NIS2 Umsetzungsgesetz aktueller Stand

Das NIS2 Umsetzungsgesetz sollte laut NIS2 Richtlinie bis Oktober 2024 in Kraft treten – sollte, ist aber nicht. Am 30.07.2025 hat die Bundesregierung einen neuen Regierungsentwurf zur Umsetzung der NIS2 Richtlinie vorgelegt, der die Anforderungen und Abläufe spezifiziert.

NIS2-Richtlinie verzögert sich - das Bild zeigt den Umsetzungsstand

Der aktuelle Stand NIS2 Umsetzungsgesetz

Die ursprünglich für Oktober 2024 geplante EU-weite Umsetzung wurde in Deutschland u.a. aufgrund der vorgezogenen Neuwahlen und der damit verbundenen Verzögerungen im Gesetzgebungsverfahren nicht eingehalten. Ein neues Gesetzgebungsverfahren ist nun im Gange. Es ist mit einer späteren Verabschiedung des NIS2 Umsetzungsgesetzes zu rechnen. Am 30. Juli 2025 ist der (zweite) Regierungsentwurf zum NIS2 Umsetzungsgesetz vom (neuen) Bundeskabinett beschlossen worden. Er soll im August 2025 dem Bundesrat vorgelegt werden. Dieses Gesetz setzt die EU-Richtlinie NIS2 in deutsches Recht um und verschärft die Anforderungen an die Cybersicherheit für Unternehmen. Die neue Bundesregierung hatte bereits betont, dass die Umsetzung der NIS2-Richtlinie Priorität hat.

Was sind die wesentlichen Punkte des NIS2 Umsetzungsgesetz (Stand Juli 2025)?

Der neue Regierungsentwurf weicht nicht wesentlich von der vorherigen Version ab.

  1. Erweiterter Geltungsbereich
    Das Gesetz erweitert die bisherigen Sektorregelungen über klassische KRITIS-Bereiche hinaus (z. B. Energie, Wasser). Betroffen sind Unternehmen in Logistik, Maschinenbau, Lebensmittelproduktion, Pharmazie, digitalen Diensten, Post- und Lieferdiensten – sofern sie die Schwellenwerte von mindestens 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz erfüllen. Insgesamt werden in Deutschland etwa 30.000Unternehmen erfasst.
  2. Konkretisierte Risikomanagement-Maßnahmen
    Die Einführung strukturierter Prozesse für das IT-Risikomanagement ist verpflichtend und nicht optional. Das betrifft technische und organisatorische Risikomanagement-Maßnahmen wie Risikoanalysen, Audits, Konzepte zur Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Schulungen und Sensibilisierungsmaßnahmen, Multi-Faktor-Authentifizierung und sichere Kommunikation. Der neue Entwurf konkretisiert diese Maßnahmen.
  3. Nachweiszeitraum für umgesetzte Anforderungen 
    Für die Bundesverwaltung wird die Frist zum Nachweis der BSIG-Umsetzung von maximal 5 Jahren nach Inkrafttreten des Gesetzes auf 3 Jahre verkürzt. Das darf auch als Signal an die Privatwirtschaft verstanden werden, bei der NIS2 Umsetzung ebenfalls Tempo zu machen.
  4. Haftung der Geschäftsleitung
    Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen. Die Verantwortung für Cyber-Sicherheit liegt explizit bei der Geschäftsführung. Eine reine Delegation reicht nicht. Führungskräfte haften für Verstöße.
  5. Klarstellung von Begrifflichkeiten
    Die Definitionen für DNS-Diensteanbieter, Managed Security Service Provider (MSSP) und Managed Service Provider (MSP) werden präzisiert – tatsächlich ergeben sich daraus aber weitere Fragen, welche Dienstleistungen und welche Gesellschaften betroffen sein werden.
  6. Neue Einrichtungskategorien
    Es werden die von der NIS2 Richtlinie vorgegebenen Einrichtungskategorien eingeführt, was zu einer Ausweitung des Anwendungsbereichs führt.

Was müssen Sie für die NIS2 Umsetzung machen?

Die NIS2 Umsetzung wird voraussichtlich etwa 30.000 Unternehmen in Deutschland betreffen – vermutlich ist Ihres auch dabei. Betroffene Unternehmen sollten sich bereits jetzt mit den Anforderungen auseinandersetzen und mit der Umsetzung beginnen, denn die NIS2 Anforderungen müssen direkt mit Verabschiedung umgesetzt sein. Auch wenn diese gesetzliche Forderung nicht realistisch ist und anfangs vermutlich noch keine Sanktionen drohen, besteht Handlungsbedarf. Die NIS2 Umsetzung wird in vielen Organisationen mehrere Monate dauern. Starten Sie jetzt mit der Prüfung und Umsetzungsplanung, sodass Sie mit der Gesetzes-Verabschiedung einen Großteil der Anforderungen erfüllt haben. Zumal aktuell noch fachkundige Hilfe zu bekommen ist.

