Zurück zur Übersicht
14.11.2025 Fachbeitrag

Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen

Update Informationssicherheit Nr. 7, Update Datenschutz Nr. 222

Der Deutsche Bundestag hat gestern das NIS2-Umsetzungsgesetz verabschiedet. Damit setzt Deutschland die EU-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS2-Richtlinie) in nationales Recht um, verschärft das IT-Sicherheitsrecht erheblich und erweitert den Kreis betroffener Unternehmen und Behörden deutlich. Für viele Organisationen – weit über die klassische KRITIS-Welt hinaus – entstehen nun verbindliche Pflichten zu Risikomanagement, Meldungen bei Sicherheitsvorfällen, Governance und Lieferkettensicherheit. Nachfolgend skizzieren wir die Kerninhalte, die praktischen Auswirkungen und die nächsten Schritte.

Was regelt das NIS2-Umsetzungsgesetz?

Das Gesetz führt ein grundlegend novelliertes BSI-Gesetz (BSIG) ein. Neben dem BSIG werden sektorale Regelwerke (etwa das EnWG und das TKG) angepasst, um die NIS2-Pflichten kohärent abzubilden.

Kernelemente des NIS2-Umsetzungsgesetzes sind:

  • Weitgehender Anwendungsbereich: Die neuen gesetzlichen Vorgaben gelten für „besonders wichtige“ und „wichtige“ Einrichtungen in verschiedenen Sektoren (u. a. Energie, Transport, Gesundheitswesen, digitale Dienste und Infrastruktur, Abfallwirtschaft, verarbeitendes Gewerbe). Maßgeblich ist regelmäßig eine Bewertung von wirtschaftlichen Unternehmenskennzahlen auf Basis der sog. Size-Cap-Regeln (in der Regel ab 50 Beschäftigten oder ab 10 Mio. Euro Jahresumsatz). Daneben bestehen sektorale Sondertatbestände (z. B. bei Betreibern kritischer Anlagen) und Ausnahmen vom Anwendungsbereich (z. B. bei „vernachlässigbaren“ Geschäftstätigkeiten).
  • Risikomanagement: Umsetzung von geeigneten, verhältnismäßigen und wirksamen technischen und organisatorischen Maßnahmen (TOM) zur Gewährleistung von Verfügbarkeit, Integrität und Vertraulichkeit der Netzwerk- und IT-Infrastruktur. Hierzu enthält das NIS2-Umsetzungsgesetzt Mindeststandards in verschiedenen Bereichen, u. a. Risikoanalyse, Vorfallsmanagement, Business Continuity (inkl. Backup und Recovery), Secure Development und Schwachstellenmanagement, starke Zugriffskontrollen und Multi-Faktor-Authentifizierung, Kryptografieeinsatz, Lieferkettensicherheit sowie Wirksamkeitsüberprüfungen.
  • Strenge Melde- und Registrierungspflichten: Aktive Registrierung und Benennung einer Kontaktstelle sowie ein gestuftes Melderegime bei erheblichen Sicherheitsvorfällen (Frühwarnung binnen 24 Stunden, Zwischenstand/Detailbericht binnen 72 Stunden und Abschlussbericht innerhalb eines Monats).
  • Umfangreiche behördliche Befugnisse: Erweiterte Aufsichtsbefugnisse der zuständigen Aufsichtsbehörden, insbesondere des BSI im Rahmen des BSIG. Dies umfasst insbesondere Befugnisse zu Anordnungen, behördlicher Prüfungen, Nachweisanforderungen und Bußgeldverfahren. 

Praktisch bedeutsam ist die erhebliche Ausweitung des Anwendungsbereichs. Neben KRITIS-Betreibern werden nun auch zahlreiche große und mittlere Unternehmen in betroffenen Sektoren erfasst. Indirekt steigen die Anforderungen zudem entlang der Lieferkette, weil betroffene Unternehmen Sicherheits- und Compliance-Nachweise von Dienstleistern und Zulieferern einfordern werden. 

Was ist nun zu tun?

Unternehmen sollten unverzüglich strukturiert vorgehen. In der Praxis bewährt sich ein zweistufiges Vorgehen: Zunächst die Betroffenheit klären und sodann die Umsetzung entlang eines priorisierten Maßnahmenplans steuern.

  • Betroffenheitsanalyse und Registrierungsvorbereitung: Prüfung der Einstufung als „wichtige“ oder „besonders wichtige“ Einrichtung nach Sektor und Size-Cap, Ermittlung etwaiger Sondertatbestände. Parallel: Vorbereitung der verpflichtenden Registrierung und Benennung einer Kontaktstelle.
  • Gap-Analyse zum neuen BSIG: Systematische Gegenüberstellung des IST-Zustands mit den gesetzlichen Mindestanforderungen (Risikomanagement, Incident Response, Business Continuity/Backup/Recovery, Patch- und Schwachstellenmanagement, Secure Development, Berechtigungs- und Zugriffsmanagement, Kryptografie, Lieferkettensicherheit, Schulungen, Wirksamkeitskontrollen).
  • Aufbau bzw. Härtung der Informationssicherheitsorganisation: Die geforderten organisatorischen und technischen Maßnahmen erfordern eine funktionierende Informationssicherheitsorganisation innerhalb des Unternehmens, einschließlich klarer Rollen und Verantwortlichkeiten (inkl. Managementverantwortung), Richtlinienwerke, Risiko- und Maßnahmenregister, Kennzahlen und Wirksamkeitsmessung. In der Praxis bietet sich hierfür die Einführung eines belastbaren Informationssicherheitsmanagementsystems (ISMS) auf Basis anerkannter Standards an (z. B. ISO/IEC 27001, BSI-IT-Grundschutz). Eine weitere Möglichkeit bietet das sog. Cyber Fundamentals Framework (CyFun), das bereits in verschiedenen EU-Mitgliedstaaten als Referenz eingesetzt wird.
  • Melde- und Kommunikationsprozesse operationalisieren: Klare interne und externe Meldeketten, 24/7-Erreichbarkeit, Vorlagen für 24h-/72h-/30-Tage-Meldungen, belastbare Forensik- und Entscheidungsprozesse, Schnittstellen zum BSI. DSGVO- und NIS2-Meldungen sind zu verzahnen.
  • Business Continuity und Krisenstab professionalisieren: Aktualisierte Notfallpläne, Wiederanlaufstrategien, regelmäßige Übungen, abgesicherte Notfallkommunikation und Redundanzen.
  • Lieferkettensicherheit und Beschaffung: Sicherheitsanforderungen vertraglich fixieren (z. B. TOMs, Audit- und Nachweisklauseln, Exit- und Subunternehmerregelungen), Third-Party-Risikomanagement etablieren (inkl. Supply Chain Policy, Security Assessments), Lieferantenverzeichnis führen.).
  • Management-Accountability und Schulungen: Geschäftsleitung ist ausdrücklich in der Verantwortung. Pflichtschulungen, Reporting-Linien und regelmäßige Wirksamkeitskontrollen sind zu verankern.

Für „besonders wichtige“ Einrichtungen gelten erhöhte Aufsichts- und Nachweispflichten (regelmäßige Nachweise gegenüber dem BSI in festen Zyklen). „Wichtige“ Einrichtungen unterliegen risikobasierter, anlassbezogener Aufsicht – die materiellen Schutzpflichten sind aber in beiden Kategorien anspruchsvoll.

Ab wann gilt das NIS2-Umsetzungsgesetz?

Mit dem gestrigen Parlamentsbeschluss ist das Gesetzgebungsverfahren nun nahezu abgeschlossen. Das Gesetz tritt unmittelbar nach Verkündung im Bundesgesetzblatt in Kraft. Eine Übergangsfrist gibt es nicht!

Unternehmen sollten daher die Registrierung, die Definition der Kontaktstelle und die zentralen Kernprozesse (insbes. Incident- und Meldemanagement, Risiko- und BCM-Prozesse, Patch-/Vulnerability-Management und Lieferkettensicherheit) umgehend überprüfen und festgestellten Lücken entlang eines priorisierten Fahrplans schließen.

Was passiert bei Pflichtverletzungen?

Das Sanktionsregime ist deutlich verschärft und orientiert sich am weltweiten Konzernumsatz:

  • Für „besonders wichtige Einrichtungen“ drohen Geldbußen bis zu 10 Mio. Euro oder bis zu 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
  • Für „wichtige Einrichtungen“ drohen Geldbußen bis zu 7 Mio. Euro oder bis zu 1,4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Neben Bußgeldern kommen Anordnungen, Aufsichtsmaßnahmen und – in gravierenden Fällen – persönlich spürbare Konsequenzen für Leitungsorgane in Betracht. Meldepflichtverstöße (zu spät, unvollständig) und mangelnde Wirksamkeit der Sicherheitsmaßnahmen sind typische Bußgeldtatbestände. Praktisch bedeutsam ist zudem das Reputations- und Haftungsrisiko im Drittvergleich (Kunden, Versicherer, Finanziers).

Fazit

Viele Unternehmen sind erstmals unmittelbar adressiert. Wer jetzt strukturiert mit einer Betroffenheitsprüfung, einer belastbaren Gap-Analyse und der zügigen Implementierung der Kernprozesse startet, reduziert Bußgeld- und Haftungsrisiken, verbessert die eigene Resilienz und sichert die Anschlussfähigkeit in kritischen Lieferketten. 
 

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Manuel Poncza
Köln
Michael Kuska, LL.M., LL.M.
Düsseldorf

Ansprechpartner

Manuel Poncza
Köln
Michael Kuska, LL.M., LL.M.
Düsseldorf

Weitere Artikel

02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
27.11.2025
Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?
13.11.2025
Digital Omnibus: EU-Kommission legt Entwurf vor
28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
15.10.2025
EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?
01.10.2025
DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?
24.09.2025
Neuer Referentenentwurf zur Durchführung der KI-Verordnung
22.09.2025
Richtungsweisendes EuGH-Urteil zur Pseudonymisierung personenbezogener Daten
17.09.2025
Rechtliche Rahmenbedingungen beim Einsatz von KI-AGENTEN
11.09.2025
Data Act: Ab dem 12. September gelten neue Pflichten für die Datenherausgabe
03.09.2025
EuG bestätigt Wirksamkeit des EU-US Data Privacy Framework
12.08.2025
Neuer Kabinettsbeschluss zum deutschen NIS2-Umsetzungsgesetz

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.