NIS 2 Umsetzungsgesetz aktueller Stand

Das NIS 2 Umsetzungsgesetz sollte laut NIS-2 Richtlinie bis Oktober 2024 in Kraft treten – sollte, ist aber nicht. Am 30.07.2025 hat die Bundesregierung einen neuen Regierungsentwurf zur Umsetzung der NIS-2-Richtlinie vorgelegt, der die Anforderungen und Abläufe spezifiziert.

NIS2-Richtlinie verzögert sich - das Bild zeigt den Umsetzungsstand

Der aktuelle Stand NIS 2 Umsetzungsgesetz

Die ursprünglich für Oktober 2024 geplante EU-weite Umsetzung wurde in Deutschland u.a. aufgrund der vorgezogenen Neuwahlen und der damit verbundenen Verzögerungen im Gesetzgebungsverfahren nicht eingehalten. Ein neues Gesetzgebungsverfahren ist nun im Gange. Es ist mit einer späteren Verabschiedung des NIS 2 Umsetzungsgesetzes zu rechnen. Am 30. Juli 2025 ist der (zweite) Regierungsentwurf zum NIS 2 Umsetzungsgesetz vom (neuen) Bundeskabinett beschlossen worden. Er soll im August 2025 dem Bundesrat vorgelegt werden. Dieses Gesetz setzt die EU-Richtlinie NIS 2 in deutsches Recht um und verschärft die Anforderungen an die Cybersicherheit für Unternehmen. Die neue Bundesregierung hatte bereits betont, dass die Umsetzung der NIS-2-Richtlinie Priorität hat.

Was sind die wesentlichen Punkte des NIS 2 Umsetzungsgesetz (Stand Juli 2025)?

Der neue Regierungsentwurf weicht nicht wesentlich von der vorherigen Version ab.

  1. Erweiterter Geltungsbereich
    Das Gesetz erweitert die bisherigen Sektorregelungen über klassische KRITIS-Bereiche hinaus (z. B. Energie, Wasser). Betroffen sind Unternehmen in Logistik, Maschinenbau, Lebensmittelproduktion, Pharmazie, digitalen Diensten, Post- und Lieferdiensten – sofern sie die Schwellenwerte von mindestens 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz erfüllen. Insgesamt werden in Deutschland etwa 30.000Unternehmen erfasst.
  2. Konkretisierte Risikomanagement-Maßnahmen
    Die Einführung strukturierter Prozesse für das IT-Risikomanagement ist verpflichtend und nicht optional. Das betrifft technische und organisatorische Risikomanagement-Maßnahmen wie Risikoanalysen, Audits, Konzepte zur Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Schulungen und Sensibilisierungsmaßnahmen, Multi-Faktor-Authentifizierung und sichere Kommunikation. Der neue Entwurf konkretisiert diese Maßnahmen.
  3. Nachweiszeitraum für umgesetzte Anforderungen 
    Für die Bundesverwaltung wird die Frist zum Nachweis der BSIG-Umsetzung von maximal 5 Jahren nach Inkrafttreten des Gesetzes auf 3 Jahre verkürzt. Das darf auch als Signal an die Privatwirtschaft verstanden werden, bei der NIS 2 Umsetzung ebenfalls Tempo zu machen.
  4. Haftung der Geschäftsleitung
    Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen. Die Verantwortung für Cyber-Sicherheit liegt explizit bei der Geschäftsführung. Eine reine Delegation reicht nicht. Führungskräfte haften für Verstöße.
  5. Klarstellung von Begrifflichkeiten
    Die Definitionen für DNS-Diensteanbieter, Managed Security Service Provider (MSSP) und Managed Service Provider (MSP) werden präzisiert – tatsächlich ergeben sich daraus aber weitere Fragen, welche Dienstleistungen und welche Gesellschaften betroffen sein werden.
  6. Neue Einrichtungskategorien
    Es werden die von der NIS-2 Richtlinie vorgegebenen Einrichtungskategorien eingeführt, was zu einer Ausweitung des Anwendungsbereichs führt.

Was müssen Sie für die NIS 2 Umsetzung machen?

Die NIS 2 Umsetzung wird voraussichtlich etwa 30.000 Unternehmen in Deutschland betreffen – vermutlich ist Ihres auch dabei. Betroffene Unternehmen sollten sich bereits jetzt mit den Anforderungen auseinandersetzen und mit der Umsetzung beginnen, denn die NIS 2 Anforderungen müssen direkt mit Verabschiedung umgesetzt sein. Auch wenn diese gesetzliche Forderung nicht realistisch ist und anfangs vermutlich noch keine Sanktionen drohen, besteht Handlungsbedarf. Die NIS 2 Umsetzung wird in vielen Organisationen mehrere Monate dauern. Starten Sie jetzt mit der Prüfung und Umsetzungsplanung, sodass Sie mit der Gesetzes-Verabschiedung einen Großteil der Anforderungen erfüllt haben. Zumal aktuell noch fachkundige Hilfe zu bekommen ist.

