Mit der Verabschiedung des NIS2-Umsetzungsgesetzes durch den Bundestag im November 2025 steht deutschen Unternehmen eine der weitreichendsten Cybersicherheitsreformen der vergangenen Jahre bevor. Das Gesetz, das voraussichtlich Ende 2025 oder Anfang 2026 in Kraft tritt, erweitert die Cybersicherheitspflichten massiv und betrifft über 30.000 Unternehmen in Deutschland – weit mehr als die bisherigen Regelungen für kritische Infrastrukturen. Für betroffene Unternehmen bedeutet dies: Handlungsbedarf ist unmittelbar gegeben.
Erweiterter Anwendungsbereich: Wer ist betroffen?
Das NIS2-Umsetzungsgesetz geht deutlich über die bisherige KRITIS-Regulierung hinaus. Während früher primär Betreiber kritischer Infrastrukturen im Fokus standen, erfasst die neue Regelung nun drei Kategorien von Einrichtungen:
Besonders wichtige Einrichtungen
Zu den besonders wichtigen Einrichtungen zählen große Unternehmen in kritischen Sektoren wie Energie, Transport, Finanzen, Gesundheit, digitale Infrastruktur und Raumfahrt. Unabhängig von ihrer Größe fallen bestimmte Einrichtungen automatisch in diese Kategorie, darunter qualifizierte Vertrauensdiensteanbieter, TLD- und DNS-Anbieter sowie Telekommunikationsanbieter. Auch die bisherigen KRITIS-Betreiber werden als besonders wichtige Einrichtungen eingestuft.
Wichtige Einrichtungen
Die Kategorie der wichtigen Einrichtungen umfasst mittlere und große Unternehmen in den meisten NIS2-Sektoren sowie zusätzliche Bereiche wie Post- und Kurierdienste, Abfallwirtschaft, Chemie, Lebensmittel, Fertigung, digitale Dienste und Forschung. Die Einstufung erfolgt anhand der Mitarbeiterzahl oder Finanzkennzahlen: Als groß gelten Unternehmen mit mindestens 250 Mitarbeitern oder einem Umsatz über 50 Millionen Euro und einer Bilanzsumme über 43 Millionen Euro. Mittlere Unternehmen haben mindestens 50 Mitarbeiter oder einen Umsatz über 10 Millionen Euro und eine Bilanzsumme über 10 Millionen Euro.
Bundesverwaltung
Einrichtungen der Bundesverwaltung werden separat reguliert und müssen die Pflichten besonders wichtiger Einrichtungen erfüllen, zusätzlich zu ihren eigenen spezifischen Verpflichtungen.
Umfassende Compliance-Anforderungen
Das NIS2-Umsetzungsgesetz stellt betroffene Unternehmen vor umfangreiche Cybersicherheitspflichten, die weit über bisherige Anforderungen hinausgehen.
Risikomanagement-Maßnahmen
Unternehmen müssen angemessene, verhältnismäßige und wirksame technische und organisatorische Maßnahmen implementieren, um IT-Systeme und Prozesse zu schützen, Störungen der Verfügbarkeit, Integrität und Vertraulichkeit zu verhindern und die Auswirkungen von Sicherheitsvorfällen zu minimieren. Diese Maßnahmen müssen dem Stand der Technik entsprechen und mindestens folgende Bereiche abdecken:
Risikoanalyse und Sicherheitskonzepte für Informationssysteme, Bewältigung von Sicherheitsvorfällen, Aufrechterhaltung des Betriebs (Business Continuity), Sicherheit der Lieferkette einschließlich Sicherheitsaspekten bei Lieferantenbeziehungen, Sicherheit bei Erwerb, Entwicklung und Wartung von Netzwerk- und Informationssystemen, Konzepte zur Bewertung der Wirksamkeit von Risikomanagement-Maßnahmen, grundlegende Cybersicherheitsverfahren wie Schulungen und Sensibilisierung, Einsatz von Kryptografie und Verschlüsselung, Personalsicherheit und Zugangskontrollen, Multi-Faktor-Authentifizierung sowie sichere Sprach-, Video- und Textkommunikation.