Befassen Sie sich jetzt mit den notwendigen Handlungsschritten zur NIS2 Umsetzung:

  • Bewerten Sie Ihr Cyberrisiko und evaluieren Sie Risiken
  • Überprüfen Sie bereits existente Cybersicherheitskonzepte
  • Erarbeiten Sie erforderliche Dokumentation wie Cybersicherheitskonzepte, Notfallpläne etc. – gemeinsam mit (internen/externen) technischen und rechtlichen Expert*innen
  • Implementieren Sie geeignete Sicherheitsmaßnahmen, inklusive technischer und organisatorischer Vorkehrungen
  • Unternehmen in Sektoren wie Energie, Verkehr und Gesundheitswesen müssen spezifische Anforderungen erfüllen.

Auch wenn sich das NIS2 Umsetzungsgesetz verzögert, sollten Sie das Thema nicht schieben. In unserem Blog-Beitrag NIS2-Richtlinie erläutern wir, worauf Sie jetzt als Unternehmen achten müssen. Außerdem haben wir in unseren Reihen echte Expert*innen zu dem Thema, die Sie fachkundig beraten können. Sprechen Sie uns gerne an. 

Das NIS2 Umsetzungsgesetz bringt umfassende Anforderungen mit sich, die Unternehmen in Deutschland dazu verpflichten, ihre IT-Sicherheitsstrategien zu überdenken und anzupassen. Der Gesetzentwurf, der nach der NIS2 Richtlinie formuliert wurde, legt besonderen Wert auf die Verbesserung der Cybersicherheit in kritischen Einrichtungen. Unternehmen werden aufgefordert, Maßnahmen zu implementieren, die nicht nur den rechtlichen Vorgaben des Bundestags entsprechen, sondern auch proaktive Ansätze zur Risikominderung einschließen.

Wo gibt es verlässliche Infos zum NIS2 Umsetzungsgesetz?

Informationen zum Umsetzungsstand der NIS2 Richtlinie finden Sie beim Bundesministerium des Innern und für Heimat (BMI).

Um Einrichtungen zu informieren, die potenziell von den neuen gesetzlichen Pflichten betroffen sind, erstellt das BSI fortlaufend Unterstützungsangebote und umfangreiche Informationen – einschließlich einer auf der BSI-Webseite veröffentlichten interaktiven NIS2 Betroffenheitsprüfung.

Daten & Fakten – was bisher geschah

    • Die NIS2 Richtlinie (EU 2022/2555) ist seit dem 16. Januar 2023 in Kraft
    • Umsetzungsfrist für die Richtlinie war der 17. Oktober 2024
    • Nach den Wahlen in Deutschland kann das Gesetz erst in 2025 verabschiedet werden. Es heißt dann „Gesetz zur Umsetzung der NIS2 Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“. Ein neuer Referentenentwurf wurde Juni 2025 veröffentlicht. 
    • Am 30. Juli 2025 wurde ein neuer Regierungsentwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie verabschiedet und soll im August dem Bundesrat vorgelegt werden

E-Book NIS2 Richtlinie im Überblick

Was Sie jetzt wissen müssen!

Erfahren Sie in unserem kostenlosen E-Book:

  • Wen betrifft NIS2?
  • Was müssen betroffene Unternehmen tun?
  • 3 Punkte, die Sie jetzt angehen sollten
Kosten NIS2 Umsetzungsgesetz

Blogbeitrag: Kosten & Nutzen NIS2-Umsetzungsgesetz

Unser Kollege und Security-Experte Uwe Alkemper hat sich die Zahlen zu Aufwand und Nutzen aus dem aktuellen Referentenentwurf genauer angeschaut und bewertet – nachzulesen im Blog.

Zum Blogbeitrag Kosten & Nutzen NIS2

Andreas Rietz; Head of Infrastructure & Platform Services

Ihr Ansprechpartner : Andreas Rietz

Aktuelle Beiträge

Aktuelle Veranstaltungen bei ORBIT

  • Online-Seminar | Device-as-a-Service: IT-Abteilungen erfolgreich entlasten

    Weniger Hardware-Stress, mehr Fokus aufs Wesentliche: Erfahren Sie im Webinar, wie DaaS Ihre IT flexibler und planbarer macht.

  • Event Phantasialand | Save like a Pro: mit Arctic Wolf & NetApp

    Techpower, SOC-Boost & Achterbahn! Melden Sie sich jetzt für unser Event mit Arctic Wolf und NetApp im Phantasialand an. Erst Input, dann Loopings! 🎢

  • SOC-Tour mit Arctic Wolf: Einblick ins Security Operations Center | Messeturm Frankfurt

    Sie möchten Ihr Unternehmen professionell gegen Cyber-Bedrohungen schützen, ohne eigene Ressourcen in ein teures und komplexes SOC zu investieren? Dann sind Sie auf unserer exklusiven SOC-Tour genau richtig!

  • Event Hamburg | Sales Summit 2025

    Treffen Sie ORBIT am 19. & 20.11. in Hamburg. Wir sind vor Ort – als Aussteller und mit einer Masterclass von Ralf Selzer. Wir freuen uns auf Ihren Besuch!