Der aktuelle Stand NIS2 Umsetzungsgesetz

24. November 2025 Firma ORBIT Allgemein 0

Die ursprünglich für Oktober 2024 geplante EU-weite Umsetzung wurde in Deutschland im Gesetzgebungsverfahren nicht eingehalten. Finally hat der Bundestag am 13. November 2025 einen Gesetzesentwurf beschlossen, mit dem die EU-Richtlinie NIS2 in deutsches Recht umgesetzt wird. Der offizielle Name lautet „NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetz“. Dieses Gesetz verschärft die Anforderungen an die Cybersicherheit für Unternehmen. Die Umsetzung ist jedoch erst abgeschlossen, wenn das Gesetz nach der Zustimmung des Bundesrats im Bundesgesetzblatt verkündet. Derzeit wird ein Inkrafttreten Ende 2025 oder Anfang 2026 erwartet.

Was sind die wesentlichen Punkte des NIS2 Umsetzungsgesetz (Stand November 2025)?

  1. Erweiterter Geltungsbereich
    Das Gesetz erweitert die bisherigen Sektorregelungen über klassische KRITIS-Bereiche hinaus (z. B. Energie, Wasser). Betroffen sind Unternehmen in Logistik, Maschinenbau, Lebensmittelproduktion, Pharmazie, digitalen Diensten, Post- und Lieferdiensten – sofern sie die Schwellenwerte von mindestens 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz erfüllen. Laut Regierungsschätzung betrifft das künftig etwa 29.500 Unternehmen.
  2. Konkretisierte Risikomanagement-Maßnahmen
    Die Einführung strukturierter Prozesse für das IT-Risikomanagement ist verpflichtend und nicht optional. Das betrifft technische und organisatorische Risikomanagement-Maßnahmen wie Risikoanalysen, Audits, Konzepte zur Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Schulungen und Sensibilisierungsmaßnahmen, Multi-Faktor-Authentifizierung und sichere Kommunikation. Das Gesetz konkretisiert diese Maßnahmen.
  3. Meldepflichten bei Cybervorfällen
    Es gibt nun ein dreistufiges Melderegime für Sicherheitsvorfälle (nicht mehr nur eine Stufe). Unternehmen sind verpflichtet, Vorfälle differenzierter zu kategorisieren und an die Behörden zu melden.
  4. Stärkere Kontroll- und Aufsichtsrechte
    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bekommt erweiterte Befugnisse für Aufsichtsmaßnahmen.
  5. Informationssicherheitsmanagement in der Bundesverwaltung
    Es wird ein zentrales Informationssicherheitsmanagement für die Bundesverwaltung eingeführt. Außerdem wird ein ressortübergreifender „CISO Bund“ (Chief Information Security Officer des Bundes) etabliert.
  6. Änderungen bei Telekommunikationsdiensten
    Der Schwellenwert von 100.000 Kunden in § 16 des BSI-Gesetzes für Anordnungen gegenüber Telekommunikationsdiensten entfällt ersatzlos.
  7. Nachweiszeitraum für umgesetzte Anforderungen 
    Für die Bundesverwaltung wird die Frist zum Nachweis der BSIG-Umsetzung von maximal 5 Jahren nach Inkrafttreten des Gesetzes auf 3 Jahre verkürzt. Das darf auch als Signal an die Privatwirtschaft verstanden werden, bei der NIS2 Umsetzung ebenfalls Tempo zu machen.
  8. Haftung der Geschäftsleitung
    Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen. Die Verantwortung für Cyber-Sicherheit liegt explizit bei der Geschäftsführung. Eine reine Delegation reicht nicht. Führungskräfte haften für Verstöße.

Was müssen Sie für die NIS2 Umsetzung machen?