Besonders bemerkenswert: Der Anwendungsbereich dieser Maßnahmen ist umfassend und erstreckt sich auf "alle IT-Systeme, Komponenten und Prozesse, die für die Erbringung von Diensten genutzt werden" – einschließlich der Büro-IT.
Meldepflichten bei Sicherheitsvorfällen
Betroffene Einrichtungen müssen erhebliche Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem dreistufigen Meldeverfahren mitteilen. Diese Meldepflicht stellt sicher, dass Bedrohungen schnell erkannt und koordiniert bekämpft werden können.
Registrierung und Dokumentation
Unternehmen, die unter die Richtlinie fallen, müssen sich beim BSI registrieren. Zudem sind sie verpflichtet, die Umsetzung ihrer Sicherheitsmaßnahmen zu dokumentieren und gegenüber dem BSI sowie Prüfern nachzuweisen. Diese Dokumentationspflicht erfordert eine systematische und nachvollziehbare Erfassung aller Sicherheitsaktivitäten.
Governance und persönliche Verantwortung
Ein besonders einschneidender Aspekt des NIS2-Umsetzungsgesetzes ist die persönliche Verantwortung der Geschäftsführung. Das Management ist persönlich dafür verantwortlich, die Umsetzung der Risikomanagement-Maßnahmen zu überwachen, und muss Schulungen zum Cyber-Risikomanagement absolvieren. Diese persönliche Haftung unterstreicht die Bedeutung, die der Gesetzgeber der Cybersicherheit beimisst.
Lieferkettensicherheit
Unternehmen müssen Risiken innerhalb ihrer Lieferkette bewerten, einschließlich Lieferanten, Partnern und externen Dienstleistern. Die Sicherheit der gesamten Wertschöpfungskette wird damit zu einem integralen Bestandteil der Cybersicherheitsstrategie.
Die Rolle des BSI: Aufsicht und Unterstützung
Das Bundesamt für Sicherheit in der Informationstechnik übernimmt eine zentrale Rolle bei der Umsetzung und Durchsetzung von NIS2. Das BSI wird rund 29.500 Einrichtungen beaufsichtigen, die Einhaltung überwachen, bei Verstößen Anweisungen erteilen und Bußgelder verhängen.
Gleichzeitig bietet das BSI umfassende Unterstützung: Mindeststandards für die IT-Sicherheit, Umsetzungshilfen, Informationsaustausch über Sicherheitsvorfälle und ein "Starterpaket" mit Schritt-für-Schritt-Anleitungen für betroffene Einrichtungen sollen den Unternehmen den Einstieg erleichtern. Für die Bundesverwaltung fungiert das BSI zudem als zentraler Chief Information Security Officer (CISO) und koordiniert IT-Sicherheitsaktivitäten über alle Behörden hinweg.
Sanktionen bei Nichteinhaltung
Die Nichteinhaltung der NIS2-Vorschriften kann erhebliche finanzielle Konsequenzen nach sich ziehen. Neue Bußgelder reichen von 100.000 Euro bis zu 20 Millionen Euro und können potenziell an den globalen Umsatz gekoppelt werden. Diese drastischen Sanktionen unterstreichen die Ernsthaftigkeit, mit der die EU und Deutschland Cybersicherheit behandeln.
Kritische Komponenten und Lieferantenmanagement
Eine kontroverse Neuerung betrifft kritische Komponenten: Das Bundesinnenministerium kann in Abstimmung mit anderen Ministerien die Nutzung kritischer Komponenten bestimmter Hersteller verbieten oder Anweisungen erteilen, wenn diese die öffentliche Ordnung oder Sicherheit beeinträchtigen könnten. Diese Regelung hat Bedenken von Branchenverbänden wie Bitkom hervorgerufen, da sie potenzielle Auswirkungen auf Investitionsentscheidungen und die Digitalisierung haben könnte.
