Das Bundeskabinett hat am 23.07.2025 den lang überfälligen Regierungsentwurf zur NIS2-Umsetzung vorgelegt. Ziel der europäischen NIS2-Richtlinie ist es, die Widerstandsfähigkeit gegenüber Cyberbedrohungen signifikant zu erhöhen und Unternehmen wie Behörden mit klaren, verbindlichen Vorgaben auszustatten. Das eigentlich bereits seit Oktober 2024 erforderliche deutsche Umsetzungsgesetz soll nun schnellstmöglich verabschiedet werden. Relevante und umstrittene Themen bleiben aber im Entwurf bislang offen.
Weiterlesen: Regierungsentwurf zur NIS2-UmsetzungInhalt der NIS-2-Richtlinie
Bereits 2016 wurde die erste NIS-Richtlinie (Network and Information Security Richtlinie) eingeführt, um ein Mindestmaß an Cybersicherheit innerhalb der EU zu gewährleisten. Die NIS-2-Richtlinie, die im Januar 2023 in Kraft trat, verschärft nun die Anforderungen an Unternehmen und verbessert die Durchsetzung von Cybersicherheitsstandards. Die Richtlinie wendet sich an „wesentliche Sektoren der Wirtschaft“, etwa an öffentliche elektronische Kommunikationsdienste, Abwasserunternehmen oder den Gesundheitssektor.
Überfälliger Regierungsentwurf
Deutschland geht mit dem aktuellen Regierungsentwurf nun den überfälligen Schritt zur nationalen Umsetzung. Schon bis zum 17.10.2025 hätte die Umsetzung der Richtlinie in nationales Recht erfolgen müssen. Ein Großteil der Mitgliedstaaten, darunter auch Deutschland, hat diese Verpflichtung jedoch nicht erfüllt. Angesichts dieser Verzögerungen hatte die EU-Kommission Ende letzten Jahres den ersten Schritt des Vertragsverletzungsverfahrens eingeleitet. Als auch daraufhin in 19 Staaten, inklusive Deutschland, weiterhin kein Gesetzeserlass folgte, leitete die EU-Kommission im Mai den nächsten Schritt ein. In diesem Zusammenhang drohte die EU-Kommission unteranderem an, den EuGH anzurufen, wenn innerhalb von zwei Monaten keine gesetzgeberischen Maßnahmen zur Umsetzung ergriffen werde.
Bisheriger Gesetzgebungsprozess in Deutschland
Das deutsche NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) der ehemaligen Regierung hatte bereits letzten Juli das Kabinett passiert. Zu einer Annahme in Bundestag kam es jedoch nicht. Zwar betonte die Bundesdatenschutzbeauftragte, Louisa Specht-Riemenschneider, noch die Relevanz der Einhaltung der EU-Umsetzungsfristen, eine Verabschiedung weiterer Gesetze sah sie jedoch aber schon damals als unsicher. Ein im Anschluss trotz Scheitern der Ampelkoalition erarbeiteter Entwurf von SPD und Grünen scheiterte Ende Januar 2025 an inhaltlichen Differenzen mit der FDP. Die neu gewählte Regierung hatte sich bislang lediglich in ihrem Koalitionsvertrag zur Umsetzung bekannt, allerdings noch kein Gesetz verabschiedet.
Inhalt des neuen Entwurfs
Der Regierungsentwurf zur NIS2-Umsetzung befasst sich insbesondere mit der Überarbeitung des Bundessicherheitsgesetztes (BSIG). Neben Betreibern kritischer Infrastrukturen, Anbietern digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse sollen künftig auch „wichtige“ und „besonders wichtige Einrichtungen“ zur Umsetzung bestimmter Sicherheitsmaßnahmen verpflichtet sein. Damit steigt laut einer Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Zahl der betroffenen Unternehmen und Organisationen von bisher rund 4.500 auf etwa 29.500.
Bemerkenswert ist insbesondere, dass es sich im Vergleich zum von der ehemaligen Regierung vorgelegten Entwurf um eine deutlich vereinfachte Version handelt. Der alte Entwurf der Ampel-Koalition sah noch über die Vorgaben der EU-Richtlinie hinausgehende Regeln vor. Bundesinnenminister, Alexander Dobrindt (CSU), habe laut heise online gesagt, dass man lieber „auf klare Regeln ohne unnötige Bürokratie“ setzen wolle.
Das begrüßt der Bitkom-Präsident, Ralf Wintergersts, in einer Presseinformation und weist darauf hin, dass Unternehmen „europaweite einheitliche Bedingungen“ brauchen. Beispielsweise stellt § 39 Abs. 1 BSIG-E ausdrücklich klar, dass die Nachweispflicht für Betreiber kritischer Infrastrukturen sich nicht auf Ihre komplette IT bezieht, sondern ausschließlich auf solche, die für den Betrieb solcher kritischen Systeme relevant sind. Das bedeutet eine enorme Entlastung für betroffene Unternehmen.
Kritik am Referentenentwurf
Trotzdem startet der neue Referentenentwurf nicht ohne Kritik in die politische Debatte. Das Hauptargument bezieht sich darauf, dass der Entwurf relevante und umstrittene Fragen bislang nicht klärt, sodass eine Einigung hierüber noch im Bundestag erfolgen muss. Da dieser sich aber zurzeit in der Sommerpause befindet und erst im September wieder zusammenkommt, bleibt eine zeitnahe Verabschiedung vor dem Hintergrund des Vertragsverletzungsverfahrens besonders fraglich.
Konkret erklärt der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) in einer Stellungnahme (abrufbar hier) etwa, dass bislang zentrale Fragen bezüglich der Ausnahmen von Unternehmen mit „vernachlässigbaren“ kritischen Rollen unbeantwortet sind. Daneben führe der Entwurf auch andere wichtige neue Begriffe ein, ohne diese konsequent zu definieren. Exemplarisch hierfür seien die fehlenden Definitionen für „Risiko“ und „Cyberhygiene“ oder die uneinheitliche Verwendung von Sicherheitsbegriffen wie „Informationssicherheit“, „Datensicherheit“ und „IT-Sicherheit“.
Außerdem fehlt bislang die bereits Anfang Juli von den Landesdatenschutzbehörden geforderten einheitlichen Meldewege für Datenschutzverstöße nach der Datenschutzgrundverordnung (DSGVO) und Sicherheitsvorfälle nach der NIS2-Richtlinie. In diesem Zusammenhang weist der GDD aber auf die technisch anspruchsvolle Umsetzung eines solchen, wenn auch begrüßenswerten, Vorschlags hin. Zugunsten der zügigen Richtlinienumsetzung spricht er sich deshalb für ein späteres Aufgreifen dieses Vorschlags aus.
Hilfsangebote durch das BSI
Für Unternehmen ist laut dem BSI entscheidend, schnell und rechtssicher beurteilen zu können, ob sie von den neuen Pflichten betroffen sind. Hierfür stellt das BSI flankierende Unterstützungs- und Beratungsangebote zur Verfügung. Die Behörde stellt zudem eine interaktive Betroffenheitsprüfung zur Verfügung, die potenziell verpflichtete Stellen zur Selbsteinschätzung nutzen können.
Fazit
Der Regierungsentwurf zur NIS-2-Umsetzung markiert einen Wendepunkt im deutschen IT-Sicherheitsrecht. Er verankert verbindliche Anforderungen in deutlich mehr Unternehmen und Behörden als bislang und macht IT-Sicherheit zur Aufgabe der Führungsebene. Allerdings zeigen sich noch deutliche Lücken, die geklärt und geschlossen werden müssen. Nicht nur aufgrund drohender Bußgelder durch den EuGH, sondern auch zur Herstellung von Rechtssicherheit für Unternehmen ist nun eine zeitnahe Umsetzung erforderlich.
