Die deutsche Bundesregierung hat zum 30. Juli 2025 den Kabinettsbeschluss zur Umsetzung der NIS 2-Richtlinie verabschiedet. Damit rückt das Thema Cybersicherheit wieder auf die politische Agenda – mit spürbaren Auswirkungen für Unternehmen in kritischen Sektoren.
Um was geht es bei NIS-2?
Die NIS-2-Richtlinie (NIS steht für Network and Information Security) der Europäischen Union legt verbindliche Cyber Security-Mindeststandards für Betreiber kritischer Infrastrukturen (KRITIS) fest.
Ziel der Richtlinie ist die Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit. NIS-2 bildet die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu gehören etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur.
Es handelt sich bei NIS-2 um eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, und die Richtlinie wurde bereits 2022 beschlossen und im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht.
NIS-2 trat am 16. Januar 2023 offiziell EU-weit in Kraft, die Mitglieder der EU hätten NIS-2 bis Oktober 2024 in nationales Recht umsetzen müssen. In Deutschland sollte die nationale Umsetzung durch das NIS-2UmsuCG erfolgen.
Von dieser Richtlinie betroffene Unternehmen waren laut EU-Verordnung verpflichtet, die Maßnahmen bis Oktober 2024 umzusetzen. IT-Verantwortliche waren aufgefordert zu handeln und zu prüfen, ob sie mit der Unternehmens-IT unter die NIS-2-Richtlinie fallen. Ich hatte hier im Blog mehrfach über die NIS-2-Richtlinie berichtet (siehe Links am Artikelende). Nachfolgende Folie zum Geltungsbereich stammt auch dem Beitrag NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden.
Durch den Bruch der vorherigen Regierungskoalition wurde das NIS-2UmsuCG niemals von Bundestag und Bundesrat für Deutschland als Gesetz verabschiedet. Die Unternehmen, die NIS-2 unterliegen, hängen also rechtlich in der Luft.
Die EU-Kommission hat, gemäß dieser Mitteilung, bereits Ende November 2024 ein Vertragsverletzungsverfahren gegen Deutschland und weitere 22 Mitgliedstaaten wegen fehlender Umsetzung der NIS-2-Richtlinie eingeleitet. Zum 7. Mai 2025 hat die EU-Kommission die zweite Stufe dieses Vertragsverletzungsverfahrens eingeleitet. Als betroffener Staat hat Deutschland zwei Monate Zeit, NIS-2 vollständig gesetzlich umzusetzen und dies der Kommission zu melden.
Kabinett beschließt NIS-2-Umsetzung
Obiger Abriss gibt den aktuellen NIS-2-Sachstand wieder – eine ziemlich vertrackte Situation für Unternehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zumindest eine Leitlinie zur NIS-2-Meldeplflicht veröffentlicht (siehe BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen). Und es gab Referentenentwürfe für das Gesetzgebungsverfahren. Letztmalig hatte ich im Artikel NIS-2-Richtlinie: Wie ist der Status? Neuer Referentenentwurf (Juni 2025) über den Sachstand berichtet.
Der Verband der Internetwirtschaft e.V., eco, informierte mich zum 30. Juli 2025, das die Bundesregierung den Kabinettsbeschluss zur Umsetzung der NIS 2-Richtlinie verabschiedet habe. Ulrich Plate, Leiter der Kompetenzgruppe KRITIS bei eco, begrüßt diesen Schritt: "Damit kehrt das Thema Cybersicherheit endlich auf die politische Bühne zurück – überfällig angesichts der sicherheitspolitischen Lage. Die EU-Richtlinie verlangt nicht weniger als eine strukturelle Modernisierung der Sicherheitsarchitektur kritischer Infrastrukturen."
Doch der Kabinettsbeschluss ist nur der Auftakt, denn nun beginnt die eigentliche Arbeit im parlamentarischen Verfahren. Dort wird sich zeigen, ob die Bundesregierung wirklich bereit ist, bei Ausnahmen, Zuständigkeiten und Übergangsfristen für Klarheit zu sorgen, merkt eco an.