Praktische Schritte zur Compliance
Für betroffene Unternehmen empfiehlt sich ein strukturierter Ansatz zur NIS2-Compliance:
Schritt 1: Betroffenheit prüfen
Zunächst muss geklärt werden, ob das Unternehmen unter die Regelung fällt. Die Kriterien basieren auf Branche, Größe und Art der erbrachten Dienstleistungen. Das BSI bietet Orientierungshilfen zur Selbsteinschätzung.
Schritt 2: Gap-Analyse durchführen
Eine umfassende Bestandsaufnahme der aktuellen IT-Sicherheitsmaßnahmen im Vergleich zu den NIS2-Anforderungen identifiziert Lücken und Handlungsbedarfe. Standards wie ISO 27001 und das NIS2-Durchführungsgesetz können als Orientierung dienen.
Schritt 3: Risikomanagement-System aufbauen
Ein systematisches Risikomanagement-System muss alle geforderten Bereiche abdecken – von der Risikoanalyse über Incident Response bis zur Lieferkettensicherheit. Die Dokumentation aller Maßnahmen ist dabei essenziell.
Schritt 4: Governance etablieren
Die Geschäftsführung muss aktiv in die Cybersicherheitsstrategie eingebunden werden. Schulungen für das Management und klare Verantwortlichkeiten sind unerlässlich.
Schritt 5: Registrierung und Meldewesen einrichten
Die Registrierung beim BSI und die Einrichtung von Prozessen für die Meldung von Sicherheitsvorfällen müssen zeitnah erfolgen.
Schritt 6: Kontinuierliche Verbesserung
Cybersicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Regelmäßige Audits, Aktualisierungen und Anpassungen an neue Bedrohungen sind erforderlich.
Integration mit anderen Regulierungen
Für Finanzunternehmen ist zusätzlich der Digital Operational Resilience Act (DORA) relevant, der spezifische Anforderungen an die digitale Betriebsstabilität stellt. Die Implementierung von NIS2 sollte daher im Kontext bestehender Compliance-Anforderungen wie DSGVO, DORA und branchenspezifischer Regulierungen erfolgen. Standards wie ISO 27001 können als Rahmenwerk dienen und die Umsetzung erleichtern.
Fazit: Cybersicherheit als strategische Priorität
Das NIS2-Umsetzungsgesetz markiert einen Wendepunkt in der deutschen Cybersicherheitslandschaft. Die massive Ausweitung der Regulierung auf über 30.000 Unternehmen macht deutlich: Cybersicherheit ist keine Nischenthematik mehr, sondern strategische Priorität für weite Teile der deutschen Wirtschaft. Die persönliche Haftung der Geschäftsführung unterstreicht die Bedeutung des Themas auf höchster Unternehmensebene.
Betroffene Unternehmen sollten die verbleibende Zeit bis zum Inkrafttreten nutzen, um systematisch Compliance herzustellen. Die Investition in Cybersicherheit ist dabei nicht nur eine regulatorische Notwendigkeit, sondern auch ein Wettbewerbsvorteil: Unternehmen, die ihre digitale Resilienz stärken, schützen nicht nur sensible Daten und Geschäftsprozesse, sondern gewinnen auch das Vertrauen von Kunden, Partnern und Stakeholdern. Das BSI steht mit Unterstützungsangeboten bereit – jetzt gilt es, diese zu nutzen und die digitale Zukunft aktiv zu gestalten.
Quellen: https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html, https://www.bundesregierung.de/breg-de/aktuelles/nis-2-richtlinie-deutschland-2373174, https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html, https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251113_NIS-2-Umsetzungsgesetz.html, https://www.crn.de/news/2025/nis2-gesetz-deutschland-starkt-cyber-abwehr
Benötigen Sie Hilfe bei der Implementierung? 030-IT Systemhaus steht Ihnen mit Expertise zur Seite.