Die "Gnadenfrist" zur Umsetzung der EU NIS-2-Richtlinie für deutsche Unternehmen ist vorbei. Nachdem der Deutsche Bundestag bereits am 13. November 2025 den Gesetzentwurf zur Umsetzung der EU NIS-2-Richtlinie beschlossen hat und auch der Bundesrat zum 21. November 2025 zustimmte, gilt die Richtlinie zum heutigen 6. Dezember 2025 in Deutschland.
NIS-2, eine europäische Vorgabe
Kurz zur Einordnung: NIS steht für steht für Network and Information Security. Die NIS-2-Richtlinie der Europäischen Union legt verbindliche Cyber Security-Mindeststandards für Betreiber kritischer Infrastrukturen (KRITIS) fest. Ziel der Richtlinie ist die Stärkung von Risiko- und Sicherheitsvorfallmanagement und der Zusammenarbeit.
NIS-2 bildet die Grundlage für Risikomanagementmaßnahmen und Meldepflichten im Bereich Cybersicherheit in allen Sektoren, die unter die Richtlinie fallen. Dazu gehören etwa Energie, Verkehr, Gesundheit und digitale Infrastruktur. NIS-2 ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die bereits 2022 beschlossen und im Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht wurde.
Deutschland war seit Oktober 2024 im Verzug
NIS-2 trat am 16. Januar 2023 offiziell EU-weit in Kraft, die Mitglieder der EU mussten NIS-2 bis Oktober 2024 in nationales Recht umsetzen. IT-Verantwortliche waren seit dieser Veröffentlichung aufgefordert, zu handeln und zu prüfen, ob sie mit der Unternehmens-IT unter die NIS-2-Richtlinie fallen. Nachfolgende Auflistung der Betroffenheit vom NIS-2-Geltungsbereich stammt von OpenKRITIS.
Ich hatte hier im Blog mehrfach über die NIS-2-Richtlinie berichtet (siehe Beitrag NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden und weitere Links am Artikelende).
Allerdings geriet Deutschland bei der Umsetzung der EU NIS-2-Richtlinie in nationales Recht durch den Bruch der Ampelkoalition im Herbst 2024 in Verzug. Es gab eine Mahnung der EU-Kommission sowie die Androhung eines Vertragsverletzungsverfahrens.
NIS-2-Beschluss und Veröffentlichung
Der Deutsche Bundestag hat dann am 13. November 2025 den Gesetzentwurf zur Umsetzung der EU NIS-2-Richtlinie beschlossen. Der deutsche Bundesrat stimmte zum 21. November 2025 zu. Das "Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" wurde am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht.
Damit gilt die Richtlinie zum heutigen 6. Dezember 2025 in Deutschland, wie ich in dieser Mitteilung des BSI und bei heise gelesen habe. Eine erste Orientierung über das NIS-2-Umsetzungsgesetz findet sich bei OpenKRITIS. Von dort stammt auch die obige Darstellung der Betroffenheit von Unternehmen. Die Seite bietet umfangreiche Informationen zu NIS-2.
Das BSI stellt eine Melde- und Informationsportal zum Melden IT-sicherheitsrelevanter Ereignisse bereit. Die Registrierung hier ist derzeit noch nicht möglich. Erste Prüfungen, ob man Betroffener ist, liefert die NIS-2-Betroffenheitsprüfung des BSI .
Ähnliche Artikel:
Kabinettsbeschluss zur NIS-2-Richtlinie
Praxisleitfaden zur NIS-2-Umsetzung
BSI-Leitlinie zur NIS-2 Meldepflicht von Cybervorfällen
NIS-2-Richtlinie: Wie ist der Status? Neuer Referentenentwurf (Juni 2025)
Kommunal-IT und Informationssicherheitsbeauftragte (ISBs) in der NIS-2-Falle?
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
NIS-2-Richtlinie von Deutschland beschlossen
KI-Verordnung, NIS-2-Richtlinie und Cyber Resilience Act: Auswirkungen auf KMU
MVP: 2013 – 2016
Und wer sagt's den Unternehmern, dass sie nun verantwortlich sind?
Achso, braucht man nicht, es gibt ja ne Cyberversicherung und gehackt wurde das Unternehmen bereits, und da nur jedes zweite Unternehmen von Cybervorfällen erwischt wird, ist man statistisch ja jetzt doppelt raus aus der Nummer.
(ironie aus) 😉
Naja die Cyberversicherung wird das schon nahe legen, oder die Police wird entsprechend angepasst :D
Aha die, die zwingen sollten haben mal wieder eine Extrawurst.
Länder und Kommunen
Länder und Kommunen sind in der deutschen NIS2-Umsetzung nicht direkt reguliert – der Gesetzgeber (Bund) verweist auf Zuständigkeit der Länder und dortige Gesetzgebung.
Aus der Definition der normalen Einrichtungen sind explizit öffentliche IT-Dienstleister ausgeschlossen, die sich 100 Prozent im Besitz von Ländern oder Kommunen befinden, keine Dienstleistungen für den Bund erbringen und durch Landesgesetze reguliert werden. §28 (9)
Betr. "Gesetzgeber (Bund) verweist auf Zuständigkeit der Länder und dortige Gesetzgebung.":
Auf welchen Verweis bei welcher Gelegenheit beziehst Du Dich? Die NIS-2-Materie ist in engerer und weiterer Betrachtung verfassungsrechtlich Sujet ausschliesslicher und konkurrierender Gesetzgebung. Ich sehe auch in GG Art. 72 Abs. 3 (1) keine Grundlage auf welcher der Bund eine Zuständigkeit der Länder – und schon garnicht der Kommunen – gründen könnte. In Deutschland herrscht zuviel Kleinstaaterei, hier erwächst ein weiteres Beispiel.
–
(1) https://www.gesetze-im-internet.de/gg/art_72.html
NIS-2 ist leider ein weiteres Bürokratie- und Dokumentationsmonster, was auf die Unternehmen losgelassen wird und am Ende nicht viel am aktuellen Zustand ändern wird außer deutlich mehr Schreibkram.
Aber die Juristen- und Berater-Lobby wird's freuen…na immerhin!
Tja, da sehr viele Abgeordnete Juristen und Notare sind…