Denn auch nach der jüngsten Überarbeitung bleiben auch für eco zentrale Fragen offen. So etwa bei den geplanten Ausnahmen für Unternehmen mit vermeintlich 'vernachlässigbarer' kritischer Tätigkeit. Was politisch pragmatisch klingt, ist europarechtlich heikel. Sollte diese Regelung vor dem EuGH scheitern, drohen Vertragsverletzungsverfahren und ein Rückfall in die Unsicherheit, die NIS 2 eigentlich beenden sollte, fürchtet der Verband der Internetwirtschaft e.V.
Die europäische Dimension verdiene mehr Aufmerksamkeit, mahnt Ulrich Plate. Während Deutschland noch abstimme, schafften andere Mitgliedstaaten bereits nationale Fakten; allerdings nicht immer im Geiste der Harmonisierung. So setze etwa Italien auf eigene Interpretationen, was das Risiko eines regulatorischen Flickenteppichs erhöhe. "Deutschland täte gut daran, hier nicht ebenfalls zum Alleingang anzusetzen", sagt der KRITIS-Experte.
"Immerhin: Die Umsetzungsbasis nimmt Gestalt an. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitet sich organisatorisch auf seine Aufgaben vor – unter anderem mit einem geplanten Melde- und Registrierungsportal, über das Unternehmen künftig ihre Betroffenheit anzeigen und Sicherheitsvorfälle melden sollen. Für Unternehmen bedeutet das: Jetzt ist der richtige Zeitpunkt, um aktiv zu werden. Dazu gehört nicht nur die Überprüfung bestehender Sicherheitsarchitekturen, sondern vor allem auch die Schärfung interner Risikoanalysen, die eine der zentralen Anforderungen von NIS 2 darstellt. Wer frühzeitig für Klarheit sorgt, stärkt nicht nur die eigene Compliance, sondern auch die betriebliche Resilienz", so Ulrich Plate.
Ähnliche Artikel:
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
Praxisleitfaden zur NIS-2-Umsetzung
BSI will Unternehmen bei NIS-2 unterstützen
Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?
NIS-2-Richtlinie: Wie ist der Status? Neuer Referentenentwurf (Juni 2025)
BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen
MVP: 2013 – 2016
Typisch Staat – herauszufinden, ob ein Unternehmen diese Richtlinie erfüllen muss, wird einem sehr schwer gemacht. Sicherheitshalber haben die alle möglichen Branchen aufgenommen, lächerlich.
"…sondern vor allem auch die Schärfung interner Risikoanalysen, die eine der zentralen Anforderungen von NIS 2 darstellt. Wer frühzeitig für Klarheit sorgt, stärkt nicht nur die eigene Compliance, sondern auch die betriebliche Resilienz", so Ulrich Plate"
Klar, wir haben sonst ja nichts anderes zu tun. Sollen wir zusätzlich noch jemanden einstellen, der Risikoanalysen durchführt? Ein Betrieb ändert sich permanent.
Es gibt ja eine wilde Theorie: Wenn wir alles offen wie ein Scheunentor lassen, gibt es keine Leaks und Hacks mehr, höchstens noch Kollateralschäden durch gedrehte Bits. Ich glaube, ich gehe wieder in den Garten – irgendwo haben die Leute den Schuss noch nicht gehört. Ihr sichert die Systeme nicht für den Staat ab, sondern für eure Firmen.
Das kann ich noch toppen!
Mein Anbieter will das ich als Privatperson eine Telefonnumer angebe weil ich angeblich unter die NIS2 Richtlinie fallen würde! Das Einzige was bei mir auf dem Server für andere öffentlich Zugänglich ist, ist meine Emailadresse. Ob es eine ist unter der ich erreichbar sein muss wurde nicht gesagt.
Die Idee für diesen Unsinn kommt vielleicht aus der Tatsach wenn der Politiker feststellt "Bei mir auf dem Land kennt jeder jeden und keiner schließt ab und trotzdem kommt nichts weg. Das geht doch in diesem Internetz genau so gut.
Deine Telefonnummer würde benötigt, wenn man z.B. alle Deine Daten und Accounts zukünftig irgendwann leichter Deiner dann verpflichtend zu nutzenden persönlichen digitalen Identität zuordnen möchte. Hat nichts direkt mit NIS2 zu tun, aber dieser Trend zieht sich wohl inzwischen durch alle Ebenen.
Privatpersonen kommen in NIS2 noch nicht vor
Und "der Staat" definiert sich selbst als Ausnahme, also kann das alles so schlimm ja nicht sein. Das kann durchaus eine Schlussfolgerung eines Betrachters sein. Schuld daran ist "der Staat" selbst.
Wir sichern alles bestmöglich ab und ich benötige hierfür keine NIS2 oder was da noch alles kommt. Wir haben zusätzlich ein externes SOC, das rund um die Uhr unsere Systeme überwacht und auch eingreifen kann und darf. Das SOC ist auch BSI-zertifiziert. Wir machen Schachstellenscans und beheben diese, wenn es technologisch möglich ist. Die Richtlinie brauchen wir sicher nicht – ist nur wieder mehr Bürokratie, die NICHTS sicherer macht.
wenn ihr das so macht, seid ihr ja weiter als die man müsste was machen Fraktion.
Deswegen rege ich mich ja auf, wir tun und machen und bekommen obendrauf noch zusätzlich die Bürokratie. Die, die bisher nichts unternommen haben, um Ihr Unternehmen (Kapital) zu schützen, werden das sowieso nicht tun. Und der "Staat" selbst unternimmt für seine Institutionen am wenigsten.
Die Prüfung der NISG-Kriterien wird dir schwer gemacht?
Extra für Dich hat die zuständige Behörde einen Service eingerichtet:
https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Betroffenheitspruefung/nis-2-betroffenheitspruefung_node.html
Link bitte nicht weitergeben.
Screenshot:
Warum ist der Geltungsbereich aufgeteilt in "Große Unternehmen" und "Mittlere Unternehmen", obwohl die Kriterien für "Mittlere Unternehmen" automatisch auch für "Große Unternehmen" gelten?
Zwischen "Umsatz" und "Jahresbilanzzsumme" sollte dass Wort "und" durch "oder" ausgetauscht werden oder es muss eine Klammer gesetzt werden, um klarzustellen, worauf sie das "und" bezieht. Bezieht sich dieses "und" auf nur auf den vorhergehenden "Umsatz" oder auch auf die vorher genannte Anzahl der Mitarbeitenden? Diese unlogische oder-und-Verknüpfung in der Formulierung ist einer der Gründe, warum manche Firmen nicht wissen, ob sie betroffen sind oder nicht. Alles sollte mittels "oder" (nicht xor, nicht and) verknüpft werden und ein einziges Kriterium reicht dann aus, um betroffen zu sein.
Bei den "Wesentlichen Sektoren" oder den "Wichtigen Sektoren" fehlen die Rüstungsunternehmen und deren Zulieferer. Die bekannteste deutsche Rüstungsfirma wird täglich angegriffen.
Der Verband der Internetwirtschaft e.V., eco, redet von "Ausnahmen" und möchte diese gerne haben?
Im Gesetz sollte das Wort "ausnahmslos" mit drin stehen.
NIS2 ist ein EU Thema, DE muss es "nur" umsetzen. Nur weil ein Sektor fehlt, heißt es nicht das dieser keine "Auflagen" hat, denn es gibt u.a. noch KRITIS und so weiter.
"Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitet sich organisatorisch auf seine Aufgaben vor – unter anderem mit einem geplanten Melde- und Registrierungsportal, über das Unternehmen künftig ihre Betroffenheit anzeigen und Sicherheitsvorfälle melden sollen."
Reichlich spät!
Die NIS-2 Richtlinie gibt es seit 2 Jahren.
