NIS 2 Umsetzungsgesetz aktueller Stand

Der aktuelle Stand NIS 2 Umsetzungsgesetz

Die ursprünglich für Oktober 2024 geplante EU-weite Umsetzung wurde in Deutschland u.a. aufgrund der vorgezogenen Neuwahlen und der damit verbundenen Verzögerungen im Gesetzgebungsverfahren nicht eingehalten. Ein neues Gesetzgebungsverfahren ist nun im Gange. Es ist mit einer späteren Verabschiedung des NIS 2 Umsetzungsgesetzes zu rechnen. Am 30. Juli 2025 ist der (zweite) Regierungsentwurf zum NIS 2 Umsetzungsgesetz vom (neuen) Bundeskabinett beschlossen worden. Er soll im August 2025 dem Bundesrat vorgelegt werden. Dieses Gesetz setzt die EU-Richtlinie NIS 2 in deutsches Recht um und verschärft die Anforderungen an die Cybersicherheit für Unternehmen. Die neue Bundesregierung hatte bereits betont, dass die Umsetzung der NIS-2-Richtlinie Priorität hat.

Was sind die wesentlichen Punkte des NIS 2 Umsetzungsgesetz (Stand Juli 2025)?

Der neue Regierungsentwurf weicht nicht wesentlich von der vorherigen Version ab.

1. Erweiterter Geltungsbereich
   Das Gesetz erweitert die bisherigen Sektorregelungen über klassische KRITIS-Bereiche hinaus (z. B. Energie, Wasser). Betroffen sind Unternehmen in Logistik, Maschinenbau, Lebensmittelproduktion, Pharmazie, digitalen Diensten, Post- und Lieferdiensten – sofern sie die Schwellenwerte von mindestens 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz erfüllen. Insgesamt werden in Deutschland etwa 30.000Unternehmen erfasst.
2. Konkretisierte Risikomanagement-Maßnahmen
   Die Einführung strukturierter Prozesse für das IT-Risikomanagement ist verpflichtend und nicht optional. Das betrifft technische und organisatorische Risikomanagement-Maßnahmen wie Risikoanalysen, Audits, Konzepte zur Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Schulungen und Sensibilisierungsmaßnahmen, Multi-Faktor-Authentifizierung und sichere Kommunikation. Der neue Entwurf konkretisiert diese Maßnahmen.
3. Nachweiszeitraum für umgesetzte Anforderungen 
   Für die Bundesverwaltung wird die Frist zum Nachweis der BSIG-Umsetzung von maximal 5 Jahren nach Inkrafttreten des Gesetzes auf 3 Jahre verkürzt. Das darf auch als Signal an die Privatwirtschaft verstanden werden, bei der NIS 2 Umsetzung ebenfalls Tempo zu machen.
4. Haftung der Geschäftsleitung
   Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen. Die Verantwortung für Cyber-Sicherheit liegt explizit bei der Geschäftsführung. Eine reine Delegation reicht nicht. Führungskräfte haften für Verstöße.
5. Klarstellung von Begrifflichkeiten
   Die Definitionen für DNS-Diensteanbieter, Managed Security Service Provider (MSSP) und Managed Service Provider (MSP) werden präzisiert – tatsächlich ergeben sich daraus aber weitere Fragen, welche Dienstleistungen und welche Gesellschaften betroffen sein werden.
6. Neue Einrichtungskategorien
   Es werden die von der NIS-2 Richtlinie vorgegebenen Einrichtungskategorien eingeführt, was zu einer Ausweitung des Anwendungsbereichs führt.

Was müssen Sie für die NIS 2 Umsetzung machen?

Die NIS 2 Umsetzung wird voraussichtlich etwa 30.000 Unternehmen in Deutschland betreffen – vermutlich ist Ihres auch dabei. Betroffene Unternehmen sollten sich bereits jetzt mit den Anforderungen auseinandersetzen und mit der Umsetzung beginnen, denn die NIS 2 Anforderungen müssen direkt mit Verabschiedung umgesetzt sein. Auch wenn diese gesetzliche Forderung nicht realistisch ist und anfangs vermutlich noch keine Sanktionen drohen, besteht Handlungsbedarf. Die NIS 2 Umsetzung wird in vielen Organisationen mehrere Monate dauern. Starten Sie jetzt mit der Prüfung und Umsetzungsplanung, sodass Sie mit der Gesetzes-Verabschiedung einen Großteil der Anforderungen erfüllt haben. Zumal aktuell noch fachkundige Hilfe zu bekommen ist.

Befassen Sie sich jetzt mit den notwendigen Handlungsschritten zur NIS 2 Umsetzung:

• Bewerten Sie Ihr Cyberrisiko und evaluieren Sie Risiken
• Überprüfen Sie bereits existente Cybersicherheitskonzepte
• Erarbeiten Sie erforderliche Dokumentation wie Cybersicherheitskonzepte, Notfallpläne etc. – gemeinsam mit (internen/externen) technischen und rechtlichen Expert*innen
• Implementieren Sie geeignete Sicherheitsmaßnahmen, inklusive technischer und organisatorischer Vorkehrungen
• Unternehmen in Sektoren wie Energie, Verkehr und Gesundheitswesen müssen spezifische Anforderungen erfüllen.

Auch wenn sich das NIS 2 Umsetzungsgesetz verzögert, sollten Sie das Thema nicht schieben. In unserem Blog-Beitrag NIS2-Richtlinie erläutern wir, worauf Sie jetzt als Unternehmen achten müssen. Außerdem haben wir in unseren Reihen echte Expert*innen zu dem Thema, die Sie fachkundig beraten können. Sprechen Sie uns gerne an. 

Das NIS 2 Umsetzungsgesetz bringt umfassende Anforderungen mit sich, die Unternehmen in Deutschland dazu verpflichten, ihre IT-Sicherheitsstrategien zu überdenken und anzupassen. Der Gesetzentwurf, der nach der NIS-2 Richtlinie formuliert wurde, legt besonderen Wert auf die Verbesserung der Cybersicherheit in kritischen Einrichtungen. Unternehmen werden aufgefordert, Maßnahmen zu implementieren, die nicht nur den rechtlichen Vorgaben des Bundestags entsprechen, sondern auch proaktive Ansätze zur Risikominderung einschließen.

Wo gibt es verlässliche Infos zum NIS 2 Umsetzungsgesetz?

Informationen zum Umsetzungsstand der NIS2-Richtlinie finden Sie beim Bundesministerium des Innern und für Heimat (BMI).

Um Einrichtungen zu informieren, die potenziell von den neuen gesetzlichen Pflichten betroffen sind, erstellt das BSI fortlaufend Unterstützungsangebote und umfangreiche Informationen – einschließlich einer auf der BSI-Webseite veröffentlichten interaktiven NIS 2 Betroffenheitsprüfung.