Bundestag beschließt NIS-2-Umsetzungsgesetz: Neue Maßstäbe für Cybersicherheit in Deutschland

veröffentlicht am 19. November 2025 | Lesedauer ca. 6 Minuten

Am 13. November 2025 hat der Deutsche Bundestag das Gesetz zur Umsetzung der EU-NIS-2-Richtlinie verabschiedet. Damit wird das deutsche IT-Sicherheitsrecht grundlegend modernisiert und auf ein neues Niveau gehoben. Ziel ist es, die digitale Resilienz von Wirtschaft und Verwaltung zu stärken und ein einheitlich hohes Sicherheitsniveau in der EU zu schaffen.

Hintergrund: Warum NIS-2?

Die Verabschiedung des NIS-2-Umsetzungsgesetzes durch den Bundestag erfolgt vor dem Hintergrund einer zunehmend angespannten IT-Sicherheitslage in Deutschland und Europa. Der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt deutlich: Die Bedrohungen im Cyberraum nehmen nicht nur zu, sie verändern sich auch qualitativ und strategisch.

Mit der fortschreitenden Digitalisierung wächst die Zahl potenzieller Einfallstore für Cyberangriffe. Besonders Web-Angriffsflächen sind laut BSI zunehmend relevant – viele Systeme sind unzureichend geschützt und bieten Angreifern einfache Einstiegsmöglichkeiten. Die Zahl der täglich neu bekannt gewordenen Schwachstellen ist im Berichtszeitraum um 24 % gestiegen.

Cyberkriminelle und staatlich gesteuerte Angreifergruppen agieren immer gezielter und nutzen komplexe Angriffsinfrastrukturen. Besonders besorgniserregend ist die Entdeckung neuer IoT-Botnetze, deren Schadsoftware bereits im Produktionsprozess auf Geräte gelangt ist. Diese Geräte kamen vorinfiziert in den Handel und konnten nicht nachträglich bereinigt werden – ein alarmierendes Beispiel für die Verwundbarkeit moderner IT-Systeme.

Die größten Schäden entstehen weiterhin durch Ransomware-Angriffe. Die Zahl der gemeldeten Fälle bleibt hoch, und die durchschnittlichen Lösegeldforderungen steigen.

Die Bundesregierung sieht die Umsetzung der NIS-2-Richtlinie auch als sicherheitspolitische Notwendigkeit. Angesichts hybrider Bedrohungen – etwa durch Desinformation, Spionage oder digitale Sabotage – ist ein robuster Schutz der digitalen Infrastruktur unerlässlich.

Was ändert sich konkret?

Mit dem neuen Gesetz steigt die Zahl der regulierten Einrichtungen von rund 4.500 auf etwa 29.500 Unternehmen und Organisationen. Dazu zählen sogenannte „wichtige“ und „besonders wichtige Einrichtungen“, die künftig:

sich beim BSI registrieren müssen,
erhebliche Sicherheitsvorfälle melden,
technische und organisatorische Risikomanagement-Maßnahmen umsetzen.

Auch die Bundesverwaltung ist nun einbezogen: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt die Rolle des Chief Information Security Officer (CISO Bund) und koordiniert die IT-Sicherheitsmaßnahmen über alle Ressorts hinweg.

Meldepflichten und Sanktionen

Ein dreistufiges Meldesystem wird eingeführt:

Erstmeldung innerhalb von 24 Stunden,
Update nach 72 Stunden,
Abschlussbericht innerhalb von 30 Tagen.

Verstöße gegen diese Pflichten können mit empfindlichen Sanktionen geahndet werden. Zusätzlich erhält das BSI erweiterte Aufsichts- und Anordnungsbefugnisse.

Rückwirkende Verbote kritischer Komponenten

Eine besonders relevante Neuerung betrifft den Einsatz kritischer Komponenten: Zwar entfällt die bisherige Anzeigepflicht, jedoch kann das Bundesinnenministerium künftig deren Einsatz untersagen – auch rückwirkend. Dies betrifft insbesondere Komponenten von Herstellern, die unter staatlicher Kontrolle eines Drittstaates stehen.

Ab wann gilt NIS-2 in Deutschland?

Die NIS-2-Richtlinie ist auf EU-Ebene seit dem 16. Januar 2023 in Kraft. Die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Deutschland hat diese Frist – wie 23 weitere EU-Staaten – verpasst, weshalb die EU-Kommission ein Vertragsverletzungsverfahren eingeleitet hat.

Mit dem Beschluss des Bundestages am 13. November werden die Anforderungen der EU-Richtlinie in deutsches Recht überführt. Die Umsetzung ist jedoch erst abgeschlossen, wenn das Gesetz nach der Zustimmung des Bundesrats im Bundesgesetzblatt verkündet. Derzeit wird ein Inkrafttreten Ende 2025 oder Anfang 2026 erwartet.

Fazit

Mit dem NIS-2-Umsetzungsgesetz stellt Deutschland die Weichen für eine strategisch ausgerichtete Cybersicherheitsarchitektur. Die neuen Regelungen sind nicht nur eine Reaktion auf aktuelle Bedrohungen, sondern ein klares Bekenntnis zur digitalen Souveränität und Resilienz. Unternehmen und Behörden sind nun gefordert, Cybersicherheit als integralen Bestandteil ihrer Führungs- und Organisationskultur zu etablieren. Die kommenden Jahre werden zeigen, wie effektiv die neuen Strukturen greifen – und ob Deutschland damit zum Vorreiter für IT-Sicherheit in Europa wird.