Zurück zur Übersicht
12.08.2025 Fachbeitrag

Neuer Kabinettsbeschluss zum deutschen NIS2-Umsetzungsgesetz

Update Informationssicherheit Nr. 6

Am 30. Juli 2025 hat das Bundeskabinett die Verabschiedung des Gesetzentwurfs zur Umsetzung der NIS2-Richtlinie, in der Fassung des Regierungsentwurfs vom 25. Juli 2025 (abrufbar hier), beschlossen. Damit kommt das Gesetzgebungsverfahren einen entscheidenden Schritt voran. Es bleibt allerdings abzuwarten, ob das anvisierte Ziel des Gesetzgebers eingehalten wird. Dieses sieht eine Verabschiedung des NIS2-Umsetzungsgesetzes bis zum Ende des Jahres vor. 

I. Übersicht über die zentralen Inhalte des Kabinettsbeschlusses

Inhaltlich entspricht der Regierungsentwürfe weitestgehend den bisherigen Entwürfen zum NIS2-Umsetzungsgesetz und enthält schwerpunktmäßig vor allem noch redaktionelle Anpassungen an verschiedenen Stellen, vor allem im neuen BSI-Gesetz („BSIG-E“). 

Dies bedeutet, dass als „besonders wichtige Einrichtungen“ oder als „wichtige Einrichtungen“ eingestufte Unternehmen und Organisationen vor allem folgende Vorgaben einhalten müssen: 

  • Umsetzung angemessener IT-Risikomanagementmaßnahmen,
  • Festlegung verbindlicher Prozesse zur Behandlung und Meldung von erheblichen Sicherheitsvorfällen (Incident Reponse),
  • Einhaltung von Anforderungen an die Lieferkettensicherheit,
  • Durchführungen zu Sensibilisierungs- und Schulungsmaßnahmen.

Die Geschäftsleitungen von betroffenen Unternehmen und Organisationen unterliegen ebenfalls explizit Governance- und Schulungspflichten. Bei Nichteinhaltung drohen betroffenen Unternehmen und Organisationen Bußgelder. 

II. Ein wesentlicher Streitpunkt: Vernachlässigbare Geschäftstätigkeiten 

Hervorzuheben ist, dass der Regierungsentwurf auch an der bereits vielfach kritisierten Regelung in § 28 Abs. 3 BSIG-E festhält. Danach sollen Geschäftstätigkeiten, die im Verhältnis zur Gesamtgeschäftstätigkeit einer Einrichtung „vernachlässigbar“ sind, bei der Zuordnung zu einer Einrichtungsart nach den Anlagen 1 und 2 zum BSIG-E – und damit der Prüfung der Anwendbarkeit im Rahmen des BSIG-E – unberücksichtigt bleiben. 

Wie bereits in unserem vorherigen Newsletter dargestellt (abrufbar hier) ist der Begriff der „vernachlässigbaren Geschäftstätigkeiten“ gesetzlich nicht definiert. Gemäß der Gesetzesbegründung soll es sich hierbei um geringfügige Nebentätigkeiten handeln. Es soll daher eine Gesamtabwägung aller relevanten Anhaltspunkte vorgenommen werden. 

Neu ist dabei ebenfalls, dass die Gesetzesbegründung nun konkrete Anhaltspunkte zur Auslegung des Begriffs enthält. So sollen als mögliche Anhaltspunkte etwa die Anzahl der im jeweiligen Bereich tätigen Mitarbeiter, der durch die Geschäftstätigkeit erwirtschaftete Umsatz oder die Bilanzsumme für diesen Bereich relevant sein.

Ein Indiz, dass gegen eine vernachlässigbare Geschäftstätigkeit spricht, soll nach der Gesetzesbegründung wiederum der Umstand sein, ob die jeweilige Geschäftstätigkeit im Gesellschaftervertrag, einer Satzung oder einem anderen Gründungsdokument aufgeführt wird. Letzteres scheint allerdings wenig überzeugend, da Unternehmen per se nur solche Geschäftstätigkeiten vornehmen dürfen, die gemäß in der Satzung beschrieben sind.

