Am 13. November 2025 verabschiedete der Bundestag das NIS2-Umsetzungsgesetz. Mit deutlicher Verspätung wurde damit die NIS2-Richtlinie der EU in nationales Recht umgesetzt. Wir erklären alles Wichtige für betroffene Organisationen, speziell Unternehmen.
In aller Kürze
- Das Bundeskabinett hat am 25. Juli 2025 einen Regierungsentwurf für das NIS2-Umsetzunggesetz beschlossen (Gesetz zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung).
- Das Gesetz soll dem Bundesrat zu Stellungnahme vorgelegt werden. Anschließend wird das Gesetz im Bundestag und dem zuständigen Ausschuss diskutiert sowie (ggfs. mit Änderungen) beschlossen.
- Das NIS2-Umsetzungsgesetz soll die europäische NIS2-Richtlinie in nationales Recht umsetzen. Die eigentliche Frist dafür war der 17. Oktober 2024. Der Gesetzesentwurf zum NIS2UmsuCG der letzten Regierung konnte jedoch vor den vorgezogenen Neuwahlen im Januar 2025 nicht verabschiedet werden.
Wer fällt unter die NIS2-Regelungen?
Das NIS2-Umsetzungsgesetz (Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung) ändert vor allem das BSI-Gesetz (BSIG).
Statt wie bisher nur Betreiber kritischer Infrastrukturen (KRITIS) zu adressieren, wird der Anwendungsbereich deutlich ausgeweitet. Erfasst werden künftig sogenannte „wichtige“ und „besonders wichtige“ Einrichtungen aus nahezu 20 Sektoren – etwa Energie, Transport, Gesundheitswesen, digitale Dienste, öffentliche Verwaltung, Bankwesen oder auch Abfallwirtschaft. Die Zahl der verpflichteten Organisationen steigt erheblich.
Diese Organisationen, insbesondere Unternehmen, müssen künftig allesamt ein wirksames Risikomanagement einführen und auf Anforderung auch gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen können.
Anforderungen an die Sicherheitsmaßnahmen (§ 30 BSIG)
Im neu gefassten § 30 BSI-Gesetz werden konkrete Maßnahmen und organisatorische Pflichten festgelegt. Unternehmen müssen „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“ treffen, um die Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse sicherzustellen.
Diese Maßnahmen müssen insbesondere umfassen:
- Konzepte zur Risikoanalyse und IT-Sicherheit
- Prozesse zur Erkennung, Meldung und Bewältigung von Sicherheitsvorfällen
- Maßnahmen zur Betriebsfortführung (u.a. Backup-, Wiederherstellungs- und Krisenmanagement)
- Sicherheitsanforderungen in der Lieferkette (inkl. unmittelbare Dienstleister)
- Sichere Entwicklung, Wartung und Beschaffung von IT-Systemen inkl. Schwachstellenmanagement
- Wirksamkeitsprüfung des Risikomanagements
- Schulungen und Sensibilisierung der Mitarbeitenden
- Einsatz und Verwaltung kryptographischer Verfahren
- Zugriffskontroll- und Berechtigungskonzepte, sichere ITK-Systemverwaltung
- Nutzung von Multi-Faktor-Authentifizierung sowie abgesicherte Kommunikationsmittel (auch Notfallkommunikation)
Hinweis: Im Ergebnis ist somit ein entsprechendes Informationssicherheits-Managementsystem (ISMS) verpflichtend.
Registrierungspflicht und aktive Meldeverantwortung (§§ 32–33 BSIG)
Nach § 33 BSI-Gesetz müssen sich die betroffenen Einrichtungen aktiv registrieren und dort auch eine Kontaktstelle benennen. Diese Registrierungspflicht gilt auch für DNS-Diensteanbieter. Ein Abwarten bis zum behördlichen Kontakt ist damit nicht mehr möglich.
