NIS-2-Richtlinie – Umsetzungsgesetz beschlossen

Am 13. November 2025 hat der Bundestag das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verabschiedet und damit einen zentralen Schritt zur Stärkung der Informationssicherheit in Deutschland getan. Mit dem neuen Gesetz werden die europäischen Vorgaben der NIS-2-Richtlinie umfassend in nationales Recht überführt. Für Unternehmen bedeutet dies eine deutliche Ausweitung der bisherigen IT-Sicherheitsvorgaben sowie neue Prüf-, Organisations- und Meldepflichten. Das Ziel ist die Schaffung eines einheitlich hohen Cybersicherheitsniveaus in der Europäischen Union, einheitlich geregelte Meldewege bei Sicherheitsvorfällen sowie erweiterte Aufsichtsbefugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI), das künftig auch durch einen zentralen „CISO Bund“ gestärkt wird.

Der Anwendungsbereich des Gesetzes steigt erheblich. Betroffen sind künftig Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz bzw. einer Jahresbilanzsumme von jeweils über 10 Millionen Euro, sofern sie einem der EU-weit definierten „wichtigen“ oder „besonders wichtigen“ Sektoren angehören. Dazu zählen unter anderem Energie, Gesundheit, Transport, Wasser, Finanzwesen, digitale Infrastruktur, öffentliche Verwaltung, Forschung, Chemie, Lebensmittel und große Teile des verarbeitenden Gewerbes. Auch Unternehmen in kritischen Lieferketten können unabhängig von ihrer Größe mittelbar verpflichtet sein, NIS2-relevante Maßnahmen umzusetzen.

Das Gesetz führt umfangreiche Kernpflichten ein. Unternehmen müssen ein systematisches IT-Sicherheits-Risikomanagement implementieren, das unter anderem ein strukturiertes Vorfallsmanagement, Business Continuity und Notfallplanung, Maßnahmen zur Lieferkettensicherheit sowie regelmäßige Awareness-Schulungen umfasst. Die Umsetzung ist durch Audits, Prüfungen oder Zertifizierungen nachzuweisen. Hinzu treten strenge Registrierungs- und Meldepflichten bei Sicherheitsvorfällen, die in einem dreistufigen Melderegime geregelt sind. Von besonderer Bedeutung ist, dass die Geschäftsleitung nun ausdrücklich haftungsrelevante Organisations- und Aufsichtspflichten trägt. Verstöße können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes sanktioniert werden.

Unternehmen sollten jetzt ein strukturiertes Vorgehen wählen. Am Anfang steht die Betroffenheitsanalyse: Welche Rolle spielt das eigene Unternehmen im Rahmen der neuen Kategorien „wichtig“ oder „besonders wichtig“? Darauf folgt eine Gap-Analyse, um bestehende Prozesse den Anforderungen des Gesetzes gegenüberzustellen und bestehende Lücken aufzudecken. Anschließend sollten Unternehmen einen klar priorisierten Maßnahmenplan entwickeln – von kurzfristigen Verbesserungen bis zur Implementierung oder Weiterentwicklung eines Informationssicherheits-Managementsystems, etwa nach ISO 27001. Wichtig ist zudem die Etablierung eines funktionierenden Meldewesens und die kontinuierliche Verbesserung der implementierten Maßnahmen. Abschließend ist eine rechtssichere Registrierung beim BSI zwingend erforderlich.

Da viele Unternehmen erstmals oder wesentlich stärker als bisher unter regulatorischen Druck geraten, ist es ratsam, sich frühzeitig mit den neuen Anforderungen auseinanderzusetzen. Ein professionelles Sicherheits- und Compliance-Management schützt nicht nur vor Bußgeldern, sondern stärkt auch die Resilienz des Unternehmens gegenüber Cyberangriffen sowie das Vertrauen von Kunden, Partnern und Aufsichtsbehörden.