Da hätte man seitens des BSI schon lange vorarbeiten können und wäre bei Inkrafttreten des nationalen Gesetzes gleich startbereit:
Am Stichtag, an dem das Gesetz in Kraft tritt, Knopfdruck beim BSI und das Melde- und Registrierungsportal wird scharf geschaltet.
Und was KRITIS angeht:
Auch ohne NIS-2 sollten die entsprechenden Unternehmen Wert auf höchste Cybersicherheitstandards legen. Egal, wie groß.
WAS soll denn "die entsprechenden Unternehmen" genau bedeuten?
Und "Egal, wie groß." ist einfach nur pauschalisierend und verkennt die Lebensrealität insbes. für nicht so "große" Unternehmen, weil die eben gar nicht über die nötigen Ressourcen verfügen.
So sieht es aus.
Auch z.B. ein kleiner lokaler Energieversorger ist KRITIS und sollte seine IT sicher halten.
Wird der gehackt und in die Energieinfrastruktur eingegriffen, können davon auch größere Energieversorger betroffen sein und dann könnte es schnell z.B. zu einem Stromausfall in einem ganzen Bundesland kommen.
Siehe den kürzlichen Vorfall in Spanien.
Der wurde zwar durch eine technische Störung verursacht und nicht durch Hacker, aber Hacker können so etwas, wenn die an die richtigen Stellen vordringen, auch auslösen.
Die ganzen Energienetze sind so stark vernetzt, das selbst ein Ausfall in einem kleinen lokalen Netz ein größeres überregionales Netz mitreißen kann.
Deshalb egal wie groß.
Finde den Fehler.
Das ist kein Fehler, sondern so nötig, um das Netz stabil zu halten.
Wenn in einer Region die Kraftwerke den Strombedarf nicht mehr decken können, wird eben Strom aus anderen Regionen ins Netz geleitet.
Und so etwas passiert kontinuierlich.
Isolierte Netze gibt es nicht.
Die Netze sind sogar über Staatengrenzen hinweg vernetzt.
Je nach Strombedarf in den jeweiligen Regionen wird Strom ins benachbarte Ausland abgegeben oder auch aus dem benachbarten Ausland bezogen.
Ohne diese Vernetzung würde unser Stromnetz so nicht funktionieren oder wäre viel instabiler.
Da gehören ja wohl aber branchenspezifisch entsprechende Sicherheitsvorschriften viel früher an- bzw. umgesetzt, allerdings war das hier ja auch nicht gemeint.
Und außerdem ist die Vorstellung an eine in die Realität umsetzbare absolute Sicherheit sowieso Quatsch – für alle "Sicherungsmaßnahmen", die der Mensch ersinnt, hat eben jener auch die benötigte Kreativität zur Verfügung diese Sicherungen zu "knacken".
Das ist szs. "Fail-by-Design"! 🤷♂️
Ich will ja nix schwarzmalen, aber es ist leider zwingend notwendig, wenn man mal hier schaut. https://kommunaler-notbetrieb.de/ Zahlreiche Verwaltungen, Kliniken usw. patchen immer noch nicht, denen muß die Daumenschraube angezogen werden. Das geht halt nicht anders. Wenn der eigene Antrieb zum Schwachstellenauswerten und beheben nicht reicht, muß halt Druck von Oben kommen.
Ich kenne hier auch Gemeinden, die einen ITler haben. Heute bei der Feuerwehr, morgen beim Friedhofsamt, übermorgen in der Schule nen Schulungsraum betreuen mit Backup und Restore täglich, danach wieder mal im Bürgeramt. Und ist natürlich ne E9 Stelle. Was soll dabei bitte rumkommen ?!?!
Jens Lange ist einsamer Rufer in der Wüste, ist ja selbst in der Verwaltung und weiß, worüber er in seinem Hobby-Projekt schreibt. Und genau diesen Bereich wollte der IT-Planungsrat aus NIS-2 raushalten. Wie die Diskussion aktuell steht, weiß ich grad nicht so genau.