NIS-2 Umsetzungsgesetz beschlossen: Jetzt Compliance sicherstellen!

veröffentlicht am 27. November 2025

Nach über zwei Jahren Gesetzgebungsprozess hat der Bundestag das NIS-2 Umsetzungsgesetz im November 2025 nun verabschiedet. Seit 2023 gab es zahlreiche öffentliche Entwürfe, doch die jüngsten Änderungen der aktuellen Bundesregierung blieben gering. Das Gesetz wird Ende 2025 oder Anfang 2026 in Kraft treten, daher besteht jetzt auch Handlungsbedarf. In diesem Artikel informieren wir Sie über die neuen NIS-2 Pflichten und wie wir Sie dabei unterstützen können, Ihre Compliance sicherzustellen.

Im ersten Teil des Artikels möchten wir Sie über den aktuellen Stand der Gesetzgebung und die wichtigsten aktuellen Änderungen informieren. Im Nachgang stellen wir Ihnen alle relevanten Eckpunkte des Gesetztes vor und was Sie dabei berücksichtigen müssen.

1. Aktueller Stand

Der Bundestag hat am Donnerstag, dem 13. November 2025, nach halbstündiger Debatte den Gesetzentwurf der Bundesregierung „zur Umsetzung der NIS-2 Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ in der vom Innenausschuss geänderten Fassung angenommen. Nach Gegenzeichnung durch die beteiligten Bundesministerinnen bzw. -minister, den Bundeskanzler und final durch den Bundespräsidenten, wird das Gesetz, nachdem es im Bundesgesetzblatt veröffentlicht wurde, in Kraft treten. Dies soll voraussichtlich bereits Ende 2025 oder Anfang 2026 der Fall sein.

Die NIS-2 Richtlinie setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Insbesondere Unternehmen, welche für die Grundversorgung der Bevölkerung wichtig sind, etwa in den Bereichen Gesundheit, Forschung, Energie und Infrastruktur, müssen künftig strengere Regeln zur IT-Sicherheit einhalten.

2. Jüngste Änderungen/Anpassungen

Seit 2023 gab es zahlreiche öffentliche Entwürfe, doch die jüngsten Änderungen der aktuellen Bundesregierung blieben gering. Für den Gesundheitssektor relevant ist dabei nur die Änderung, wonach vorgesehen ist, dass das Bundesinnenministerium gegenüber dem Betreiber kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers im Benehmen mit den für den jeweiligen Sektor genannten Bundesministerien sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen kann, wenn der Einsatz die öffentlicher Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt.

3. Betroffenheit

Neben den bisherigen KRITIS-Betreibern fallen nun auch besonders wichtige Einrichtungen (bwE) und wichtige Einrichtungen (wE) unter das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Auch sie müssen somit bestimmte Anforderungen an die IT-Sicherheit erfüllen. Nach Schätzungen des Bundesamt für Sicherheit in der Informationstechnik (BSI) erweitert dies den Anwendungsbereich des neuen BSIG um ca. 29.500 Einrichtungen. Laut Bundesärztekammer wären darunter rund 1.000 zusätzliche Gesundheitseinrichtungen. Damit geraten erstmals auch kleinere Versorgungseinrichtungen, niedergelassene Arztpraxen, Medizinische Versorgungszentren (MVZ) und Forschungseinrichtungen mit sensiblen Daten oder kritischer Infrastruktur-Anbindung in den Fokus der IT-Sicherheitsregulierung des BSIG und nicht mehr nur große Krankenhäuser.

Alle diese Einrichtungen müssen unter anderem ein Managementsystem für Informationssicherheit (ISMS) etablieren, Risiken bewerten, Schutzmaßnahmen umsetzen und die Geschäftsleitung entsprechend schulen.

Falls noch nicht geschehen, sollten Sie sich also spätestens jetzt die Frage stellen: „Ist mein Unternehmen von NIS-2 betroffen?“. Um schnell und unkompliziert eine erste Einschätzung der Betroffenheit Ihres Unternehmens aus der Gesundheitswirtschaft oder Forschung zu erhalten, nutzen Sie gerne unsere NIS-2 Betroffenheitsanalyse für die Gesundheitswirtschaft und Forschung.

4. Auszug neuer Pflichten an wE & bwE

Mit der Umsetzung der NIS-2 Richtlinie in deutsches Recht müssen wie bereits erwähnt, besonders wichtige Einrichtungen (bwE) und wichtige Einrichtungen (wE), welche unter das BSIG fallen, neue Pflichten an die Informationssicherheit erfüllen. Im Folgenden zeigen wir Ihnen die bedeutendsten auf, mit denen Sie sich bereits heute dringend auseinandersetzen sollten.

4.1 Registrierungspflicht

Bisher galt eine Registrierungspflicht nur für Betreiber kritischer Infrastrukturen ("KRITIS"). Mit NIS-2 sind neben Betreibern von kritischen Einrichtungen nun auch Betreiber von wichtigen Einrichtungen (wE) und besonders wichtigen Einrichtungen (bwE) dazu verpflichtet, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zu registrieren (§ 33 BSIG). Hierfür ist eine Registrierungsfrist von drei Monaten vorgesehen. Die Frist beginnt ab dem Zeitpunkt, ab dem wE und bwE als betroffene Einrichtung gelten (oder die Dienstleistung erbringen) und damit in den Anwendungsbereich von NIS-2 fallen. Weitere Informationen zur Registrierungspflicht erhalten Sie auf unserer Homepage.

4.2 Meldepflicht

Gemäß § 32 BSIG werden besonders wichtige und wichtige Einrichtungen sowie Betreiber kritischer Anlagen verpflichtet, erhebliche Sicherheitsvorfälle dem BSI unverzüglich nach Kenntniserlangung zu melden. Als Kenntniserlangung gilt dabei der Zeitpunkt, zu dem ein Mitarbeiter der betroffenen Einrichtung im Rahmen seiner Tätigkeit Kenntnis von einem erheblichen Sicherheitsvorfall erlangt. Der Begriff "unverzüglich" besagt, dass die Meldung ohne schuldhaftes Zögern erfolgen muss. Gemäß dem Grundsatz "Schnelligkeit vor Vollständigkeit" ist eine Meldung zu tätigen, auch wenn noch nicht alle Informationen vollständig vorliegen. Detaillierte Informationen zu den neuen NIS-2 Meldepflichten können Sie auf unserer Homepage nachlesen.

4.3 Risikomanagement/ ISMS

Im Zuge der Änderungen des BSIG durch NIS-2 sind sowohl besonders wichtige (bwE) als auch wichtige Einrichtungen (wE) verpflichtet, Konzepte und Verfahren für die Risikoanalyse sowie zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der IT-Sicherheit umzusetzen und zu dokumentieren (§ 30 Abs. 1 und 2 BSIG). Die Risikoanalyse ist ein zentraler Bestandteil des Risikomanagements, da sie die Grundlage für die Auswahl und Bewertung nachgelagerter Risikomanagementmaßnahmen bildet. Für die Umsetzung eines effektiven Risikomanagements ist die Implementierung eines Information Security Management System (ISMS) in Ihrem Unternehmen dringend notwendig. Gerne unterstützen wir Sie auch hierbei und stellen bei Bedarf auch einen externen Informationssicherheitsbeauftragten.

4.3.1 Sichere Lieferkette
Gerade im Gesundheitsbereich ist die Integrität der IT-Systeme essenziell. Eine unerkannte Kompromittierung kann nicht nur zu Verzögerungen in Prozessen führen, sondern auch zu Systemausfällen. Deshalb fordert das NIS-2 Umsetzungsgesetz nicht nur IT-Sicherheit im eigenen Haus, sondern auch Sicherheitsstandards entlang der Lieferkette zu berücksichtigen.

4.3.2 GF-Schulungen
Mit NIS-2 konkretisiert das Bundesamt für Sicherheit in der Informationstechnik auch Anforderungen an Schulungen der Geschäftsleitung zur Informationssicherheit. Das BSI hat mit seiner neuen Handreichung zur NIS-2 Geschäftsleitungsschulung, veröffentlicht Ende September 2025, erstmals genauer bestimmt, welche Inhalte Schulungen für Geschäftsführungen künftig umfassen sollen. Sie gibt Unternehmen und Einrichtungen damit eine erste Orientierung, welche Themen die Geschäftsleitung beherrschen muss, um ihren gesetzlichen Sorgfaltspflichten nachzukommen. Ziel ist es, das Management in die Lage zu versetzen, Informationssicherheit aktiv zu steuern und nicht nur an IT-Abteilungen zu delegieren. Zudem muss die eigene Schulungsteilnahme dokumentiert und nachgewiesen werden können.

Mit der BSI-Handreichung zur NIS-2 Geschäftsleitungsschulung wird somit deutlich:

Informationssicherheit ist keine reine IT-Aufgabe mehr, sondern eine nicht zu delegierende Chefsache.
Geschäftsleitungen müssen sich persönlich mit den Anforderungen auseinandersetzen, Verantwortung übernehmen und ihr Wissen regelmäßig aktualisieren.

5. Haftung und Bußgelder bei Verstößen

5.1 Persönliche Haftung der Geschäftsleitung

Ein zentraler Punkt der NIS-2 Umsetzung ist die persönliche Verantwortung der Geschäftsleitung. Das bedeutet: Mitglieder von Geschäftsführungen oder Vorständen können künftig persönlich haftbar gemacht werden, wenn sie ihre Pflichten zur Steuerung und Überwachung der Informationssicherheit verletzen.

Die Richtlinie verpflichtet die Leitungsorgane ausdrücklich, Kenntnisse und Schulungen im Bereich Informationssicherheit nachzuweisen. Schulungen sind damit nicht mehr optional, sondern ein rechtlich relevantes Element der Organisationsverantwortung. Fehlende Schulungen können und werden wohl auch im Schadensfall als Organisationsverschulden ausgelegt werden.

5.2 Hohe Bußgelder auch für Unternehmen

Neben der persönlichen Haftung der Leitungsorgane drohen auch den Unternehmen selbst erhebliche Sanktionen.

Die NIS-2 Richtlinie sieht, ähnlich wie die Datenschutz-Grundverordnung (DSGVO), Bußgelder in Millionenhöhe vor. Bei besonders wichtigen Einrichtungen können diese bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes betragen.

Die Geschäftsleitung muss daher sicherstellen, dass Informationssicherheit organisatorisch, personell und technisch angemessen umgesetzt und überwacht wird.

6. Wir unterstützen Sie

Die deutsche Umsetzung der NIS-2 Richtlinie soll voraussichtlich bereits Ende 2025 oder Anfang 2026 im Bundesgesetzblatt veröffentlicht werden und somit in Kraft treten. Mit Inkrafttreten gelten alle Pflichten sofort. Unternehmen sollten daher bereits jetzt ihre Betroffenheit prüfen, ihr Risikomanagement/ ISMS evaluieren, Schulungen vorbereiten und erforderliche Nachweise planen und dokumentieren. Wer erst nach Inkrafttreten reagiert, riskiert Bußgelder und Haftungsfolgen. Lesen Sie auf unserer NIS-2 Seite wie wir Sie bei der Umsetzung der neuen NIS-2 Pflichten unterstützen können.