NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz: Worauf müssen sich Unternehmen vorbereiten?

veröffentlicht am 17. Oktober 2025 | Lesedauer ca. 2 Minuten

Am 25.07.2025 wurde der letzte und aktuelle Gesetzentwurf des Bundesministeriums des Innern (BMI) zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG) veröffentlicht. Ursprünglich war die Umsetzung des Gesetzes in Deutschland bis zum 17. Oktober 2024 geplant. Das Gesetzgebungsverfahren hat sich aufgrund der vorgezogenen Bundestagswahl und der anschließenden Regierungsbildung verzögert und wird nun voraussichtlich Ende 2025 abgeschlossen. Potentiell betroffene Unternehmen sollten aus gutem Grund bereits mit der Umsetzung der NIS-2-Anforderungen begonnen haben. Zum einen werden keine wesentlichen Änderungen mehr gegenüber dem Gesetzentwurf erwartet. Zum anderen wird es, anders als bei der früheren IT-Sicherheitsgesetzgebung, keine Übergangsfristen zur Umsetzung der Anforderungen des Gesetzes geben.

Aktuelle Gesetzgebung

Die NIS-2-Gesetzgebung kann als konsequente Weiterentwicklung der deutschen KRITS-Gesetzgebung (oder auch IT-Sicherheitsgesetz = ITSig) verstanden werden.

Das ITSig datiert auf 2015 zurück. Vordergründiges Ziel war bzw. ist es, die Kritischen Infrastrukturen in Deutschland (KRITIS-Anlagen), unterteilt in 8 Sektoren zu schützen. Betroffen sind davon ca. 1.200 KRITIS-Betreiber von über 2.000 KRITIS-Anlagen.

Das aktuelle NIS-2-Gesetzgebungsverfahren basiert auf der NIS-2-Richtlinie der EU. Diese verpflichtet alle EU-Mitgliedsstaaten zur Umsetzung der Richtlinie in nationale Gesetzgebung. Dabei werden 10 weitere, also insgesamt 18 Sektoren definiert, für die ein Mindestmaß an Informationssicherheit umzusetzen ist.

Betroffenheit

Nach letzten Erhebungen werden in Deutschland ca. 30.000 Unternehmen vom NIS2UmsuCG betroffen sein. Als Faustegel lässt sich formulieren, dass Unternehmen, die mehr als 50 Mitarbeiter oder mehr als 10 Mio. EUR Umsatz erwirtschaften, vom NIS2UmsuCG betroffen sein könnten.

Umzusetzende Anforderungen

Unternehmen müssen, sollten sie betroffen sein, grundsätzlich die Umsetzung der folgenden Maßnahmenkategorien nachweisen können:

Informationssicherheitsmanagement nach einem etablierten Standard, wie z.B. ISO/IEC27001, welches die damit verbundenen Themenbereiche abdeckt, u.a. das Informationssicherheits-Risikomanagement, das Sicherheitsvorfallmanagement, sichere IT-Servicemanagement-Prozesse sowie Notfallmanagement,
Sicherheitsmaßnahmen nach dem Stand der Technik sowie
Meldestelle zum BSI (Bundesamt für Sicherheit in der IT).

Sanktionen und Haftung der Geschäftsleitung

Bei Verstößen gegen das Gesetz drohen Bußgelder je nach Unternehmensgröße und Schwere des Verstoßes von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Unter Umständen besteht dann auch eine Binnenhaftung der Geschäftsleitung gegenüber dem Unternehmen.

Fazit

In Sachen Informationssicherheit könnte bei vielen Unternehmen Handlungsbedarf bestehen. Aufgrund der sich verändernden politischen Gesamtlage rückt dieses Thema mehr und mehr in den Blickpunkt des Interesses. In diesem Zusammenhang wird das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) zunehmend zu einer zentralen Behörde in der deutschen Verwaltung. Unternehmen sollten daher schnellstmöglich klären, ab sie vom NIS2UmsuCG betroffen sind und ggf. erforderliche Maßnahmen einleiten.

Aus dem Newsletter

Kontakt

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden