HomeIco

Home
Deutsch|English
Weltweit
Themen NIS-2-Umsetzung in Deutschland: Wie geht es weiter?

NIS-2-Umsetzung in Deutschland: Wie geht es weiter?

PrintMailRate-it

​​​​​​​​​​​veröffentlicht am 30. Juli 2025 I​ Lesedauer ca. 3 Minuten

​​​​​​​​​​

Das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG“ kommt in der zweiten Jahreshälfte 2025, davon sind ca. 30.000 Unternehmen in Deutschland betroffen. Am 23. Juni 2025 wurde der aktuelle Referentenentwurf des Bundesministeriums des Innern (BMI) zum NIS2UmsuCG veröffentlicht. Unternehmen sollten sich umgehend ein Bild davon machen, ob sie von der Gesetzgebung betroffen sind, da es keine Umsetzungsfrist geben wird. Ursprünglich war die Umsetzung des Gesetzes in Deutschland bis zum 17. Oktober 2024 geplant. Aufgrund der vorgezogenen Bundestagswahl hatte sich das Gesetzgebungsverfahren verzögert. ​


Es gilt die Frage zu klären, inwieweit die Anforderungen des Gesetzes bereits umgesetzt sind oder ob Handlungsbedarf besteht. Wir haben für Sie die zentralen Pflichten zur Umsetzung sowie die grundlegend erforderlichen Sicherheitsmaßnahmen für Sie zusammengefasst:

Die folgenden zentralen Pflichten, die sich aus dem NIS2UmsuCG ergeben, sollten betroffene Unternehmen umsetzen:
  • Einführung eines Informationssicherheits-Managementsystems (ISMS): Unternehmen müssen ein strukturiertes System zur Planung, Umsetzung und Überwachung ihrer Informationssicherheit etablieren.
  • Meldepflicht bei Sicherheitsvorfällen: Relevante IT-Sicherheitsvorfälle müssen innerhalb von 24 Stunden an das BSI gemeldet werden.
  • Risikomanagement und Präventionsmaßnahmen: Unternehmen sind verpflichtet, technische und organisatorische Maßnahmen zur Risikominimierung zu ergreifen.
  • Geschäftsführungshaftung: Die Unternehmensleitung ist persönlich verantwortlich für die Einhaltung der Sicherheitsanforderungen.
  • Registrierung und Nachweispflichten gegenüber dem BSI: Betroffene Unternehmen müssen sich beim BSI registrieren und ggf. Nachweise über ihre Sicherheitsmaßnahmen erbringen.

Insbesondere im Rahmen des unter Punkt 1 aufgeführten ISMS müssen Sicherheitsmaßnahmen nach dem sogenannten „Stand der Technik“ implementiert werden. Diese Maßnahmen müssen mindestens folgende Themenbereiche abdecken:
  1. ​Risikoorientierung: Risikoorientierte Herleitung und Festlegung von Informations- und IT- Sicherheitsmaßnahmen,
  2. Sicherheitsvorfallmanagement: Prozess zum Management von Sicherheitsvorfällen,
  3. Betriebsabsicherung: Konzepte für die Bereiche Backup/Restore sowie Notfall- und Krisenmanagement, 
  4. Lieferkettenmanagement: Sicherheit der Lieferkette im Kontext Lieferanten-Management, Auftragnehmer-Kette und anderen Diensteanbietern,
  5. Sicherheit IT- Systeme: Sicherheits- und Schwachstellen- Management im Lebenszyklus von IT- Systemen und Prozessen,
  6. Audit-Management: kontinuierliche Bewertung der Wirksamkeit von Informations- und IT- Sicherheitsmaßnahmen,
  7. Schulung: Schulungen und Sensibilisierungsmaßnahmen im Bereich Informationss​icherheit,
  8. Krypto-Management: Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren,
  9. Personelle Sicherheit: Organisations- und Personalsicherheit, einschl. Rollen-, Berechtigungs- und Zutritts- Management,
  10. Sichere Authentifizierung: Multi-Faktor-Authentifizierung sowie sichere Sprach-, Video- und Textkommunikation.​

Fazit

Wir empfehlen, dass Unternehmen das Thema Informationssicherheit im Hinblick auf das NIS2UmsuCG jetzt zur Chefsache erklären und die Umsetzung der betreffenden Anforderungen prüfen sollten. Auch wenn das Gesetz noch nicht in Kraft ist – die EU-Richtlinie gilt bereits. Es empfiehlt sich, mindestens eine Betroffenheitsanalyse durchzuführen. Aber an sich unabhängig davon, wie das Ergebnis ausfällt – ein ISMS zu etablieren und dessen Reifegrad kontinuierlich weiterzuentwickeln, ist eine Mindestanforderung für Unternehmen in heutiger Zeit. Zudem sollten Verantwortlichkeiten klar definiert und die wichtigsten Prozesse zur Informationssicherheit etabliert werden, um Bußgelder, Reputationsschäden oder – im schlechtesten Fall – tatsächliche „Business-Schäden“ zu vermeiden.​

Webinar "NIS-2-Umsetzung in Deutschland"
​Erfahren Sie mehr zum Status quo der NIS-2-Umsetzung, Ihren Pflichten als Unternehmer und der erforderlichen Sicherheitsmaßnahmen! In unserem Webinar "NIS-2-Umsetzung in Deutschland: Aufgaben für Unternehmen in der Cybersicherheit" am 
beantwortet unser Kollege Falk Hofmann all Ihre Fragen. Zur Anmeldung geht es direkt über die Links!

Kontakt

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Wir beraten Sie gern!

MEHR LESEN?


​​
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu