NIS 2-Umsetzung in Deutschland: Der aktuelle Stand und was auf Betreiber zukommt

Die NIS-2-Umsetzung in Deutschland ist ein zäher Prozess mit Folgen für Betreiber

Die EU-Richtlinie NIS 2 (Network and Information Security 2) ist ein zentrales Instrument zur Stärkung der Cybersicherheit in Europa. Sie wurde im Januar 2023 offiziell verabschiedet und verpflichtet alle Mitgliedstaaten, die neuen Vorgaben bis zum 17. Oktober 2024 in nationales Recht zu überführen. Das Ziel besteht darin, die Widerstandsfähigkeit wesentlicher und wichtiger Einrichtungen zu erhöhen, Meldepflichten zu vereinheitlichen und die Zusammenarbeit zwischen den Staaten zu verbessern.

Während einige Länder – wie Belgien, Italien, Lettland und Litauen – diese Frist einhielten, gehört Deutschland zu den deutlichen Nachzüglern. Das bedeutet: Die Anforderungen sind zwar auf EU-Ebene bindend, doch in Deutschland fehlt bisher die nationale Rechtsgrundlage, um sie vollständig anzuwenden.

Politische Verzögerungen und Neustart der Umsetzung

Ursprünglich plante die damalige Ampelkoalition, die NIS-2-Richtlinie in Form des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) noch 2024 auf den Weg zu bringen. Doch politische Differenzen innerhalb der Koalition und schließlich der Regierungswechsel Anfang 2025 stoppten diesen Zeitplan abrupt.

Die neue Bundesregierung hat das Vorhaben inzwischen unter dem deutlich längeren, aber präziseren Titel „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ wieder aufgenommen. Am 30. Juli 2025 hat das Bundeskabinett den neuen Regierungsentwurf verabschiedet. Jetzt muss er den Bundestag und den Bundesrat durchlaufen, bevor das Gesetz in Kraft treten kann.

Erweiterter Anwendungsbereich – deutlich mehr Unternehmen betroffen

Einer der größten Unterschiede zu den bisherigen nationalen Regelungen liegt im erheblich erweiterten Geltungsbereich. Während bisher vor allem Betreiber klassischer kritischer Infrastrukturen – wie Energieversorger, Wasserversorger oder Telekommunikationsanbieter – verpflichtet waren, werden durch NIS 2 künftig schätzungsweise über 30.000 Unternehmen in Deutschland erfasst.

Dazu gehören nicht nur große Konzerne, sondern auch mittlere Unternehmen aus Branchen wie IT-Dienstleistungen, Cloud-Computing, Rechenzentren, Finanzwesen, Transport und Gesundheit. Auch Hersteller wichtiger Produkte und Anbieter kritischer digitaler Dienste werden einbezogen. Selbst Unternehmen, die bislang nicht im Fokus der KRITIS-Regulierung standen, müssen künftig mit klar definierten Pflichten zur Cybersicherheit rechnen.

Stärkung des BSI und striktere Vorgaben

Mit der Umsetzung von NIS 2 wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) erheblich gestärkt. Es erhält erweiterte Aufsichts- und Eingriffsbefugnisse, kann verbindliche Anweisungen geben und bei Verstößen empfindliche Sanktionen verhängen. Zudem sieht das Gesetz vor, dass die Bundesverwaltung selbst verbindliche Informationssicherheitsmanagementsysteme einführen muss. Dieser Schritt soll die staatliche Resilienz verbessern.

Für Unternehmen bedeutet dies, dass neben technischen Sicherheitsmaßnahmen auch organisatorische Vorgaben verpflichtend werden. Dazu gehören ein systematisches Risikomanagement, definierte Melde- und Reaktionsprozesse sowie eine kontinuierliche Überprüfung und Verbesserung der Sicherheitsmaßnahmen.

Warum Betreiber schon jetzt handeln sollten

Auch wenn das deutsche Umsetzungsgesetz noch nicht verabschiedet ist, sollten sich betroffene Unternehmen nicht zurücklehnen. Die Vorgaben der NIS-2-Richtlinie sind klar definiert und werden – sobald das Gesetz in Kraft tritt – ohne lange Übergangsfristen verbindlich gelten.

Unternehmen, die erst dann mit der Umsetzung beginnen, riskieren nicht nur Zeitdruck und hohe Kosten, sondern auch mögliche Sanktionen. Es ist daher sinnvoll, schon jetzt eine Betroffenheitsanalyse durchzuführen, bestehende Sicherheitsprozesse zu prüfen und bei Bedarf anzupassen.

Blick nach vorn: Fahrplan bis Ende 2025

Der nun verabschiedete Regierungsentwurf muss zunächst im parlamentarischen Verfahren beraten und anschließend beschlossen werden. Fachkreise gehen davon aus, dass das Gesetz im Laufe des Jahres 2025 in Kraft treten wird. Damit hätte Deutschland – wenn auch verspätet – die europäische Vorgabe umgesetzt.

Für Betreiber kritischer Infrastrukturen und viele weitere Unternehmen bedeutet dies: Die Zeit bis zur Verabschiedung sollte gezielt genutzt werden, um interne Prozesse auf die neuen Anforderungen vorzubereiten. Wer jetzt handelt, reduziert spätere Umsetzungsaufwände und ist im Ernstfall besser geschützt.

Fazit: Verspätet, aber unvermeidlich

Die verspätete NIS-2-Umsetzung in Deutschland ist jedoch kein Grund zur Entwarnung. Im Gegenteil: Die Anforderungen werden umfassender, der Kreis der verpflichteten Unternehmen deutlich größer und die Aufsicht strenger. Für Betreiber kritischer Infrastrukturen, aber auch für viele Unternehmen, die bisher nicht dem KRITIS-Status unterliegen, beginnt jetzt die entscheidende Phase der Vorbereitung.

Wer frühzeitig investiert, gewinnt nicht nur Rechtssicherheit, sondern stärkt auch nachhaltig die eigene digitale Resilienz – und damit die Wettbewerbsfähigkeit in einer zunehmend unsicheren digitalen Welt.

Weiterführende Informationen

Offizieller Text der NIS 2-Richtlinie (EU 2022/2555)
Zum Volltext bei EUR-Lex

Bundesministerium des Innern – NIS 2-Umsetzungsprozess
Offizielle BMI-Seite

Bundesamt für Sicherheit in der Informationstechnik (BSI) – Informationen zu NIS 2
BSI-Themenseite

BaFin – Auswirkungen von NIS 2 auf Finanz- und Versicherungsunternehmen
BaFin-Infoseite

OpenKRITIS – Hintergrund zur NIS 2-Umsetzung in Deutschland
OpenKRITIS-Artikel

Warum kritis-info.de?

Kritis-Info.de steht für unabhängige, fundierte und praxisnahe Informationen zum Schutz kritischer Infrastrukturen. Wir unterstützen Betreiber und Verantwortliche mit verlässlichem Wissen und aktuellen Informationen dabei, ihre Sicherheitsanforderungen optimal umzusetzen.