Die Bundesregierung startet einen neuen Anlauf für ein Gesetz zur Umsetzung der NIS2-Richtlinie. Wir beleuchten, womit Organisationen und Unternehmen rechnen müssen, wenn das NIS2-Umsetzungsgesetz so verabschiedet würde.
In aller Kürze
- Das Bundeskabinett hat am 25. Juli 2025 einen Regierungsentwurf für das NIS2-Umsetzunggesetz beschlossen (Gesetz zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung).
- Das Gesetz soll dem Bundesrat zu Stellungnahme vorgelegt werden. Anschließend wird das Gesetz im Bundestag und dem zuständigen Ausschuss diskutiert sowie (ggfs. mit Änderungen) beschlossen.
- Das NIS2-Umsetzungsgesetz soll die europäische NIS2-Richtlinie in nationales Recht umsetzen. Die eigentliche Frist dafür war der 17. Oktober 2024. Der Gesetzesentwurf zum NIS2UmsuCG der letzten Regierung konnte jedoch vor den vorgezogenen Neuwahlen im Januar 2025 nicht verabschiedet werden.
Wer ist künftig vom NIS2-Umsetzungsgesetz betroffen?
Das NIS2-Umsetzungsgesetz wird das bisherige BSI-Gesetz aktualisieren. Statt nur Betreiber kritischer Infrastrukturen (KRITIS) zu adressieren, wird der Anwendungsbereich nun deutlich ausgeweitet. Erfasst werden künftig sogenannte „wichtige“ und „besonders wichtige“ Einrichtungen aus nahezu 20 Sektoren – etwa Energie, Transport, Gesundheitswesen, digitale Dienste, öffentliche Verwaltung, Bankwesen oder auch Abfallwirtschaft.
Damit steigt die Zahl der verpflichteten Organisationen unter dem NIS2-Umsetzungsgesetz erheblich. Diese müssen künftig allesamt ein wirksames Risikomanagement einführen und auf Anforderung auch gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen können.
Anforderungen an die Sicherheitsmaßnahmen (§ 30 BSIG)
Im neu gefassten § 30 BSI-Gesetz werden konkrete Maßnahmen und organisatorische Pflichten festgelegt. Unternehmen müssen „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ treffen, um die Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse sicherzustellen.
Diese Maßnahmen müssen insbesondere umfassen:
- Konzepte zur Risikoanalyse und IT-Sicherheit
- Prozesse zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen
- Maßnahmen zur Betriebsfortführung (u.a. Backup-, Wiederherstellungs- und Krisenmanagement)
- Sicherheitsanforderungen in der Lieferkette (inkl. unmittelbare Dienstleister)
- Sichere Entwicklung, Wartung und Beschaffung von IT-Systemen inkl. Schwachstellenmanagement
- Wirksamkeitsprüfung des Risikomanagements
- Schulungen und Sensibilisierung der Mitarbeitenden
- Einsatz und Verwaltung kryptographischer Verfahren
- Zugriffskontroll- und Berechtigungskonzepte, sichere ITK-Systemverwaltung
- Nutzung von Multi-Faktor-Authentifizierung sowie abgesicherte Kommunikationsmittel (auch Notfallkommunikation)
Im Ergebnis ist somit ein entsprechendes Informationssicherheits-Managementsystem (ISMS) verpflichtend.
Registrierungspflicht und aktive Meldeverantwortung (§§ 32–33 BSIG)
Nach § 33 BSI-Gesetz müssen sich die betroffenen Einrichtungen aktiv registrieren und dort auch eine Kontaktstelle benennen. Diese Registrierungspflicht gilt auch für DNS-Diensteanbieter. Ein Abwarten bis zum behördlichen Kontakt ist damit nicht mehr möglich.
Meldepflichten gemäß § 32 BSI-Gesetz sehen eine abgestufte Informationspflicht bei erheblichen Sicherheitsvorfällen vor:
- Erstmeldung innerhalb von 24 Stunden nach Kenntnis
- Abschlussmeldung spätestens nach einem Monat
Ergänzend können Zwischenmeldungen verlangt werden, z. B. wenn neue Erkenntnisse oder Maßnahmen vorliegen.
Persönliche Verantwortung des Managements
Es bleibt auch im neuen Entwurf des NIS2-Umsetzungsgesetzes dabei, dass die Verantwortung beim Management liegt: Geschäftsführende und Vorstände sind persönlich verpflichtet, für die Einhaltung der Anforderungen zu sorgen. Bei Verstößen drohen individuelle Sanktionen, einschließlich des Verbots zur Ausübung der Geschäftsführertätigkeit.
Nachweispflichten und Sanktionen (§ 39 BSIG)
Für Betreiber besonders sensibler Einrichtungen bleibt es dabei: Die Umsetzung der Sicherheitsmaßnahmen ist dem BSI alle drei Jahre gegenüber nachzuweisen (§ 39 BSIG).
Die möglichen Sanktionen sind erheblich: Bußgelder von bis zu 2 % des weltweiten Jahresumsatzes, bei „wichtigen Einrichtungen“ bis zu 1,4 %, sind vorgesehen. Die Bußgeldhöhe orientiert sich am Umsatz und an der Schwere des Verstoßes – ähnlich wie bereits aus der DSGVO bekannt.
Fazit: Jetzt vorbereiten hat Priorität
Auch mit dem neuen Gesetz zur Umsetzung der NIS-2-Richtlinie bleibt klar vorhersehbar, dass auf zahlreiche Unternehmen und Organisationen erhebliche neue Pflichten zukommen. Die Anforderungen sind anspruchsvoll und betreffen nahezu alle Bereiche der Informationssicherheit.
Frühzeitige Vorbereitung, der Aufbau eines ISMS und die interne Verantwortungszuweisung sind jetzt geboten – nicht zuletzt aufgrund der persönlichen Haftung des Managements.