Befassen Sie sich jetzt mit den notwendigen Handlungsschritten zur NIS 2 Umsetzung:

  • Bewerten Sie Ihr Cyberrisiko und evaluieren Sie Risiken
  • Überprüfen Sie bereits existente Cybersicherheitskonzepte
  • Erarbeiten Sie erforderliche Dokumentation wie Cybersicherheitskonzepte, Notfallpläne etc. – gemeinsam mit (internen/externen) technischen und rechtlichen Expert*innen
  • Implementieren Sie geeignete Sicherheitsmaßnahmen, inklusive technischer und organisatorischer Vorkehrungen
  • Unternehmen in Sektoren wie Energie, Verkehr und Gesundheitswesen müssen spezifische Anforderungen erfüllen.

Auch wenn sich das NIS 2 Umsetzungsgesetz verzögert, sollten Sie das Thema nicht schieben. In unserem Blog-Beitrag NIS2-Richtlinie erläutern wir, worauf Sie jetzt als Unternehmen achten müssen. Außerdem haben wir in unseren Reihen echte Expert*innen zu dem Thema, die Sie fachkundig beraten können. Sprechen Sie uns gerne an. 

Das NIS 2 Umsetzungsgesetz bringt umfassende Anforderungen mit sich, die Unternehmen in Deutschland dazu verpflichten, ihre IT-Sicherheitsstrategien zu überdenken und anzupassen. Der Gesetzentwurf, der nach der NIS-2 Richtlinie formuliert wurde, legt besonderen Wert auf die Verbesserung der Cybersicherheit in kritischen Einrichtungen. Unternehmen werden aufgefordert, Maßnahmen zu implementieren, die nicht nur den rechtlichen Vorgaben des Bundestags entsprechen, sondern auch proaktive Ansätze zur Risikominderung einschließen.

Wo gibt es verlässliche Infos zum NIS 2 Umsetzungsgesetz?

Informationen zum Umsetzungsstand der NIS2-Richtlinie finden Sie beim Bundesministerium des Innern und für Heimat (BMI).

Um Einrichtungen zu informieren, die potenziell von den neuen gesetzlichen Pflichten betroffen sind, erstellt das BSI fortlaufend Unterstützungsangebote und umfangreiche Informationen – einschließlich einer auf der BSI-Webseite veröffentlichten interaktiven NIS 2 Betroffenheitsprüfung.

Daten & Fakten – was bisher geschah

    • Die NIS-2 Richtlinie (EU 2022/2555) ist seit dem 16. Januar 2023 in Kraft
    • Umsetzungsfrist für die Richtlinie war der 17. Oktober 2024
    • Nach den Wahlen in Deutschland kann das Gesetz erst in 2025 verabschiedet werden. Es heißt dann „Gesetz zur Umsetzung der NIS-2 Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“. Ein neuer Referentenentwurf wurde Juni 2025 veröffentlicht. 
    • Am 30. Juli 2025 wurde ein neuer Regierungsentwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie verabschiedet und soll im August dem Bundesrat vorgelegt werden

E-Book NIS2 Richtlinie im Überblick

Was Sie jetzt wissen müssen!

Erfahren Sie in unserem kostenlosen E-Book:

  • Wen betrifft NIS2?
  • Was müssen betroffene Unternehmen tun?
  • 3 Punkte, die Sie jetzt angehen sollten
Kosten NIS2-Umsetzungsgesetz

Blogbeitrag: Kosten & Nutzen NIS2-Umsetzungsgesetz

Unser Kollege und Security-Experte Uwe Alkemper hat sich die Zahlen zu Aufwand und Nutzen aus dem aktuellen Referentenentwurf genauer angeschaut und bewertet – nachzulesen im Blog.

Zum Blogbeitrag Kosten & Nutzen NIS2

Andreas Rietz; Head of Infrastructure & Platform Services

Ihr Ansprechpartner : Andreas Rietz

Aktuelle Beiträge

Aktuelle Veranstaltungen bei ORBIT

  • Event Köln | DIGITAL X Focus Edition AI

    Treffen Sie ORBIT am 10. September in Köln bei der Digital X. Wir sind vor Ort und freuen uns auf Ihren Besuch!

  • Online-Seminar | KI in der Produktion – Quick Wins für KMU

    News aus dem Maschinenraum: KI-Experte Hermann del Campo zeigt, was KI in Produktionsunternehmen leistet, und präsentiert 4 machbare Use Cases.

  • Online-Seminar | Device-as-a-Service: IT-Abteilungen erfolgreich entlasten

    Weniger Hardware-Stress, mehr Fokus aufs Wesentliche: Erfahren Sie im Webinar, wie DaaS Ihre IT flexibler und planbarer macht.

  • Event Hamburg | Sales Summit 2025

    Treffen Sie ORBIT am 19. & 20.11. in Hamburg. Wir sind vor Ort – als Aussteller und mit einer Masterclass von Ralf Selzer. Wir freuen uns auf Ihren Besuch!