Cybervize – Cybersecurity Beratung
Alle Artikel

NIS2-Umsetzungsgesetz beschlossen: Was jetzt zu tun ist

Alexander Busse·13. November 2025
NIS2-Umsetzungsgesetz beschlossen: Was jetzt zu tun ist

NIS2-Umsetzungsgesetz: Der Bundestag hat entschieden

Der Bundestag hat das NIS2-Umsetzungsgesetz beschlossen. Damit ist ein entscheidender Meilenstein auf dem Weg zur verbindlichen Cybersicherheitsregulierung in Deutschland erreicht. Nach der noch ausstehenden Zustimmung des Bundesrats wird das Gesetz rechtskräftig, und Unternehmen müssen sich auf eine neue Ära der IT-Sicherheit und Compliance einstellen.

Die Botschaft ist klar: Die Übergangsfristen sind faktisch kaum existent. Wer jetzt noch nicht mit der Vorbereitung begonnen hat, gerät bereits in Verzug. Für IT-Leiter, CISOs und Geschäftsleitungen bedeutet dies, dass sofortiges Handeln erforderlich ist.

Ein bemerkenswerter Fortschritt: Die Bundesverwaltung wird einbezogen

Ein besonders bemerkenswertes Detail der finalen Fassung: Der Anwendungsbereich wurde auf die gesamte Bundesverwaltung ausgeweitet. Dies ist ein längst überfälliges Signal und schafft endlich ein "Level Playing Field" zwischen öffentlichem Sektor und Privatwirtschaft.

Jahrelang musste die Privatwirtschaft strengere Cybersicherheitsanforderungen erfüllen, während staatliche Stellen oft weniger rigorosen Standards unterlagen. Mit der NIS2-Umsetzung unterwirft sich der Staat nun denselben Regeln. Dies stärkt nicht nur die Glaubwürdigkeit der Regulierung, sondern erhöht auch die Gesamtsicherheit der digitalen Infrastruktur in Deutschland.

Die Kernpunkte des NIS2-Umsetzungsgesetzes

Für Verantwortliche in der Cybersicherheit (oder amtsdeutsch: IT-Sicherheit) bringt das Gesetz drei wesentliche Neuerungen mit sich:

1. Strengere Meldepflichten mit 3-stufigem Regime

Das neue Gesetz führt ein dreistufiges Meldesystem für Cybersicherheitsvorfälle ein:

  • Erste Meldung: Innerhalb von 24 Stunden nach Kenntnis eines erheblichen Sicherheitsvorfalls muss eine Erstmeldung beim BSI (Bundesamt für Sicherheit in der Informationstechnik) erfolgen.
  • Zweite Meldung: Innerhalb von 72 Stunden ist eine detaillierte Meldung mit ersten Bewertungen und Maßnahmen erforderlich.
  • Abschlussmeldung: Nach Abschluss der Bewältigung des Vorfalls ist ein finaler Bericht vorzulegen.

Diese gestaffelten Meldepflichten erfordern klare Prozesse und Verantwortlichkeiten innerhalb der Organisation. Unternehmen müssen sicherstellen, dass Incident-Response-Teams jederzeit einsatzbereit sind und die Kommunikationswege zum BSI etabliert sind.

2. Erweiterte Befugnisse für das BSI

Das Bundesamt für Sicherheit in der Informationstechnik erhält mit NIS2 deutlich erweiterte Kontroll- und Eingriffsrechte. Dazu gehören:

  • Umfassende Auskunfts- und Prüfungsrechte gegenüber betroffenen Einrichtungen
  • Möglichkeit zu Vor-Ort-Inspektionen
  • Befugnis zur Anordnung konkreter Sicherheitsmaßnahmen
  • Verhängung empfindlicher Bußgelder bei Verstößen

Das BSI entwickelt sich damit von einer beratenden Behörde zu einer echten Aufsichts- und Durchsetzungsinstanz. Unternehmen sollten das BSI als Partner verstehen und proaktiv den Dialog suchen, anstatt auf Kontrollen zu warten.

3. Persönliche Haftung der Geschäftsleitung

Ein besonders wichtiger Aspekt, der in vielen Führungsetagen noch nicht ausreichend angekommen ist: Das NIS2-Umsetzungsgesetz rückt die persönliche Haftung der Geschäftsleitung in den Fokus.

Die Leitungsorgane sind nun ausdrücklich dafür verantwortlich, dass:

  • Risikomanagementmaßnahmen umgesetzt werden
  • Die Organisation angemessen auf Cybersicherheitsvorfälle vorbereitet ist
  • Schulungen und Awareness-Maßnahmen durchgeführt werden
  • Die Meldepflichten eingehalten werden

Bei Verstößen drohen nicht nur Bußgelder für das Unternehmen, sondern auch persönliche Konsequenzen für Vorstände und Geschäftsführer. Dies sollte ausreichend Motivation sein, Cybersicherheit zur Chefsache zu machen.

Die indirekte Betroffenheit: Die Lieferkette im Fokus

Ein häufig unterschätzter Aspekt von NIS2: Auch Unternehmen, die nicht direkt unter die Regulierung fallen, werden indirekt betroffen sein. Wer als Zulieferer für kritische oder wichtige Sektoren agiert, wird feststellen, dass Kunden die Compliance in der gesamten Lieferkette einfordern.