Im Ergebnis bleibt es somit dabei, dass potenziell betroffene Unternehmen aktuell nur schwer rechtssicher einschätzen können, wann eine Geschäftstätigkeit tatsächlich vernachlässigbar ist und sie daher nicht in den Anwendungsbereich fallen. Weiterhin ist eine solche nationale Ausnahme in der NIS2-Richtlinie nicht vorgesehen und könnte daher europarechtswidrig sein.

III. Neue KRITIS-Kategorie im Bereich der Sozialversicherung und Grundsicherung

Wie bereits die vorherigen Entwürfe hält auch der Regierungsentwurf an der neuen KRITIS-Kategorie im Bereich der Sozialversicherung und Grundsicherung in der BSI-KRITIS-Verordnung fest. Neu in dem Regierungsentwurf ist nun allerdings, dass ein neuer Anhang 9 mit entsprechenden Anlagenkategorien und Schwellenwerten für diesen Sektor in der BSI-KRITIS-Verordnung vorgesehen ist. 

Konkret betrifft dies folgende Anlagenkategorien: 

  • Verwaltungs- und Zahlungssysteme im Bereich der gesetzlichen Kranken- und Pflegeversicherung,
  • Leistungssysteme,
  • Auszahlungssysteme.

IV. Weiteres Vorgehen und Zeitplan 

Mit dem Kabinettsbeschluss ist das Gesetzgebungsverfahren nun offiziell im parlamentarischen Prozess angekommen. Der Fahrplan sieht dabei wie folgt aus:

  • August 2025: Zuleitung des Gesetzesentwurfs an den Bundesrat
  • September 2025: Erste Lesung im Bundestag
  • November 2025: Zweite und dritte Lesung im Bundestag
  • Dezember 2025 oder Januar 2026: Angestrebte Verabschiedung und Verkündung

Das Bundesinnenministerium plant weiterhin, dass das NIS2-Umsetzungsgesetz spätestens Anfang 2026 in Kraft treten kann. Angesichts der weiterhin ungelösten Streitpunkte bleibt jedoch abzuwarten, ob diese Zeitplanung gehalten wird.

V. Fazit und Empfehlung

Mit dem Regierungsentwurf ist zwar ein wichtiger Schritt geschafft, die vielfältigen Probleme des NIS2-Umsetzungsgesetzes sind jedoch nicht behoben. Die Verbändebeteiligung in Juli 2025 hat dabei erneut gezeigt, dass die bisherigen Entwürfe noch einer dringenden Überarbeitung bedürfen. Ob der deutsche Gesetzgeber die viele Einwände aus den Verbänden und der Wirtschaft berücksichtigen wird, bleibt abzuwarten. 

Gleichwohl sollten sich Unternehmen und Organisationen bereits jetzt intensiv mit dem aktuellen Regierungsentwurf beschäftigen. In einem ersten Schritt gilt es zu prüfen, ob sie in den Anwendungsbereich fallen. In einem zweiten Schritt ist dann zu ermitteln, inwieweit die bestehenden Maßnahmen und Prozesse die gesetzlichen Vorgaben bereits abdecken und inwieweit gegebenenfalls noch Lücken bestehen. Etwaige Lücken sind dann in einem letzten Schritt zu schließen.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Manuel Poncza
Köln

Ansprechpartner

Michael Kuska, LL.M., LL.M.
Düsseldorf
Manuel Poncza
Köln

Weitere Artikel

02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
02.12.2025
Wettbewerbszentrale klagt erneut gegen Amazon – Welche Auswirkungen könnte dies auf die Plattformhaftung haben?
27.11.2025
Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?
14.11.2025
Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen
14.11.2025
Eine neue Facette im Coaching-Recht: Ist die Nichtigkeit von Coaching-Verträgen verfassungswidrig?
13.11.2025
GEMA gegen OpenAI: Wegweisendes Urteil zu KI-Sprachmodellen und Urheberrecht
28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
15.10.2025
EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?
15.10.2025
Mehr Transparenz, mehr Verantwortung: Die neue EU-Verordnung 2024/900 und ihre Folgen für politische Werbung
01.10.2025
DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?
25.09.2025
Patent Mediation and Arbitration Centre (PMAC) – Alternative Streitbeilegung im Patentrecht
24.09.2025
Neuer Referentenentwurf zur Durchführung der KI-Verordnung

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.