Lassen Sie sich diesen Blog-Artikel von einer Künstlichen Intelligenz vorlesen.
Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) hätte europaweit längst in Kraft sein sollen. Brüssel hatte dafür eine Frist bis zum 17. Oktober 2024 gesetzt. In Deutschland kam es durch das Ende der Ampelregierung und Neuwahlen mit anschließender Regierungsbildung jedoch zu Verzögerungen. Diese Phase ist nun vorbei. Am 30. Juli 2025 hat die Regierung ihren Entwurf für das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ vorgelegt. Wir erklären, wie es weitergeht und wen die Neuregelungen betreffen. Denn hier hat sich noch einiges getan.
Inhalt
Quo vadis IT-Sicherheit – auf dem Weg zu NIS-2?
Ist Ihre Organisation von den Neuregelungen betroffen?
Welche Risikomanagement-Maßnahmen sind Pflicht?
Im Fall der Fälle: Meldepflichten und Sanktionen
Fazit und Handlungsempfehlungen für Unternehmen
Quo vadis IT-Sicherheit – auf dem Weg zu NIS-2?
Die Bedrohungslage im Cyberraum verschärft sich seit Jahren. Dem entgegenzusteuern und die Netzwerk- und Informationssicherheit systematisch zu erhöhen, ist für Europa und seine Mitgliedsländer daher eine Frage der Zukunftssicherung. Den Rahmen dafür setzt die verpflichtende EU-Richtlinie NIS-2. Diese zielt darauf ab, ein einheitlich hohes Sicherheitsniveau zu etablieren und kritische Infrastrukturen widerstandsfähiger zu machen: durch strengere Anforderungen, umfangreiche Meldepflichten und eine Stärkung der Zusammenarbeit zwischen den EU-Mitgliedstaaten.
Die Gesetze zur Umsetzung der NIS-2-Richtlinie werden auf nationaler Ebene beschlossen, in Deutschland von Bundestag und Bundesrat. Die Regierung hat dem Parlament im Juli 2025 ihren Gesetzesentwurf vorgelegt. Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) sagte anlässlich der Übergabe: „Mit dem heutigen Regierungsentwurf geht Deutschland einen wichtigen Schritt in Richtung einer resilienten Cybernation. Um Wohlstand und Stabilität weiterhin sichern zu können, müssen Wirtschaft und Staat sich besser gegen Cybergefahren wappnen.“¹ Das Umsetzungsgesetz soll dies nachhaltig befördern und so zu einem wichtigen Baustein für digitale Souveränität werden. Denn die Kontrolle über ihre digitale Infrastruktur haben Staat und Unternehmen nur, wenn diese sicher ist und unbeeinflusst von Anbietern aus anderen Rechtsräumen. NIS-2 definiert dafür verbindliche Sicherheitsmaßnahmen. Diese sind essenziell für den Aufbau und Erhalt der digitalen Souveränität.
Wie es nun weitergeht? Aktuell prüft das Parlament den Regierungsentwurf, debattiert über juristische Detailfragen und wird gegebenenfalls noch Anpassungen vornehmen. Bis zum Jahresende 2025 soll das Umsetzungsgesetz zur NIS-2-Richtlinie dann verabschiedet sein, sodass die Neuregelungen noch im ersten Quartal 2026 in Kraft treten können.
1IT-Sicherheitsrecht: NIS-2-Regierungsentwurf ist ein großer Schritt auf dem Weg zur Cybernation
Ist Ihre Organisation von den Neuregelungen betroffen?
Diese Frage beschäftigt aktuell viele Verantwortliche, zumal sich die Anzahl der Betriebe, die unter die Neuregelungen fallen dürften, im Laufe des Gesetzgebungsprozesses stark erhöht hat. Waren es im Herbst 2024 noch rund 8.000, so werden nach aktuellem Entwurfsstand künftig etwa 30.000 deutsche Einrichtungen unter die NIS-2-Richtlinie fallen.
Beaufsichtigt und reguliert werden diese vom BSI. Die gesetzliche Grundlage dafür liefert das BSI-Gesetz. Es wird im Zuge der Neuregelungen novelliert, um den Kreis der regulierten Einrichtungen zu erweitern. Zu diesem gehörten bisher nur Betreiber kritischer Anlagen, nun kommen „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ hinzu.
