Kleiner Nachtrag von voriger Woche. Der Deutsche Bundestag hat bereits am 13. November 2025 den Gesetzentwurf zur Umsetzung der EU NIS-2-Richtlinie beschlossen. Allerdings steht meines Wissens noch die Zustimmung des Bundesrats aus.
Was heißt NIS-2?
Das Kürzel NIS steht für steht für Network and Information Security. Und die NIS-2-Richtlinie der Europäischen Union legt verbindliche Cyber Security-Mindeststandards für Betreiber kritischer Infrastrukturen (KRITIS) fest. Ziel der Richtlinie ist die Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit.
NIS-2 bildet die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu gehören etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur.
Es handelt sich bei NIS-2 um eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, und die Richtlinie wurde bereits 2022 beschlossen und im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht.
Von dieser Richtlinie betroffene Unternehmen waren laut EU-Verordnung verpflichtet, die Maßnahmen bis Oktober 2024 umzusetzen. IT-Verantwortliche waren aufgefordert zu handeln und zu prüfen, ob sie mit der Unternehmens-IT unter die NIS-2-Richtlinie fallen. Ich hatte hier im Blog mehrfach über die NIS-2-Richtlinie berichtet (siehe Links am Artikelende). Nachfolgende Folie zum Geltungsbereich stammt auch dem Beitrag NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden.
Deutschland bei NIS-2 im Verzug
NIS-2 trat am 16. Januar 2023 offiziell EU-weit in Kraft, die Mitglieder der EU hätten NIS-2 bis Oktober 2024 in nationales Recht umsetzen müssen. In Deutschland sollte die nationale Umsetzung durch das NIS-2UmsuCG erfolgen. Durch den Bruch der Ampel-Koalition im November 2024 konnte das Gesetz aber in Deutschland nicht umgesetzt und verabschiedet werden.
Deutschland geriet dadurch bei der NIS-2-Umsetzung in Verzug und bekam von der EU-Kommission eine Mahnung sowie die Androhung eines Vertragsverletzungsverfahrens. Ich hatte hier im Blog mehrfach über den Sachstand berichtet (siehe Artikellinks am Beitragsende).
Im Sommer 2025 gab es dann einen Kabinettsbeschluss (siehe Kabinettsbeschluss zur NIS-2-Richtlinie). Zum 13. November 2025 fand dann die Abstimmung zum NIS-2-Umsetzungsgesetz im Deutschen Bundestag statt. Dort wurde der Gesetzentwurf zur Umsetzung der EU NIS-2-Richtlinie beschlossen. Dies geht aus dieser Pressemitteilung der deutschen Bundesregierung hervor. Dort heißt es:
- Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wird ermöglicht, gegenüber bisher von der Regelung nicht erfassten Anbietern von öffentlich zugänglichen Telekommunikationsdiensten mit 100.000 oder weniger Kunden Anordnungen zur Abwehr erheblicher Gefahren auszusprechen. Ohne diese Erweiterung würden eine Vielzahl von Nutzern, denen über kleinere (etwa regionale) Anbieter Telekommunikationsdienstleistungen zur Verfügung gestellt werden, nicht entsprechend geschützt werden.
- Des Weiteren ist unter anderem vorgesehen, dass das Bundesinnenministerium gegenüber dem Betreiber kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers im Benehmen mit den für den jeweiligen Sektor genannten Bundesministerien sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen kann, wenn der Einsatz die öffentlicher Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt.
Golem hat in diesem Artikel über diesen Sachverhalt sowie die Kritik der Verbände berichtet. Aktuell ist mein Wissensstand, dass der Deutsche Bundesrat bisher diesem Gesetz nicht zugestimmt hat und zahlreiche Nachbesserungen fordert. Allgemein wird mit einem Inkrafttreten von NIS-2 bis Anfang 2026 gerechnet.
NIS-2 – was Unternehmen wissen müssen
Unternehmen mussten sich eigentlich bereits seit einem Jahr um die NIS-2-Umsetzung kümmern und prüfen, ob sie unter die Richtlinie fallen. Pantelis Astenburg, Vice President Global Sales DACH von Versa Networks schätzt, dass rund 40.000 Unternehmen aus 18 Sektoren in Deutschland betroffen sind. Wenn die Unternehmen sich nicht seit 2024 vorbereitet haben, stehen sei nun unter erheblichem Zeitdruck ihre IT-Sicherheitsarchitektur überprüfen und anpassen zu müssen.
