Kleiner Nachtrag von voriger Woche. Der Deutsche Bundestag hat bereits am 13. November 2025 den Gesetzentwurf zur Umsetzung der EU NIS-2-Richtlinie beschlossen. Allerdings steht meines Wissens noch die Zustimmung des Bundesrats aus. Ergänzung: Der Bundesrat hat zum 21. November 2025 ebenfalls zugestimmt.
Was heißt NIS-2?
Das Kürzel NIS steht für steht für Network and Information Security. Und die NIS-2-Richtlinie der Europäischen Union legt verbindliche Cyber Security-Mindeststandards für Betreiber kritischer Infrastrukturen (KRITIS) fest. Ziel der Richtlinie ist die Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit.
NIS-2 bildet die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu gehören etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur.
Es handelt sich bei NIS-2 um eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, und die Richtlinie wurde bereits 2022 beschlossen und im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht.
Von dieser Richtlinie betroffene Unternehmen waren laut EU-Verordnung verpflichtet, die Maßnahmen bis Oktober 2024 umzusetzen. IT-Verantwortliche waren aufgefordert zu handeln und zu prüfen, ob sie mit der Unternehmens-IT unter die NIS-2-Richtlinie fallen. Ich hatte hier im Blog mehrfach über die NIS-2-Richtlinie berichtet (siehe Links am Artikelende). Nachfolgende Folie zum Geltungsbereich stammt auch dem Beitrag NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden.
Wer fällt unter NIS-2? Quelle: DV-Kontor, zum Vergrößern klicken
Deutschland bei NIS-2 im Verzug
NIS-2 trat am 16. Januar 2023 offiziell EU-weit in Kraft, die Mitglieder der EU hätten NIS-2 bis Oktober 2024 in nationales Recht umsetzen müssen. In Deutschland sollte die nationale Umsetzung durch das NIS-2UmsuCG erfolgen. Durch den Bruch der Ampel-Koalition im November 2024 konnte das Gesetz aber in Deutschland nicht umgesetzt und verabschiedet werden.
Deutschland geriet dadurch bei der NIS-2-Umsetzung in Verzug und bekam von der EU-Kommission eine Mahnung sowie die Androhung eines Vertragsverletzungsverfahrens. Ich hatte hier im Blog mehrfach über den Sachstand berichtet (siehe Artikellinks am Beitragsende).
Im Sommer 2025 gab es dann einen Kabinettsbeschluss (siehe Kabinettsbeschluss zur NIS-2-Richtlinie). Zum 13. November 2025 fand dann die Abstimmung zum NIS-2-Umsetzungsgesetz im Deutschen Bundestag statt. Dort wurde der Gesetzentwurf zur Umsetzung der EU NIS-2-Richtlinie beschlossen. Dies geht aus dieser Pressemitteilung der deutschen Bundesregierung hervor. Dort heißt es:
- Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wird ermöglicht, gegenüber bisher von der Regelung nicht erfassten Anbietern von öffentlich zugänglichen Telekommunikationsdiensten mit 100.000 oder weniger Kunden Anordnungen zur Abwehr erheblicher Gefahren auszusprechen. Ohne diese Erweiterung würden eine Vielzahl von Nutzern, denen über kleinere (etwa regionale) Anbieter Telekommunikationsdienstleistungen zur Verfügung gestellt werden, nicht entsprechend geschützt werden.
- Des Weiteren ist unter anderem vorgesehen, dass das Bundesinnenministerium gegenüber dem Betreiber kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers im Benehmen mit den für den jeweiligen Sektor genannten Bundesministerien sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen kann, wenn der Einsatz die öffentlicher Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt.
Golem hat in diesem Artikel über diesen Sachverhalt sowie die Kritik der Verbände berichtet. Aktuell ist mein Wissensstand, dass der Deutsche Bundesrat bisher diesem Gesetz nicht zugestimmt hat und zahlreiche Nachbesserungen fordert. Allgemein wird mit einem Inkrafttreten von NIS-2 bis Anfang 2026 gerechnet.
