NIS2-Richtlinie

NIS2-Richtlinie kommt frühestens Ende 2025

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes NIS2UmsuCG ist das zentrale deutsche Gesetz der europäischen NIS2-Richtlinie, die europaweit einheitliche und strengere Standards für Cybersicherheit und Resilienz vorschreibt. Die EU hatte den Mitgliedsstaaten eine Frist zur Umsetzung bis Oktober 2024 vorgegeben. Fakt ist: Deutschland hat sie nicht eingehalten. Nun soll das Gesetzgebungsverfahren für die NIS2-Richtlinie zügig abgeschlossen werden.

Stand der Gesetzgebung zur NIS2-Richtlinie

Im Juli 2025 hat das Bundeskabinett den aktuellen Regierungsentwurf beschlossen. Der Bundesrat soll im August 2025 über den Entwurf beraten; das Inkrafttreten der NIS2-Richtlinie wird nun für Ende 2025 oder Anfang 2026 erwartet. Die Verzögerungen sind offenbar durch politische Abstimmungen und zusätzliche Konsultationen mit Branchen und Verbänden entstanden.

Was steht im Gesetz? Welche Pflichten ergeben sich?

Die NIS2-Richtlinie erweitert die deutsche KRITIS-Regulierung massiv: Mehr als 29.500 Unternehmen aus zahlreichen Sektoren fallen künftig unter strengere Cybersecurity-Pflichten. Die Anforderungen betreffen neben kritischen Infrastrukturen nun auch viele mittelgroße und große Unternehmen aus Bereichen wie Gesundheit, Energie, Verkehr, Digitalwirtschaft und öffentliche Verwaltung.

  • Das Gesetz legt weitreichende Standards fest:
    • Verpflichtung zum Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS), vorzugsweise nach ISO/IEC 27001
    • Schärfere Meldepflichten bei IT-Sicherheitsvorfällen
    • Stärkere Vorgaben für Risikomanagement, Incident Response und Business Continuity
    • Regelmäßige Schulungspflichten für Führungskräfte besonders wichtiger und wichtiger Einrichtungen (§38 NIS2UmsuCG)

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) wird die zentrale Aufsichtsbehörde für Umsetzung und Kontrolle. Sensible Bereiche sind besonders betroffen: Eine unzureichende Umsetzung kann zu erheblichen Bußgeldern und Reputationsverlust führen.

Was sollten Unternehmen jetzt tun?

  • Unternehmen und Organisationen, die von der NIS2-Richtlinie betroffen sind, sollten nicht abwarten, sondern allerspätestens jetzt mit der Anpassung von IT-Risiko- und Sicherheitsstrukturen beginnen. Es sind keine Übergangsfristen vorgesehen: Nach Inkrafttreten müssen die Vorgaben kurzfristig erfüllt werden.
  • Eine Betroffenheitsanalyse klärt, ob ein Unternehmen unter die neuen Anforderungen fällt. Die BSI bietet dazu Hilfestellung und Tools an.
  • Informationssicherheitsmanagementsysteme (ISMS) nach aktuellen Standards und regelmäßige Awareness- und Führungskräfteschulungen schaffen Compliance und minimieren Risiko. Frühzeitig die eigenen IT-Strukturen analysieren, ISMS aufbauen oder erweitern, Melde- und Schulungspflichten operationalisieren und die Kommunikation mit der Aufsichtsbehörde BSI vorbereiten: Das sind die Maßnahmen, die Unternehmen schon jetzt unbedingt ergreifen sollten.

Weitere Hintergründe zur NIS2-Richtlinie

Die neue NIS2-Richtlinie erweitert den Kreis der betroffenen Unternehmen in Deutschland erheblich. Es geht nicht mehr nur um klassische kritische Infrastrukturen (KRITIS), sondern um eine breite Palette von Sektoren, die als wesentlich oder wichtig für die Gesellschaft und Wirtschaft gelten.

Generell sind Unternehmen betroffen, die

  • mindestens 50 Mitarbeiter haben und/oder
  • einen Jahresumsatz von über 10 Millionen Euro erzielen.

Ausnahmen von diesen Schwellenwerten gibt es für bestimmte Unternehmen, die unabhängig von ihrer Größe als kritisch eingestuft werden, wie etwa Qualifizierte Vertrauensdiensteanbieter oder Top-Level-Domain (TLD)-Anbieter.

Das Gesetz unterscheidet dabei zwei Kategorien von Einrichtungen:

  1. Wesentliche Einrichtungen (“Essential Entities”)

Dies sind große und mittlere Unternehmen aus Sektoren, die als besonders kritisch gelten, da ein Ausfall schwerwiegende Auswirkungen hätte. Dazu gehören:

  • Energie: Strom, Gas, Fernwärme, Wasserstoff und Erdöl.
  • Verkehr und Transport: Luft-, Schienen-, Straßen- und Schifffahrt.
  • Finanzwesen: Banken und Finanzmarktinfrastrukturen.
  • Gesundheitswesen: Krankenhäuser, Kliniken, Labore sowie die Herstellung von Medizinprodukten und Pharmazeutika.
  • Trink- und Abwasser: Versorgung und Entsorgung.
  • Digitale Infrastruktur: Rechenzentren, Cloud-Dienste, DNS-Dienste, TLD-Register und Anbieter von Content-Delivery-Netzwerken (CDNs).
  • Öffentliche Verwaltung auf zentraler und regionaler Ebene.
  • Weltraum: Betreiber von Bodeninfrastrukturen.
  1. Wichtige Einrichtungen (“Important Entities”)

Diese Kategorie umfasst mittlere und große Unternehmen aus weiteren Sektoren, die ebenfalls für die Gesellschaft relevant sind. Der Fokus liegt hier auf Branchen, deren Ausfall zwar keine Katastrophe, aber doch erhebliche Störungen verursachen würde. Dazu zählen:

  • Post- und Kurierdienste
  • Abfallwirtschaft
  • Chemie: Herstellung und Handel von chemischen Stoffen.
  • Lebensmittel: Produktion, Verarbeitung und Großhandel.
  • Verarbeitendes und produzierendes Gewerbe: z. B. Maschinenbau, Herstellung von Kraftfahrzeugen, Computern, elektronischen und optischen Erzeugnissen.
  • Anbieter digitaler Dienste: Online-Marktplätze, Suchmaschinen und soziale Netzwerke.
  • Forschung (fakultativ)

Die genaue Zuordnung hängt von den individuellen Merkmalen eines Unternehmens ab. Es ist die Aufgabe der Unternehmen selbst zu prüfen, ob sie unter das NIS2-Umsetzungsgesetz fallen. Eine gesonderte Benachrichtigung durch Behörden erfolgt nicht.

Haben Sie bereits ein unternehmensindividuelles Rechtskataster, mit dem Sie Änderungen bei Gesetzen, Vorschriften und Richtlinien immer im Blick haben? Wir beraten Sie gern, sprechen wir miteinander!

Beitrag teilen