Zurück zur Übersicht
25.07.2025 Fachbeitrag

Neuer Anlauf beim deutschen NIS2-Umsetzungsgesetz

Update Informationssicherheit Nr. 5

Bereits am 17. Oktober 2024 ist die Frist zur Umsetzung der NIS2-Richtlinie abgelaufen. Trotzdem hat es der deutsche Gesetzgeber bislang nicht geschafft, ein entsprechendes NIS2-Umsetzungsgesetz auf den Weg zu bringen. Nach monatelangem Stillstand ist zuletzt aber dadurch, dass in den letzten Wochen mehrere überarbeitete Entwürfe des NIS2-Umsetzungsgesetz publik wurden, wieder Bewegung ins Gesetzgebungsverfahren gekommen. Nachfolgend werden die wesentlichen Punkte des aktuellen Entwurfs vom 23. Juni 2025 (hier abrufbar) dargestellt und ein Ausblick über die nächsten Schritte zum Gesetzgebungsverfahren gegeben.

I. Änderungen im BSIG-E 

Strukturell bleibt der aktuelle Entwurf in zentralen Punkten weitestgehend unverändert. Dies gilt insbesondere mit Blick auf die Vorschriften zum Anwendungsbereich für wichtige und besonders wichtige Einrichtungen sowie zum IT-Risikomanagement im neu geplanten BSI-Gesetz („BSIG-E“).

Im Wesentlichen enthalten die Änderungen fast ausschließlich (kleine) redaktionelle Klarstellungen im Bereich des IT-Risikomanagements. So wurden etwa die maßgeblichen Risikomanagementmaßnahmen noch einmal partiell angepasst, indem der bislang unklare – in der NIS2-Richtlinie aber explizit vorgesehene – Begriff der „Cyberhygiene“ ersatzlos gestrichen wurde. Stattdessen sind betroffene Einrichtungen nun verpflichtet, grundlegende Schulungen und Sensibilisierungsmaßnahmen zur IT-Sicherheit umzusetzen. Der Fokus auf die Lieferkettensicherheit wurde ebenfalls leicht angepasst: Unternehmen müssen nun Sicherheitsaspekte zu ihren unmittelbaren Anbietern betrachten – nicht aber zwischen diesen. Der Begriff „Verschlüsselung“ entfällt vollständig; stattdessen ist nun von „kryptographischen Verfahren“ die Rede.

Eine wesentliche Änderung betrifft hingegen die Einführung des neuen § 28 Abs. 3 BSIG-E. Diese Vorschrift sieht nunmehr vor, dass bei der Prüfung der Anwendbarkeit des BSIG-E im Zusammenhang mit der sektorenrelevanten Geschäftstätigkeit einer wichtigen oder besonders wichtigen Einrichtung jedenfalls solche Geschäftstätigkeiten einer Einrichtung unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der jeweiligen Einrichtung vernachlässigbar sind. Der Entwurf enthält keine weitergehenden Informationen, wann eine Geschäftstätigkeit vernachlässigbar ist. Neben der damit verbundenen Rechtsunsicherheit ist auch problematisch, dass die NIS2-Richtlinie selbst keine entsprechende Vorschrift oder Öffnungsklausel vorsieht. Es ist daher nicht auszuschließen, dass die Vorschrift in § 28 Abs. 3 BSIG-E europarechtswidrig und damit unwirksam wäre. Unternehmen, die aktuell die Betroffenheit auf Basis des Entwurfs prüfen, stehen daher vor der Frage, ob und wie Sie die Vorgaben in § 28 Abs. 3 BSIG-E berücksichtigen. Es bleibt abzuwarten, ob der Gesetzgeber im weiteren Verfahren an dieser Vorschrift festhalten wird.

Ebenfalls wurde in der Gesetzesbegründung des aktuellen Entwurfs nun explizit hervorgehoben, dass auch konzerninterne IT-Dienstleister unter den Begriff des Managed Service Providers fallen können. Voraussetzung hierfür ist ein tatsächlicher Zugriff auf IKT-Produkte, -Netzwerke oder -Infrastrukturen, wohingegen reine Beratungstätigkeiten nicht ausreichen sollen.

II. Digitale Energiedienste als neue Kategorie im EnWG und der KRITIS-Verordnung

Bereits der letzte Entwurf aus November 2024 führte mit dem Begriff der „digitalen Energiedienste“ eine neue energierechtliche Kategorie ein. Damit einhergehend sah der Entwurf aus November 2024 weitreichende Änderungen in dem neuen EnWG sowie der neuen KRITIS-Verordnung vor. Auch der neue Entwurf aus Juni 2025 hält an der Einführung dieser neuen Kategorie fest. Leider sind allerdings weiterhin keine weitergehenden Informationen enthalten, welche Dienste konkret dem Begriff der digitalen Energiedienste unterfallen sollen. Aufgrund der weiten Begriffsdefinition fallen hierunter sämtliche digitalen Anlagen und Systeme, die die Steuerung von dezentralen Verbrauchsanlagen steuern oder beeinflussen können. Auch hier bleibt zu wünschen, dass der Gesetzgeber noch weitere Informationen bereitstellt, um diesen neuen Begriff in der praktischen Anwendung und Auslegung zu konkretisieren.

III. Fazit und Ausblick 

Der neue Entwurf zum NIS2-Umsetzungsgesetz bringt keine grundlegende Neujustierung. Die bereits bekannten strukturellen Probleme der vorherigen Entwürfe bleiben damit weiterhin bestehen. Dies gilt insbesondere bei der Prüfung der Betroffenheit von wichtigen und besonders wichtigen Einrichtungen. Hier stellen sich weiterhin verschiedene unklare Fragestellungen. Aufgrund des § 28 Abs. 3 BSIG-E ergeben sich zudem neue Auslegungsschwierigkeiten. Die wenigen Klarstellungen, etwa zu konzerninternen IT-Dienstleistern, schaffen zwar punktuell Transparenz, lösen aber nicht die Kernprobleme.

Nach Rückmeldung des BMI soll in den nächsten Wochen ein offizieller Kabinettsbeschluss zum NIS2-Umsetzungsgesetz gefasst werden. Dieser soll dann im August dem Bundesrat zugeleitet und im Herbst im Bundestag erstmals gelesen werden. Ziel ist demnach eine Verkündung bis Ende 2025 bzw. Anfang 2026. Es bleibt abzuwarten, ob diese Zeitplanung eingehalten wird. Festzuhalten ist jedenfalls, dass wieder Bewegung ins Gesetzgebungsverfahren gekommen ist.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Manuel Poncza
Köln

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Manuel Poncza
Köln

Weitere Artikel

02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
02.12.2025
Wettbewerbszentrale klagt erneut gegen Amazon – Welche Auswirkungen könnte dies auf die Plattformhaftung haben?
27.11.2025
Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?
14.11.2025
Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen
14.11.2025
Eine neue Facette im Coaching-Recht: Ist die Nichtigkeit von Coaching-Verträgen verfassungswidrig?
13.11.2025
GEMA gegen OpenAI: Wegweisendes Urteil zu KI-Sprachmodellen und Urheberrecht
28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
15.10.2025
EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?
15.10.2025
Mehr Transparenz, mehr Verantwortung: Die neue EU-Verordnung 2024/900 und ihre Folgen für politische Werbung
01.10.2025
DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?
25.09.2025
Patent Mediation and Arbitration Centre (PMAC) – Alternative Streitbeilegung im Patentrecht
24.09.2025
Neuer Referentenentwurf zur Durchführung der KI-Verordnung

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.