NIS-2 – was Unternehmen wissen müssen
Unternehmen mussten sich eigentlich bereits seit einem Jahr um die NIS-2-Umsetzung kümmern und prüfen, ob sie unter die Richtlinie fallen. Pantelis Astenburg, Vice President Global Sales DACH von Versa Networks schätzt, dass rund 40.000 Unternehmen aus 18 Sektoren in Deutschland betroffen sind. Wenn die Unternehmen sich nicht seit 2024 vorbereitet haben, stehen sei nun unter erheblichem Zeitdruck ihre IT-Sicherheitsarchitektur überprüfen und anpassen zu müssen.
Die Seite OpenKritis gibt hier einen Überblick über den Sachstand. Ich hatte in den Beiträgen Praxisleitfaden zur NIS-2-Umsetzung und BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen zudem auf Dokumente hingewiesen, die Unternehmen bei der Umsetzung von NIS-2 verwenden können.
Betroffenheitsprüfung: Gilt die NIS2 für Ihr Unternehmen?
Der erste und wichtigste Schritt ist die eindeutige Klärung, ob das eigene Unternehmen unter die NIS2-Regulierung fällt. Der Anwendungsbereich könnte sich deutlich von den bisher avisierten 30.000 Einrichtungen erhöhen, da nun sämtliche Aktivitäten eines Unternehmens berücksichtigt werden sollen. Ausgenommen sind nur vernachlässigbare Geschäftstätigkeiten.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine Betroffenheitsprüfung bereit, die als Ausgangspunkt dient. Entscheidend sind die Zugehörigkeit zu einem der 18 regulierten Wirtschaftssektoren, die Unternehmensgröße sowie der Jahresumsatz.
Die Unterscheidung zwischen „besonders wichtigen" und „wichtigen" Einrichtungen ist laut Versa Networks dabei nicht nur akademisch: Während beide Kategorien die gleichen Risikomaßnahmen umsetzen müssen, werden besonders wichtige Einrichtungen regelmäßig behördlich überprüft, wichtige Einrichtungen hingegen nur anlassbezogen. Alle wesentlichen und wichtigen Einrichtungen müssen sich innerhalb von drei Monaten nach Identifizierung registrieren. Diese Registrierung ist der erste formale Schritt in die Compliance.
Gap-Analyse: Wo steht das Unternehmen wirklich?
Nachdem die Betroffenheit geklärt ist, muss die ehrliche Bestandsaufnahme folgen. Eine umfassende Analyse muss zeigen, welche der geforderten Maßnahmen bereits implementiert sind und wo Lücken klaffen, fordert Versa Networks. Die NIS2-Richtlinie fordert konkrete technische und organisatorische Maßnahmen zum Risikomanagement, darunter: Risikoanalysen, Incident-Response-Prozesse, Business-Continuity-Management, Sicherheit der Lieferketten, Sicherheitskonzepte für Beschaffung und Entwicklung sowie Konzepte zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen.
Deutlich verschärft wurde die Meldepflicht: Unternehmen müssen Sicherheitsvorfälle unverzüglich dem BSI melden, mit einem vorläufigen Bericht innerhalb von 24 Stunden, einem vollständigen Bericht innerhalb von 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Viele Unternehmen unterschätzen den organisatorischen Aufwand, der mit diesen Meldeprozessen verbunden ist. Hier gilt es, nicht nur technische Lösungen, sondern auch klare interne Eskalations- und Kommunikationswege zu etablieren.
Management in der Pflicht und der Haftung
Ein oft unterschätzter Aspekt der NIS-2 sei die persönliche Haftung der Geschäftsführung, schreibt Versa Networks. Die Richtlinie verpflichtet die Leitungsorgane explizit, Cybersicherheitsmaßnahmen zu genehmigen, deren Umsetzung zu überwachen und sich regelmäßig schulen zu lassen. Cybersecurity ist damit endgültig Chefsache – nicht nur rhetorisch, sondern mit rechtlichen Konsequenzen.
Unternehmen müssen klare Governance-Strukturen etablieren: Wer trägt die Verantwortung für die Informationssicherheit? Wie sind die Entscheidungswege definiert? Wie wird die Geschäftsführung regelmäßig über die Sicherheitslage informiert? Die Benennung eines Chief Information Security Officers (CISO) oder einer vergleichbaren Rolle ist für viele Unternehmen unumgänglich. Diese Rolle muss mit entsprechenden Kompetenzen und Ressourcen ausgestattet werden.
Die Verabschiedung des NIS-2-Umsetzungsgesetzes (sobald der Deutsche Bundesrat zugestimmt hat und das Gesetz im Bundesanzeiger veröffentlicht wurde) markiert das Ende der Ungewissheit – und den Beginn der Umsetzungsphase. Unternehmen, die gehofft haben, die Regulierung würde sich noch länger verzögern oder sie würde nicht unter den Anwendungsbereich fallen, müssen jetzt umdenken. Die NIS-2 ist keine abstrakte EU-Vorgabe mehr, sondern geltendes Recht mit erheblichen Konsequenzen bei Nichteinhaltung – schreibt Versa Networks.
Bundesrat hat auch zugestimmt
Ergänzung: Der Bundesrat hat zum 21. November 2025 ebenfalls zugestimmt, wie ich hier lesen konnte. Steht noch die Verkündung im Bundesanzeiger aus – dürfte Anfang Dezember 2025 der Fall sein. Dann dürfte NIS-2 Anfang 2026 in Kraft treten.
Ähnliche Artikel:
Kabinettsbeschluss zur NIS-2-Richtlinie
Praxisleitfaden zur NIS-2-Umsetzung
BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen
NIS-2-Richtlinie: Wie ist der Status? Neuer Referentenentwurf (Juni 2025)
Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
MVP: 2013 – 2016
Auch hier wieder ganz viel Blaaaaa… aber keine Information darüber was man als Unternehmen jetzt technisch einsetzen / umsetzten oder einführen muss!
Nur Bla bla NIS-2 bla bla ALARM!!! bla bla
Was soll ich denn jetzt betreiben um NIS-2 zu erfüllen? Ein SOC, NDR oder PAM?
Wenn ich das richtig Verstanden habe geht es bei NIS-2 vor allem um die Erweiterung der Befugnisse der entsprechenden Behörden. (z.B. BSI)
Tja Nil, was erwartest Du denn nun. Soll ich dir als kleiner Blogger einen Waschzettel an NIS-2-Handreichungen für Umme liefern, ohne zu wissen, ob ihr im Waschpulvergeschäft, in der Energieversorgung oder was sonst unterwegs seid?
Mir ging da vor dem Schreiben des Beitrag "ich mach das mit den Fähnchen" durch den Kopf, und so habe ich nur über den Stand bei NIS-2 informiert und a bisserl verlinkt. Könnte man nachlesen, aber bis zur Verabschiedung des NIS-2 Umsetzungsgesetzes ist eh alles dynamisch.
Nimm deinen Geschäftsführer an die Hand, greif dir die gelben Seiten oder eine Suchmaschine und wählt einen von den vielen Beraters, die es da draußen gibt, heraus. Die werden euch für Geld und gute Worte schon NIS-2 beibiegen ;-).
PS: Ihr solltet aber keinesfalls "das mit den Fähnchen" bei NIS-2 machen – könnte ins Auge gehen.
NIS-2 ist ein Awareness- und Organisations-Thema. Vielleicht hilft Dir die Roadmap vom BSI weiter, aber erwarte bitte nicht zu konkrete Vorgaben: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Roadmap/nis-2-roadmap_node.html
Schonmal irgendwelche Gesetztesvorgaben gesehen die klare deutliche Anweisungen geben? Die Berater wollen ja auch leben!