Die Seite OpenKritis gibt hier einen Überblick über den Sachstand. Ich hatte in den Beiträgen Praxisleitfaden zur NIS-2-Umsetzung und BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen zudem auf Dokumente hingewiesen, die Unternehmen bei der Umsetzung von NIS-2 verwenden können.
Betroffenheitsprüfung: Gilt die NIS2 für Ihr Unternehmen?
Der erste und wichtigste Schritt ist die eindeutige Klärung, ob das eigene Unternehmen unter die NIS2-Regulierung fällt. Der Anwendungsbereich könnte sich deutlich von den bisher avisierten 30.000 Einrichtungen erhöhen, da nun sämtliche Aktivitäten eines Unternehmens berücksichtigt werden sollen. Ausgenommen sind nur vernachlässigbare Geschäftstätigkeiten.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine Betroffenheitsprüfung bereit, die als Ausgangspunkt dient. Entscheidend sind die Zugehörigkeit zu einem der 18 regulierten Wirtschaftssektoren, die Unternehmensgröße sowie der Jahresumsatz.
Die Unterscheidung zwischen „besonders wichtigen" und „wichtigen" Einrichtungen ist laut Versa Networks dabei nicht nur akademisch: Während beide Kategorien die gleichen Risikomaßnahmen umsetzen müssen, werden besonders wichtige Einrichtungen regelmäßig behördlich überprüft, wichtige Einrichtungen hingegen nur anlassbezogen. Alle wesentlichen und wichtigen Einrichtungen müssen sich innerhalb von drei Monaten nach Identifizierung registrieren. Diese Registrierung ist der erste formale Schritt in die Compliance.
Gap-Analyse: Wo steht das Unternehmen wirklich?
Nachdem die Betroffenheit geklärt ist, muss die ehrliche Bestandsaufnahme folgen. Eine umfassende Analyse muss zeigen, welche der geforderten Maßnahmen bereits implementiert sind und wo Lücken klaffen, fordert Versa Networks. Die NIS2-Richtlinie fordert konkrete technische und organisatorische Maßnahmen zum Risikomanagement, darunter: Risikoanalysen, Incident-Response-Prozesse, Business-Continuity-Management, Sicherheit der Lieferketten, Sicherheitskonzepte für Beschaffung und Entwicklung sowie Konzepte zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen.
Deutlich verschärft wurde die Meldepflicht: Unternehmen müssen Sicherheitsvorfälle unverzüglich dem BSI melden, mit einem vorläufigen Bericht innerhalb von 24 Stunden, einem vollständigen Bericht innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Viele Unternehmen unterschätzen den organisatorischen Aufwand, der mit diesen Meldeprozessen verbunden ist. Hier gilt es, nicht nur technische Lösungen, sondern auch klare interne Eskalations- und Kommunikationswege zu etablieren.
Management in der Pflicht und der Haftung
Ein oft unterschätzter Aspekt der NIS-2 sei die persönliche Haftung der Geschäftsführung, schreibt Versa Networks. Die Richtlinie verpflichtet die Leitungsorgane explizit, Cybersicherheitsmaßnahmen zu genehmigen, deren Umsetzung zu überwachen und sich regelmäßig schulen zu lassen. Cybersecurity ist damit endgültig Chefsache – nicht nur rhetorisch, sondern mit rechtlichen Konsequenzen.
Unternehmen müssen klare Governance-Strukturen etablieren: Wer trägt die Verantwortung für die Informationssicherheit? Wie sind die Entscheidungswege definiert? Wie wird die Geschäftsführung regelmäßig über die Sicherheitslage informiert? Die Benennung eines Chief Information Security Officers (CISO) oder einer vergleichbaren Rolle ist für viele Unternehmen unumgänglich. Diese Rolle muss mit entsprechenden Kompetenzen und Ressourcen ausgestattet werden.