Konkret bedeutet dies:

  • Vertragliche Anforderungen: Auftraggeber werden NIS2-Compliance-Klauseln in Verträge aufnehmen
  • Audits und Nachweise: Lieferanten müssen nachweisen können, dass sie angemessene Cybersicherheitsmaßnahmen umgesetzt haben
  • Supply-Chain-Risikomanagement: Die Sicherheit der Lieferkette wird zu einem zentralen Auswahlkriterium für Geschäftspartner

Selbst kleinere Unternehmen sollten daher prüfen, ob und wie sie von NIS2 betroffen sein könnten, entweder direkt oder über ihre Geschäftsbeziehungen.

Jetzt handeln: Drei konkrete Schritte für IT-Leiter und CISOs

Der Beschluss des Bundestags sollte als Hebel für Budget- und Personalgespräche genutzt werden. Nun gibt es keine Ausreden mehr, die notwendigen Investitionen in Cybersicherheit aufzuschieben. Folgende drei Punkte gehören sofort auf die Agenda:

1. Betroffenheitsanalyse finalisieren

Prüfen Sie eindeutig: Fällt Ihr Unternehmen unter die Kategorie "wesentliche Einrichtung" oder "wichtige Einrichtung"? Die Unterscheidung ist entscheidend, da sich daraus unterschiedliche Anforderungen und Pflichten ergeben.

Berücksichtigen Sie dabei:

  • Die Branchenzugehörigkeit (kritische Sektoren wie Energie, Gesundheit, Verkehr, Finanzwesen etc.)
  • Die Unternehmensgröße (Schwellenwerte: 50+ Mitarbeiter und 10 Mio. Euro+ Jahresumsatz)
  • Die Art der erbrachten Dienstleistungen

2. Governance prüfen: Ist Informationssicherheit Chefsache?

NIS2 verlangt, dass Informationssicherheit organisatorisch direkt unter dem C-Level aufgehängt ist. Prüfen Sie:

  • Berichtet der CISO oder IT-Sicherheitsverantwortliche direkt an die Geschäftsleitung?
  • Ist Cybersicherheit regelmäßig Thema in Vorstandssitzungen oder Geschäftsführungsmeetings?
  • Gibt es klare Verantwortlichkeiten und Eskalationswege?
  • Sind Budget und Ressourcen angemessen?

Sollte Informationssicherheit noch tief in der IT-Abteilung vergraben sein, ist jetzt der Zeitpunkt für eine organisatorische Neuausrichtung.

3. Gap-Analyse durchführen: Wo stehen Sie wirklich?

Führen Sie eine ehrliche Gap-Analyse durch: Wo steht Ihre Organisation heute, und was verlangt NIS2? Typische Bereiche, die geprüft werden sollten:

  • Risikomanagement: Gibt es einen systematischen Ansatz zur Identifikation und Bewertung von Cybersicherheitsrisiken?
  • Incident Response: Sind Prozesse und Teams für die Bewältigung von Sicherheitsvorfällen etabliert und getestet?
  • Business Continuity: Existieren Pläne zur Aufrechterhaltung des Betriebs im Krisenfall?
  • Supply Chain Security: Werden Sicherheitsrisiken in der Lieferkette systematisch bewertet?
  • Awareness und Schulung: Werden Mitarbeitende regelmäßig zu Cybersicherheitsthemen geschult?
  • Technische Maßnahmen: Sind grundlegende Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung, Verschlüsselung, Network Segmentation umgesetzt?

Dokumentieren Sie die Lücken und priorisieren Sie die erforderlichen Maßnahmen nach Risiko und Umsetzungsaufwand.

Fazit: Wer jetzt erst anfängt, ist zu spät

Das NIS2-Umsetzungsgesetz ist beschlossen. Die Zeit des Abwartens ist vorbei. Wer jetzt erst mit der Vorbereitung beginnt, läuft Gefahr, bei Inkrafttreten des Gesetzes nicht compliant zu sein und damit erhebliche Risiken einzugehen.

Die gute Nachricht: Cybersicherheit ist kein Hexenwerk, sondern vor allem eine Frage der systematischen Herangehensweise, der richtigen Priorisierung und der ausreichenden Ressourcen. Nutzen Sie den politischen Rückenwind, den NIS2 bietet, um längst überfällige Investitionen durchzusetzen.

Die Kombination aus persönlicher Haftung der Geschäftsleitung, erweiterten Befugnissen des BSI und strengen Meldepflichten sollte ausreichend Motivation sein, Cybersicherheit endgültig zur strategischen Priorität zu machen.

Handeln Sie jetzt. Warten Sie nicht auf die Veröffentlichung im Bundesgesetzblatt. Führen Sie die Betroffenheitsanalyse durch, prüfen Sie Ihre Governance-Strukturen und identifizieren Sie die Lücken in Ihrer Cybersicherheit. Die Zeit läuft.

Für Unternehmen, die Unterstützung bei der Umsetzung benötigen, empfiehlt sich die frühzeitige Zusammenarbeit mit erfahrenen Beratern und Experten. Eine professionelle Begleitung kann nicht nur die Compliance sicherstellen, sondern auch helfen, die richtigen Prioritäten zu setzen und Ressourcen effizient einzusetzen.

NIS2 ist keine Bedrohung, sondern eine Chance, die Cybersicherheit in deutschen Unternehmen auf ein neues Level zu heben und damit die digitale Souveränität und Wettbewerbsfähigkeit nachhaltig zu stärken.

Zurück zur Übersicht