Ist in VDE DIN etc. ja auch nicht anders, die geben schwammig vor was sein soll.
Weshalb denkst du das das bei IT Themen anders ist?
DA heisst es jetzt reinknien, Beratung holen und hoffen das man es richtig macht, wenn nicht zurück auf Start und nochmals. ;-P
Aber noch ist das ja nicht mal endgültig!
Hatte schon einen Berater im Hause der uns auch bei der DSGVO unterstützt. Herauszufinden ob wir mit unseren Produkten nun darunter fallen oder nicht, ist nicht einfach da wir Produkte produzieren die eigentlich nicht eindeutig zugeordnet werden können.
Ich bin mir sicher das wir NIS2 bereits erfüllen (meinte auch der Berater) , da wir im Security Bereich gut aufgestellt sind und unser Focus darauf ausgerichtet ist, schon alleine zum Eigenschutz.
Geht mir nicht anders. Eigentlich falle ich nicht darunter, da zu klein und auch nicht direkt Produkte herstelle, die darunter fallen. Aber da gibt es noch die Umsatzgrenzen… da wird es knifflig. Lieferkette kann dir auch schnell ein Bein stellen.
Die Sicherheit halte ich schon aus Eigenschutz hoch: On-Prem und datensparsam, gut gehärtet und gesichert; Zero Trust etc.versteht sich von selbst. Dafür brauch ich kein DSGVO und kein NIS2, das macht man eigentlich bereits aus Eigeninteresse.
Naja bin jetzt in einem Alter wo ich mich auch zu Ruhe setzen kann, mit dem Rrsparten lässt sich sehr gut leben und wenn ich die Firma verkaufe erst recht. Also wenn die mir da tatsächlich auf den Sack gehen, gibts den Stinkefinger ;-P Gängeln lassen ist nicht drinn!
So ist es, aber die Bürokratie… „ schnauf"
Ein gewisses Maß an IT-Sicherheit sollte man auch ohne NIS-2 umgesetzt haben. Es ist ja nicht erst seit gestern bekannt, dass das ein durchaus wichtiges Thema ist.
Dein Kommentar zeigt eher, dass du/deine Firma (wer auch immer da zuständig ist) dich damit bisher Null auseinander gesetzt hast. In den BSI-Grundschutz sollte man als betroffenes Unternehmen schon lange eine intensiven Blick geworfen haben. Dass NIS-2 kommen wird und wie man seine Betroffenheit feststellen kann, ist jetzt seit einem Jahr definitiv gesetzt, dass sowas kommen wird, weiß man seit Oktober 2022. Hätte man vorher ja schon mal was machen können.
Genau zu formulieren, was jedes einzelne Unternehmen jetzt wie umsetzen soll, ist nicht möglich. Die Gegebenheiten sind ja überall unterschiedlich.
Genau deswegen brauchen wir eine gesetzliche Vorgabe, damit es auch endlich die gebacken bekommen, die IT-Sicherheit bisher vernachlässigt haben.
Wir stehen bereit für Sie:
https://auriscon.info/nis-2/
https://auriscon.info/nis2-geschaefstleitungsschulung/
Kostenlose Online-Erstberatung.
Rainer – ich lasse es hier einmalig stehen (weil ich eine Beratung vorgeschlagen habe). Aber ich lösche in anderen Fällen geposteten SEO-Spam.
Betr. https://auriscon.info/nis2-geschaefstleitungsschulung/:
Als ich dort las: "Ihre Vorteile auf einen Blick: Erfüllen Sie die gesetzlichen Anforderungen ohne Stress" wandte ich mich wieder den Peppa Wutz Videos meiner Enkelin zu.
