Am 13.November 2025 hat der Deutsche Bundestag das von der EU vor nahezu drei Jahren ausgerollte Umsetzungsgesetz NIS2 auf Deutschlandebene verabschiedet. Mehrere Durchläufe und intensive Diskussionen mit Sachverständigen und Politikvertretern hatte es bedurft. Letzte Woche wurde der Gesetzentwurf der Bundesregierung „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ innerhalb einer halben Stunde beschlossen.
NIS2-Umsetzungsgesetz auch in Deutschland nun verabschiedet
NIS2 ist ein seit dem 16. Januar 2023 bereits EU-weit geltendes Gesetz. Deutschland hatte es nicht fristgerecht zum 17. Oktober 2024 geschafft, das NIS2-Umsetzungsgesetz (NIS2UmsuCG) zu verabschieden. Seitdem läuft ein Vertragsverletzungsverfahren, das Bußgelder für Deutschland seitens der EU bedeuten kann, solange das jetzt verabschiedete Gesetz nicht auch faktisch in Kraft getreten ist – womit Ende 2025, spätestens aber Anfang 2026 gerechnet werden darf.
Grund für diese Verzögerung (bei Storage Insider nochmal ganz ausführlich zu finden) – und damit auch ein Inkaufnehmen möglicher Bußgelder durch die EU – war der widersprüchliche Einigungsprozess darüber, wie die NIS2-Richtlinie innerstaatlich umgesetzt werden sollte. Hier gab es deutliche Kritikpunkte Sachverständiger, u.a. zu Datenschutzfragen, Unschärfen in Zuständigkeiten und Verantwortlichkeiten sowie sich im Entwurf abzeichnenden Ausnahmen für die konkrete Umsetzung von NIS2 für mehr Cyber Resilience in Behörden und Verwaltung gegenüber der Wirtschaft – die nun mit dem finalen Gesetzesentwurf ausgeglichen sein sollen.
Ab jetzt gilt: Keine Blaupause für mehr Cyber Resilience in Unternehmen mehr
Das Gesetz gilt unmittelbar nach Verkündung: Nachdem Unternehmen mehr als drei Jahre Zeit hatten, von der Richtlinie NIS2 Kenntnis zu nehmen und sich darauf vorzubereiten, erwartet der Gesetzgeber – auch vor dem Hintergrund der Eilbedürftigkeit des Verfahrens zur Anpassung an die EU-Richtlinie – dass Unternehmen und Organisationen NIS2 mit Datum seines Inkrafttretens ohne weitere Übergangszeiten umsetzen.
Unternehmen sollten daher jetzt mit den Vorbereitungen beginnen. Dazu gehören von Pflichten wie
- Umfassende Maßnahmen im Risikomanagement
- Vorfallmeldung
- Technischen Sicherheit
- Unternehmensführung.
Ist mein Unternehmen betroffen: Für wen gilt NIS2?
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) betrifft Unternehmen verschiedenster Wirtschaftsbereiche wie Gesundheitswesen, Versorgungswirtschaft, Verkehr, öffentliche Verwaltung, aber auch digitale Infrastruktur und Produktion, geltend ab 50 Mitarbeiter bzw. Jahresumsatz oder Bilanz ab 10 Millionen Euro. Für Betreiber kritischer Infrastrukturen (KRITIS) gilt NIS2 jedoch durchgängig ohne Einschränkung.
Handlungsempfehlung: Cyber Resilience Assessment und schrittweise Umsetzung von NIS2
Beginnen Sie sofort – bestenfalls mit einer Gap-Analyse, um jetzt noch die Lücken zwischen dem aktuellen Sicherheitsstandard im Unternehmen und den Anforderungen des NIS2- Umsetzungsgesetzes zu schließen.
Noch schneller geht es mit professioneller Hilfe: In unserem Empalis-Cyber Resilience Assessment erfahren Sie zügig und passgenau, wie Sie notwendige Maßnahmen schrittweise umsetzen. Kontaktieren Sie uns gern.
Quellen
https://www.bundestag.de/dokumente/textarchiv/2025/kw46-de-nis-2-1123138
https://www.bundesregierung.de/breg-de/aktuelles/nis-2-richtlinie-deutschland-2373174
https://www.security-insider.de/nis-2-umsetzung-expertenkritik-a-245704149efbd8e2d66d3da866e58c6e/?cflt=rdt
https://www.security-insider.de/bundestag-beschliesst-nis-2-umsetzungsgesetz-a-6b67d5b503bf7404553cc5de4f0dbbb0/
Sie haben Fragen zu NIS2, Notfallplanung oder dem Cyber Resilience Assessment? Schreiben Sie mir gern.
Philip Röder, Head of Business Development & Consulting
Telefon +49 162 4196789