Eine erste Orientierung gibt folgende Grafik:
Achtung: Ob Ihre Organisation in eine der beiden neuen Kategorien und damit unter die NIS-2-Richtlinie fällt oder nicht, müssen Sie als Verantwortliche oder Verantwortlicher aktiv prüfen. Es gilt eine Registrierungspflicht. „Besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ müssen sich, spätestens drei Monate nachdem sie erstmals oder erneut NIS2-betroffen sind, registrieren. Die Registrierungspflicht beginnt mit Inkrafttreten des Umsetzungsgesetzes, also voraussichtlich Anfang 2026.
Welche Risikomanagement-Maßnahmen sind Pflicht?
Die Zeit läuft. Wer demnächst unter NIS-2 fällt, sollte die verbleibenden Monate intensiv nutzen, um seine Organisation auf die Umsetzung der erforderlichen Risikomanagement-Maßnahmen vorzubereiten. Welche dies sind? Eine gute, wenn auch umfangreiche Orientierung gibt das über 800 Seiten starke IT-Grundschutz-Kompendium des BSI . Es wurde entwickelt, um Unternehmen und Organisationen bei der Umsetzung der NIS-2-Richtlinie zu unterstützen und liefert detaillierte Anleitungen zur Umsetzung der Anforderungen.
Das Spektrum umfasst sowohl technische als auch organisatorische Maßnahmen. Dazu gehören Risikoanalysen, Konzepte zur Bewältigung von Sicherheitsvorfällen sowie zur Sicherheit der Lieferkette, Schulungen und Sensibilisierungsmaßnahmen, der Einsatz von kryptografischen Verfahren, die Multi-Faktor-Authentifizierung für sichere Kommunikation und vieles mehr. Art und Intensität der zu ergreifenden Maßnahmen hängen ab von der konkreten Risikoexposition, der Größe einer Organisation sowie von Schwere und Folgen etwaiger Sicherheitsvorfälle.
Im Fall der Fälle: Meldepflichten und Sanktionen
Für „besonders wichtige“ oder „wichtige Einrichtung“ gelten unter NIS-2 bald strenge Meldepflichten. Erhebliche Sicherheitsvorfälle – darunter fallen künftig beispielsweise schwerwiegende Betriebsstörungen, die zu finanziellen Verlusten und Schäden für Dritte führen – müssen dem BSI dann wie folgt gemeldet werden:
- Die Erstmeldung hat spätestens 24 Stunden nach Kenntniserlangung zu erfolgen.
- Nach 72 Stunden wird eine ausführliche Meldung fällig.
- 30 Tage nach Eintritt des Sicherheitsvorfalls muss eine Folge- bzw. Anschlussmeldung abgegeben werden: inklusive Bewertung des Schweregrads, der Auswirkungen sowie der Kompromittierungsindikatoren etc.
Stellt sich heraus, dass die etablierten Risikomanagement-Maßnahmen den Anforderungen nicht entsprochen haben oder werden Meldepflichten verletzt, drohen Sanktionen. Dabei macht NIS-2 die Einhaltung der Vorgaben und Anforderungen zur Chefinnen- bzw. Chefsache. Bei Verstößen haften die jeweils verantwortlichen Kräfte im oberen Management – und zwar persönlich. Ähnlich wie bei der DSGVO sieht der Gesetzesentwurf hohe Bußgelder vor. Im Gespräch sind bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.
Fazit und Handlungsempfehlungen für Unternehmen
Die Zeit des Abwartens hat ein Ende. Das Gesetz zur Umsetzung der NIS-2-Richtlinie ist nach Monaten der Verzögerung nun auf dem Weg der Ratifizierung und wird demnächst in Kraft treten. Wer schon länger oder neu unter NIS-2 fällt und die bekannten Basisanforderungen noch nicht erfüllt, sollte jetzt die nötigen Ressourcen bereitstellen und handeln. Das Implementieren der Risikomanagement-Maßnahmen nimmt, je nach Ausganglage, mindestens ein halbes Jahr in Anspruch. Deshalb gilt: Die Zeit, sich ein Bild vom NIS-2-Reifegrad und der eigenen Cyberresilienz zu machen, ist jetzt. Die Experten von ACP IT Solutions unterstützen Sie dabei und machen Ihr Unternehmen fit für die Anforderungen von morgen.
Sie möchten mehr erfahren?
Dann vereinbaren Sie jetzt einen Beratungstermin mit uns. >> Termin vereinbaren
Jetzt teilen
Automatisch sicher: Wie KI bei der NIS2-Umsetzung hilft
OT-Security: Operational Technology absichern leicht gemacht