Betr. "Auch hier wieder ganz viel Blaaaaa… aber keine Information darüber was man als Unternehmen jetzt technisch einsetzen / umsetzten oder einführen muss!":
Normal, Bro! In immer mehr Domänen sind dem Staat Verständnis und Fähigkeiten verloren gegangen, um überhaupt noch Gesetze erlassen zu können, die einen gesellschaftlichen Nutzen stiften und Wirkung entfalten können. Der Politik kann das nur recht sein. Denn mehr denn je besitzt sie die Deutungshoheit über die Vorschriften, welche die Beherrschten nicht mehr verstehen. Es ist wie bei Kindern: je weniger sie wissen, was sie tun und lassen dürfen, desto mehr fürchten sie Dich – die Unberechenbarkeit als Herrschaftsprinzip.
Sehr gut geschrieben, es stimmt zu 100%.
Wie war das mit Bürokratieabbau? Wieder mehr, das dokumentiert und verwaltet werden muss. Nicht jedes Unternehmen kann sich einen Security Officer leisten. Was kommt dann nach NIS2? Da nehmen wir doch noch die ISO 27001 mit, damit unser Tag auch ausgefüllt ist. Es verpflichtest auch zum Aufbau eines ISMS.
Betr. "Wie war das mit Bürokratieabbau?":
Keine Bange, der operative Eintritt in den Krieg gegen Russland, spätestens das territoriale Eindringen des Aggressors wird hierzulande dafür sorgen. Die Leute haben einfach verlernt, dass und wie man auch ohne Vorschriften vorwärts kommt. Da muss ich sagen, Hut ab vor den Ukrainern. Was die an der Front immer alles aus dem Hut zaubern – kaum vorstellbar bei unserer Bundeswehr mit ihrem Dienstvorschriftenwust. Ich schweife ab.
Bei uns müssten wir erstmal einen Antrag stellen, wieviele Geschosse wir wann und wo gedenken einzusetzen. Dann wird ein Arbeitskreis gebildet und erörtert. Bis das GO kommt, hat sich alles bereits erledigt.
Die Zustimmung des Bunderats steht noch aus sowie die Veröffentlichung (bzw. Verkündung) im Bundesgesetzblatt.
Weiß jemand, wie das mit der persönlichen Haftung von Behördenleitungen aussieht?
Oder ob Behörden überhaupt im Gesetz vorkommen?
Ja, NIS-2 gilt auch für Behörden mit kritischen Aufgaben.
Es ist erst mal gut, das mit der NIS, das Thema IT-Sicherheit in den Fokus rückt und Unternehmen sich damit auseinandersetzen sollten. Jetzt davon unabhängig Ob KRITS, oder nicht.
Leider wird die IT-Sicherheit, von vielen Unternehmen, als "nutzlosen" Kostenfaktor gesehen und man sich gar nicht der Auswirkungen bewusst ist. Bsp. Ransomware etc.
Ein Bekannter von mir, ist Versicherungsmakler und bietet auch Versicherungen im Bereich IT-Sicherheit an. Er sagte mir, wenn bei einer Firma nicht die entsprechenden Voraussetzungen nach Prüfung bestehen, gibt es keinen Vertrag. Das wäre ja auch noch schöner, wenn man noch mit Windows 7 unterwegs ist, sich was einfängt, oder gehackt wird und dann zur Versicherung sagt, macht mal.
Im Endeffekt muss man selbst sehen, wie man sich seine IT-Sicherheit gestaltet. Thema Eigenverantwortung.
Das entsprechende Gesetz ist kein Zustimmungs- sondern ein Einspruchsgesetz.
Der Bundesrat muss also nicht *zustimmen*, damit es gültig wird – er kann aber Einspruch einlegen. Was dann letztlich (meist) "einfach" eine weitere Abstimmung im Bundestag bedeutet.
Ist/war übrigens auf der Tagesordnung der heutigen Bundesratssitzung (TOP 74). https://www.bundesrat.de/SharedDocs/TO/1059/tagesordnung-1059.html?topNr=74#top-74
Ging anscheinend durch – der Vermittlungsausschuss wurde nicht angerufen bzw. es gab keine Anträge. Und da es eben ein Einspruchsgesetz ist…