Mit der Absenkung der Schwellenwerte fallen zahlreiche kleine und mittlere Unternehmen unter den Kritis-Schutz und müssen die gesetzgeberischen Vorgaben nutzen. Die NIS2 Anforderungen müssen direkt mit Verabschiedung umgesetzt sein. Auch wenn diese gesetzliche Forderung nicht realistisch ist und anfangs vermutlich noch keine Sanktionen drohen, besteht Handlungsbedarf. Die NIS2 Umsetzung wird in vielen Organisationen mehrere Monate dauern. Starten Sie jetzt mit der Prüfung und Umsetzungsplanung, sodass Sie mit der Gesetzes-Verabschiedung einen Großteil der Anforderungen erfüllt haben. Zumal aktuell noch fachkundige Hilfe zu bekommen ist.

Befassen Sie sich jetzt mit den notwendigen Handlungsschritten zur NIS2 Umsetzung:

  • Bewerten Sie Ihr Cyberrisiko und evaluieren Sie Risiken
  • Überprüfen Sie bereits existente Cybersicherheitskonzepte
  • Erarbeiten Sie erforderliche Dokumentation wie Cybersicherheitskonzepte, Notfallpläne etc. – gemeinsam mit (internen/externen) technischen und rechtlichen Expert*innen
  • Implementieren Sie geeignete Sicherheitsmaßnahmen, inklusive technischer und organisatorischer Vorkehrungen
  • Unternehmen in Sektoren wie Energie, Verkehr und Gesundheitswesen müssen spezifische Anforderungen erfüllen.

In unserem Blog-Beitrag NIS2-Richtlinie erläutern wir, worauf Sie jetzt als Unternehmen achten müssen. 

Wo gibt es verlässliche Infos zum NIS2 Umsetzungsgesetz?

Informationen zum Umsetzungsstand der NIS2 Richtlinie finden Sie beim Bundesministerium des Innern und für Heimat (BMI).

Um Einrichtungen zu informieren, die potenziell von den neuen gesetzlichen Pflichten betroffen sind, erstellt das BSI fortlaufend Unterstützungsangebote und umfangreiche Informationen – einschließlich einer auf der BSI-Webseite veröffentlichten interaktiven NIS2 Betroffenheitsprüfung.

Kritik und Nachbesserungsbedarf

Experten, Wirtschaftsverbände und Teile der Opposition haben teils starke Kritik geäußert. Ein Punkt: Unterschiedliche Umsetzungsmodelle in der EU erschweren es Unternehmen, die grenzüberschreitend tätig sind. Der Bundesrat hat ebenfalls Anmerkungen gemacht, u.a. zur Entbürokratisierung und zur besseren Einbindung der Länder.

Daten & Fakten – was bisher geschah

  • Die NIS2 Richtlinie (EU 2022/2555) ist seit dem 16. Januar 2023 in Kraft
  • Umsetzungsfrist für die Richtlinie war der 17. Oktober 2024
  • Nach den Wahlen in Deutschland kann das Gesetz erst in 2025 verabschiedet werden. Ein neuer Referentenentwurf wurde Juni 2025 veröffentlicht. 
  • Am 30. Juli 2025 wurde ein neuer Regierungsentwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie verabschiedet.
  • Am 13. November 2025 hat der Deutsche Bundestag das NIS2 Umsetzungsgesetz beschlossen – Video zur halbstündigen 
  • Debatte im BundestagNext Step „Inkrafttreten“, vermutlich Ende 2025/Anfang 2026: Verkündung der Zustimmung des Bundesrats im Bundesgesetzblatt => Inkrafttreten
Firmenkontakt und Herausgeber der Meldung:

ORBIT Gesellschaft für Applikations- und Informationssysteme mbH
Mildred-Scheel-Straße 1
53175 Bonn
Telefon: +49 (228) 95693-0
Telefax: +49 (228) 95693-99
http://www.orbit.de

Ansprechpartner:
Verena Kleintje
PR
Telefon: +49 (228) 95693621
E-Mail: verena.kleintje@orbit.de
Weiterführende Links
Für die oben stehende Story ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel