-2-Umsetzung

Related

KI-Modell „Eden“ soll neue Gentherapien und Medikamente generieren

KI-Modell „Eden“ soll neue Gentherapien und Medikamente gene...

5 hours ago 0
KI treibt Cyberangriffe 2026 voran

KI treibt Cyberangriffe 2026 voran

5 hours ago 0
Russland eskaliert mit Oreschnik-Rakete

Russland eskaliert mit Oreschnik-Rakete

5 hours ago 0