Die Verabschiedung des NIS-2-Umsetzungsgesetzes (sobald der Deutsche Bundesrat zugestimmt hat und das Gesetz im Bundesanzeiger veröffentlicht wurde) markiert das Ende der Ungewissheit – und den Beginn der Umsetzungsphase. Unternehmen, die gehofft haben, die Regulierung würde sich noch länger verzögern oder sie würde nicht unter den Anwendungsbereich fallen, müssen jetzt umdenken. Die NIS-2 ist keine abstrakte EU-Vorgabe mehr, sondern geltendes Recht mit erheblichen Konsequenzen bei Nichteinhaltung – schreibt Versa Networks.
Ähnliche Artikel:
Kabinettsbeschluss zur NIS-2-Richtlinie
Praxisleitfaden zur NIS-2-Umsetzung
BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen
NIS-2-Richtlinie: Wie ist der Status? Neuer Referentenentwurf (Juni 2025)
Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
MVP: 2013 – 2016
Auch hier wieder ganz viel Blaaaaa… aber keine Information darüber was man als Unternehmen jetzt technisch einsetzen / umsetzten oder einführen muss!
Nur Bla bla NIS-2 bla bla ALARM!!! bla bla
Was soll ich denn jetzt betreiben um NIS-2 zu erfüllen? Ein SOC, NDR oder PAM?
Wenn ich das richtig Verstanden habe geht es bei NIS-2 vor allem um die Erweiterung der Befugnisse der entsprechenden Behörden. (z.B. BSI)
Tja Nil, was erwartest Du denn nun. Soll ich dir als kleiner Blogger einen Waschzettel an NIS-2-Handreichungen für Umme liefern, ohne zu wissen, ob ihr im Waschpulvergeschäft, in der Energieversorgung oder was sonst unterwegs seid?
Mir ging da vor dem Schreiben des Beitrag "ich mach das mit den Fähnchen" durch den Kopf, und so habe ich nur über den Stand bei NIS-2 informiert und a bisserl verlinkt. Könnte man nachlesen, aber bis zur Verabschiedung des NIS-2 Umsetzungsgesetzes ist eh alles dynamisch.
Nimm deinen Geschäftsführer an die Hand, greif dir die gelben Seiten oder eine Suchmaschine und wählt einen von den vielen Beraters, die es da draußen gibt, heraus. Die werden euch für Geld und gute Worte schon NIS-2 beibiegen ;-).
PS: Ihr solltet aber keinesfalls "das mit den Fähnchen" bei NIS-2 machen – könnte ins Auge gehen.
NIS-2 ist ein Awareness- und Organisations-Thema. Vielleicht hilft Dir die Roadmap vom BSI weiter, aber erwarte bitte nicht zu konkrete Vorgaben: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Roadmap/nis-2-roadmap_node.html
Schonmal irgendwelche Gesetztesvorgaben gesehen die klare deutliche Anweisungen geben? Die Berater wollen ja auch leben!
Ist in VDE DIN etc. ja auch nicht anders, die geben schwammig vor was sein soll.
Weshalb denkst du das das bei IT Themen anders ist?
DA heisst es jetzt reinknien, Beratung holen und hoffen das man es richtig macht, wenn nicht zurück auf Start und nochmals. ;-P
Aber noch ist das ja nicht mal endgültig!
Hatte schon einen Berater im Hause der uns auch bei der DSGVO unterstützt. Herauszufinden ob wir mit unseren Produkten nun darunter fallen oder nicht, ist nicht einfach da wir Produkte produzieren die eigentlich nicht eindeutig zugeordnet werden können.
Ich bin mir sicher das wir NIS2 bereits erfüllen (meinte auch der Berater) , da wir im Security Bereich gut aufgestellt sind und unser Focus darauf ausgerichtet ist, schon alleine zum Eigenschutz.
Wie war das mit Bürokratieabbau? Wieder mehr, das dokumentiert und verwaltet werden muss. Nicht jedes Unternehmen kann sich einen Security Officer leisten. Was kommt dann nach NIS2? Da nehmen wir doch noch die ISO 27001 mit, damit unser Tag auch ausgefüllt ist. Es verpflichtest auch zum Aufbau eines ISMS.
Die Zustimmung des Bunderats steht noch aus sowie die Veröffentlichung (bzw. Verkündung) im Bundesgesetzblatt.
Weiß jemand, wie das mit der persönlichen Haftung von Behördenleitungen aussieht?