Die in § 32 BSI-Gesetz geregelten Meldepflichten sehen eine abgestufte Informationspflicht bei erheblichen Sicherheitsvorfällen vor:
- Erstmeldung innerhalb von 24 Stunden nach Kenntnis
- Innerhalb von 72 Stunden ab Kenntnis muss der Vorfall bestätigt, die erste Meldung aktualisiert und eine erste Bewertung des Vorfalls und seiner Auswirkungen vorgelegt werden.
- Eine Abschlussmeldung ist spätestens einen Monat später fällig.
Das BSI kann Zwischenmeldungen verlangen, z. B. wenn neue Erkenntnisse oder Maßnahmen vorliegen.
Hier wird sehr deutlich, wie schnell betroffene Einrichtungen künftig auf Vorfälle gezielt reagieren können müssen. Allein schon die hierfür notwendigen Ressourcen dürften bei vielen Organisationen noch gar nicht vorgesehen sein, von geeigneten Prozessen ganz zu schweigen.
Persönliche Verantwortung des Managements
Ungeachtet der Tatsache, dass rechtlich eine solche Klarstellung gar nicht notwendig gewesen wäre, spricht das Gesetz nun ganz ausdrücklich aus, dass das Management persönlich in der Verantwortung steht. Geschäftsführende und Vorstände sind persönlich verpflichtet, sich ausreichend zu schulen, für die Einhaltung der Anforderungen zu sorgen und die Umsetzung zu überwachen. Bei Verstößen drohen individuelle Sanktionen, einschließlich des Verbots zur Ausübung der Geschäftsführertätigkeit.
Tipp: Lesen Sie dazu auch, wie NIS2-Geschäftsführungsschulungen durchzuführen sind.
Nachweispflichten und Sanktionen (§ 39 BSIG)
Für Betreiber besonders sensibler Einrichtungen bleibt es dabei: Die Umsetzung der Sicherheitsmaßnahmen ist dem BSI alle drei Jahre gegenüber nachzuweisen (§ 39 BSIG).
Die möglichen Sanktionen sind erheblich: Bußgelder von bis zu 2 % des weltweiten Jahresumsatzes, bei „wichtigen Einrichtungen“ bis zu 1,4 %, sind vorgesehen. Die Bußgeldhöhe orientiert sich am Umsatz und an der Schwere des Verstoßes – ähnlich wie bereits aus der DSGVO bekannt.
Untersagung kritischer Komponenten
Mit dem neuen § 41 BSIG wird die Möglichkeit geschaffen, Betreibern kritischer Anlagen den Einsatz von kritischen Komponenten zu untersagen. Viele werden sich an die Diskussionen über bestimmte Hersteller aus dem Ausland erinnern, die im Zusammenhang mit dem Ausbau des 5G-Mobilfunknetzes Komponenten liefern sollten. Im Ernstfall könnten sehr hohe Investitionen auf dem Spiel stehen.
Wie bereits in vielerlei anderer Hinsicht ohnehin notwendig, wird nun auch in diesem Zusammenhang die sehr sorgfältige Auswahl von Lieferanten unverzichtbar.
Fazit: Wer bislang abgewartet hat, ist jetzt im Zweifel zu spät.
Das Gesetz liegt auf dem Tisch. Wie lange schon vorhersehbar, bestehen für viele Unternehmen und Organisationen erhebliche neue Pflichten. Die Anforderungen sind anspruchsvoll und betreffen nahezu alle Bereiche der Informationssicherheit.Es gibt keine Umsetzungsfrist. Die Verpflichtungen greifen einen Tag nach Veröffentlichung des Gesetzes sofort. Verpflichte Organisationen müssten jetzt fertig mit den Vorbereitungen sein.
Soweit noch notwendig, ist es jetzt allerhöchste Zeit, den Aufbau eines angemessenen ISMS mit allerhöchster Priorität voranzutreiben.
Allerspätestens jetzt geht der Wettlauf um Berater in die Zielgerade. Wer jetzt immer noch zögert, wird das Nachsehen haben.
