NIS2 Umsetzungsgesetz aktueller Stand

Der aktuelle Stand NIS2 Umsetzungsgesetz

+++13.11.2025: Bundestag beschließt NIS2 Umsetzungsgesetz+++

Die ursprünglich für Oktober 2024 geplante EU-weite Umsetzung wurde in Deutschland im Gesetzgebungsverfahren nicht eingehalten. Finally hat der Bundestag am 13. November 2025 einen Gesetzesentwurf beschlossen, mit dem die EU-Richtlinie NIS2 in deutsches Recht umgesetzt wird. Der offizielle Name lautet „NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz“. Dieses Gesetz verschärft die Anforderungen an die Cybersicherheit für Unternehmen. Die Umsetzung ist jedoch erst abgeschlossen, wenn das Gesetz nach der Zustimmung des Bundesrats im Bundesgesetzblatt verkündet. Derzeit wird ein Inkrafttreten Ende 2025 oder Anfang 2026 erwartet.

Was sind die wesentlichen Punkte des NIS2 Umsetzungsgesetz (Stand November 2025)?

1. Erweiterter Geltungsbereich
   Das Gesetz erweitert die bisherigen Sektorregelungen über klassische KRITIS-Bereiche hinaus (z. B. Energie, Wasser). Betroffen sind Unternehmen in Logistik, Maschinenbau, Lebensmittelproduktion, Pharmazie, digitalen Diensten, Post- und Lieferdiensten – sofern sie die Schwellenwerte von mindestens 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz erfüllen. Laut Regierungsschätzung betrifft das künftig etwa 29.500 Unternehmen.
2. Konkretisierte Risikomanagement-Maßnahmen
   Die Einführung strukturierter Prozesse für das IT-Risikomanagement ist verpflichtend und nicht optional. Das betrifft technische und organisatorische Risikomanagement-Maßnahmen wie Risikoanalysen, Audits, Konzepte zur Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Schulungen und Sensibilisierungsmaßnahmen, Multi-Faktor-Authentifizierung und sichere Kommunikation. Das Gesetz konkretisiert diese Maßnahmen.
3. Meldepflichten bei Cybervorfällen
   Es gibt nun ein dreistufiges Melderegime für Sicherheitsvorfälle (nicht mehr nur eine Stufe). Unternehmen sind verpflichtet, Vorfälle differenzierter zu kategorisieren und an die Behörden zu melden.
4. Stärkere Kontroll- und Aufsichtsrechte
   Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bekommt erweiterte Befugnisse für Aufsichtsmaßnahmen.
5. Informationssicherheitsmanagement in der Bundesverwaltung
   Es wird ein zentrales Informationssicherheitsmanagement für die Bundesverwaltung eingeführt. Außerdem wird ein ressortübergreifender „CISO Bund“ (Chief Information Security Officer des Bundes) etabliert.
6. Änderungen bei Telekommunikationsdiensten
   Der Schwellenwert von 100.000 Kunden in § 16 des BSI-Gesetzes für Anordnungen gegenüber Telekommunikationsdiensten entfällt ersatzlos.
7. Nachweiszeitraum für umgesetzte Anforderungen 
   Für die Bundesverwaltung wird die Frist zum Nachweis der BSIG-Umsetzung von maximal 5 Jahren nach Inkrafttreten des Gesetzes auf 3 Jahre verkürzt. Das darf auch als Signal an die Privatwirtschaft verstanden werden, bei der NIS2 Umsetzung ebenfalls Tempo zu machen.
8. Haftung der Geschäftsleitung
   Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen. Die Verantwortung für Cyber-Sicherheit liegt explizit bei der Geschäftsführung. Eine reine Delegation reicht nicht. Führungskräfte haften für Verstöße.

Was müssen Sie für die NIS2 Umsetzung machen?

Mit der Absenkung der Schwellenwerte fallen zahlreiche kleine und mittlere Unternehmen unter den Kritis-Schutz und müssen die gesetzgeberischen Vorgaben nutzen. Die NIS2 Anforderungen müssen direkt mit Verabschiedung umgesetzt sein. Auch wenn diese gesetzliche Forderung nicht realistisch ist und anfangs vermutlich noch keine Sanktionen drohen, besteht Handlungsbedarf. Die NIS2 Umsetzung wird in vielen Organisationen mehrere Monate dauern. Starten Sie jetzt mit der Prüfung und Umsetzungsplanung, sodass Sie mit der Gesetzes-Verabschiedung einen Großteil der Anforderungen erfüllt haben. Zumal aktuell noch fachkundige Hilfe zu bekommen ist.

Befassen Sie sich jetzt mit den notwendigen Handlungsschritten zur NIS2 Umsetzung:

• Bewerten Sie Ihr Cyberrisiko und evaluieren Sie Risiken
• Überprüfen Sie bereits existente Cybersicherheitskonzepte
• Erarbeiten Sie erforderliche Dokumentation wie Cybersicherheitskonzepte, Notfallpläne etc. – gemeinsam mit (internen/externen) technischen und rechtlichen Expert*innen
• Implementieren Sie geeignete Sicherheitsmaßnahmen, inklusive technischer und organisatorischer Vorkehrungen
• Unternehmen in Sektoren wie Energie, Verkehr und Gesundheitswesen müssen spezifische Anforderungen erfüllen.

In unserem Blog-Beitrag NIS2-Richtlinie erläutern wir, worauf Sie jetzt als Unternehmen achten müssen. 

Wo gibt es verlässliche Infos zum NIS2 Umsetzungsgesetz?

Informationen zum Umsetzungsstand der NIS2 Richtlinie finden Sie beim Bundesministerium des Innern und für Heimat (BMI).

Um Einrichtungen zu informieren, die potenziell von den neuen gesetzlichen Pflichten betroffen sind, erstellt das BSI fortlaufend Unterstützungsangebote und umfangreiche Informationen – einschließlich einer auf der BSI-Webseite veröffentlichten interaktiven NIS2 Betroffenheitsprüfung.

Kritik und Nachbesserungsbedarf

Experten, Wirtschaftsverbände und Teile der Opposition haben teils starke Kritik geäußert.

Ein Punkt: Unterschiedliche Umsetzungsmodelle in der EU erschweren es Unternehmen, die grenzüberschreitend tätig sind.

Der Bundesrat hat ebenfalls Anmerkungen gemacht, u.a. zur Entbürokratisierung und zur besseren Einbindung der Länder.