Die "Gnadenfrist" zur Umsetzung der EU NIS-2-Richtlinie für deutsche Unternehmen ist vorbei. Nachdem der Deutsche Bundestag bereits am 13. November 2025 den Gesetzentwurf zur Umsetzung der EU NIS-2-Richtlinie beschlossen hat und auch der Bundesrat zum 21. November 2025 zustimmte, gilt die Richtlinie zum heutigen 6. Dezember 2025 in Deutschland.
NIS-2, eine europäische Vorgabe
Kurz zur Einordnung: NIS steht für steht für Network and Information Security. Die NIS-2-Richtlinie der Europäischen Union legt verbindliche Cyber Security-Mindeststandards für Betreiber kritischer Infrastrukturen (KRITIS) fest. Ziel der Richtlinie ist die Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit.
NIS-2 bildet die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu gehören etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur. NIS-2 ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die bereits 2022 beschlossen und im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht wurde.
Deutschland war seit Oktober 2024 im Verzug
NIS-2 trat am 16. Januar 2023 offiziell EU-weit in Kraft, die Mitglieder der EU mussten NIS-2 bis Oktober 2024 in nationales Recht umsetzen. IT-Verantwortliche waren seit dieser Veröffentlichung aufgefordert, zu handeln und zu prüfen, ob sie mit der Unternehmens-IT unter die NIS-2-Richtlinie fallen. Nachfolgende Auflistung der Betroffenheit vom NIS-2-Geltungsbereich stammt von OpenKRITIS.
Ich hatte hier im Blog mehrfach über die NIS-2-Richtlinie berichtet (siehe Beitrag NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden und weitere Links am Artikelende).
Allerdings geriet Deutschland bei der Umsetzung der EU NIS-2-Richtlinie in nationales Recht durch den Bruch der Ampelkoalition im Herbst 2024 in Verzug. Es gab eine Mahnung der EU-Kommission sowie die Androhung eines Vertragsverletzungsverfahrens.
NIS-2-Beschluss und Veröffentlichung
Der Deutsche Bundestag hat dann am 13. November 2025 den Gesetzentwurf zur Umsetzung der EU NIS-2-Richtlinie beschlossen. Der deutsche Bundesrat stimmte zum 21. November 2025 zu. Das "Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" wurde am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht.
Damit gilt die Richtlinie zum heutigen 6. Dezember 2025 in Deutschland, wie ich in dieser Mitteilung des BSI und bei heise gelesen habe. Eine erste Orientierung über das NIS-2-Umsetzungsgesetz findet sich bei OpenKRITIS. Von dort stammt auch die obige Darstellung der Betroffenheit von Unternehmen. Die Seite bietet umfangreiche Informationen zu NIS-2.
Das BSI stellt eine Melde- und Informationsportal zum Melden IT-sicherheitsrelevanter Ereignisse bereit. Die Registrierung hier ist derzeit noch nicht möglich. Erste Prüfungen, ob man Betroffener ist, liefert die NIS-2-Betroffenheitsprüfung des BSI .
Ähnliche Artikel:
Kabinettsbeschluss zur NIS-2-Richtlinie
Praxisleitfaden zur NIS-2-Umsetzung
BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen
NIS-2-Richtlinie: Wie ist der Status? Neuer Referentenentwurf (Juni 2025)
Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
NIS-2-Richtlinie von Deutschland beschlossen
KI-Verordnung, NIS-2-Richtlinie und Cyber Resilience Act: Auswirkungen auf KMU
Dieser Beitrag wurde unter Sicherheit abgelegt und mit NIS-2, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.
