Seit Jahren weisen Behörden und Sicherheitsexperten auf wachsende Angriffsflächen und strukturelle Verwundbarkeiten der Cybersicherheitslage in Deutschland hin. Die NIS2-Richtlinie der EU soll dem entgegenwirken. Nun hat auch der Deutsche Bundestag am 13.11.2025, wenn auch verspätet, das NIS2-Umsetzungsgesetz verabschiedet. Damit soll jetzt auch in Deutschland ein zentraler Baustein zur nationalen Modernisierung des IT-Sicherheitsrechts gesetzt werden.
Die europäische NIS2-Richtlinie
Bereits 2016 wurde die erste NIS-Richtlinie eingeführt, um ein Mindestmaß an Cybersicherheit innerhalb der EU zu gewährleisten. Die im Januar 2023 in Kraft getretene NIS2-Richtlinie verschärft nun die Anforderungen an Unternehmen und verbessert die Durchsetzung von Cybersicherheitsstandards. Die Richtlinie wendet sich an „wesentliche Sektoren der Wirtschaft“, etwa an öffentliche elektronische Kommunikationsdienste, Abwasserunternehmen oder den Gesundheitssektor.
Verspätete Umsetzung in Deutschland
Schon bis zum 17.10.2024 hätte die Umsetzung der Richtlinie in nationales Recht erfolgen müssen. Ein Großteil der Mitgliedstaaten, darunter auch Deutschland, hatte diese Verpflichtung jedoch nicht erfüllt. Angesichts dieser Verzögerungen hatte die EU-Kommission Ende letzten Jahres ein Vertragsverletzungsverfahrens gestartet und später sogar angedroht, den EuGH anzurufen.
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz der ehemaligen Regierung hatte bereits letzten Juli das Kabinett passiert. Zu einer Annahme in Bundestag kam es jedoch nicht. Auch ein im Anschluss erarbeiteter Entwurf von SPD und Grünen scheiterte Ende Januar 2025 an inhaltlichen Differenzen mit der FDP. Die aktuelle Regierung hatte dann Ende Juli einen Regierungsentwurf vorgelegt.
Bedeutung des Umsetzungsgesetzes für Unternehmen
Das nun verabschiedete Gesetz befasste sich laut einer Pressemitteilung des Bundesamts für Sicherheit in der Informationstechnik (BSI) insbesondere mit der Überarbeitung des Bundessicherheitsgesetztes (BSIG). Neben Betreibern kritischer Infrastrukturen, Anbietern digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse sollen künftig auch „wichtige“ und „besonders wichtige Einrichtungen“ zur Umsetzung bestimmter Sicherheitsmaßnahmen verpflichtet sein. Damit steige die Zahl der betroffenen Unternehmen und Organisationen von bisher rund 4.500 auf etwa 29.500. Für diese wird in Zukunft das BSI als Aufsichtsbehörde zuständig sein und außerdem als Chief Information Security Officer (CISO) zentrale Stelle für die Cybersicherheit der Bundesverwaltung.
Für betroffene Unternehmen gelten künftig erweiterte gesetzliche Pflichten, die die Anforderungen an ein robustes Risikomanagement und eine funktionierende Cybersicherheitsorganisation verbindlich festschreiben.
Die betroffenen Unternehmen stehen nun vor der Aufgabe, sich beim BSI zu registrieren, erhebliche Sicherheitsvorfälle zeitnah zu melden und technische sowie organisatorische Schutzmaßnahmen konsequent umzusetzen. Diese reichen von der Absicherung der Netzwerke bis hin zu klaren Verantwortlichkeitsstrukturen in der Unternehmensführung.
Neue Vorgaben für die Bundesverwaltung
Auch die Bundesverwaltung ist von dem neuen Gesetz betroffen. Der Gesetzgeber verlangt, dass alle Ressorts und Behörden Mindestanforderungen an die Informationssicherheit einhalten, die insbesondere auf den IT-Grundschutz des BSI und die bestehenden Mindeststandards des Bundes verweisen. Die Koordinierung der IT-Governance-Struktur über alle Bereiche der Bundesverwaltung übernimmt das BSI als CISO.
Praktische Unterstützung für Unternehmen
Für die von NIS2 erfassten Unternehmen will das BSI unmittelbar handlungsfähige Strukturen schaffen. Mit einem Starterpaket sollen Verantwortliche eine fundierte Orientierung über ihre neuen Pflichten erhalten. Darüber hinaus plant das BSI Kick-off-Seminare, die schrittweise erklären, wie die Betroffenheitsprüfung, die Registrierung im BSI-Portal sowie die Meldeprozesse für Sicherheitsvorfälle funktionieren.
Fazit
Der Bundestag verabschiedet das NIS2-Umsetzungsgesetz zwar verspätet, aber inhaltlich angemessen. Die Umsetzung schafft nun einen verbindlichen Rahmen, der sowohl Unternehmen als auch die öffentliche Verwaltung zu einer deutlich höheren Sicherheitsqualität verpflichtet. Die zentrale Rolle des BSI verspricht mehr Effizienz, Transparenz und Verlässlichkeit in einem Bereich, der für die digitale Souveränität des Landes zunehmend entscheidend ist. Für Unternehmen bedeutet das Gesetz nun einen Umsetzungsdruck. Die neuen Pflichten müssen nicht nur formal erfüllt, sondern organisatorisch dauerhaft verankert werden. Angesichts der Komplexität empfiehlt sich für viele Unternehmen die Unterstützung durch Externe Compliancebeauftragte.
