NIS-2-Umsetzungsgesetz: Die neue Cybersicherheits-Anforderungen

Kristoffer Braun Kristoffer Braun,   Act Digital Act Digital   |
  • Experte
NIS-2 NIS2 -Vorschriften NIS2-Umsetzung NIS2-Richtlinie NIS-2-Compliance:

NIS-2-Umsetzungsgesetz: Die neue Cybersicherheits-Anforderungen.

Nach der Verabschiedung im Bundestag am 13. November 2025 und der Zustimmung des Bundesrates am 21. November 2025 steht das NIS-2-Umsetzungsgesetz kurz vor dem Inkrafttreten. Besonders brisant: Es gibt keine Übergangsfrist für betroffene Unternehmen – die Pflichten gelten unmittelbar nach Verkündung des Gesetzes.

Zusammenfassung (TL; DR):

  • NIS-2-Umsetzungsgesetz: Verabschiedung im Bundestag am 13. November 2025 und Zustimmung des Bundesrates am 21. November 2025
  • Während sich die bisherige KRITIS-Regulierung primär auf große Infrastrukturbetreiber konzentrierte, erfasst NIS-2 nun auch deutlich kleinere Unternehmen ab 50 Mitarbeitern in 18 kritischen Sektoren
  • Betroffene Unternehmen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten

Gesetzgebung abgeschlossen – Inkrafttreten noch 2025

Mit der Zustimmung beider Kammern des deutschen Parlaments ist das Gesetzgebungsverfahren zur Umsetzung der europäischen NIS-2-Richtlinie (Zweite Netzwerk- und Informationssicherheitsrichtlinie) abgeschlossen. Das Gesetz wird voraussichtlich bis Ende 2025 in Kraft treten und betrifft rund 30.000 Unternehmen in Deutschland.

Paradigmenwechsel: Erstmals tausende KMU in der Pflicht

Mit dem NIS-2-Umsetzungsgesetz vollzieht sich ein fundamentaler Wandel in der deutschen Cybersicherheitsregulierung: Erstmals sind tausende kleine und mittelständische Unternehmen betroffen, die von der vorherigen Gesetzgebung unberührt geblieben waren.

Während sich die bisherige KRITIS-Regulierung primär auf große Infrastrukturbetreiber konzentrierte, erfasst NIS-2 nun auch deutlich kleinere Unternehmen ab 50 Mitarbeitern in 18 kritischen Sektoren. Viele dieser Unternehmen stehen nun erstmals vor der Herausforderung, umfassende Cybersicherheitsanforderungen erfüllen zu müssen – und das ohne jegliche Vorerfahrung mit derartigen Regulierungen. Diese Ausweitung betrifft insbesondere:

  • IT-Dienstleister und Managed Service Provider
  • Zulieferer in kritischen Lieferketten
  • Produktionsunternehmen
  • Logistikunternehmen
  • Unternehmen der digitalen Infrastruktur

Für diese Unternehmen bedeutet NIS-2 einen Quantensprung in Sachen Compliance-Anforderungen. Mit der bevorstehenden Umsetzung müssen deutlich mehr Unternehmen ihre IT-Sicherheitsmaßnahmen professionalisieren und umfassende Nachweispflichten erfüllen.

Keine Schonfrist: Sofortige Umsetzung erforderlich

Eine besondere Herausforderung für betroffene Unternehmen: Nach dem Inkrafttreten gibt es keine Übergangsfrist. Die neuen Pflichten zur Umsetzung von Maßnahmen werden sofort nach Verkündung des Gesetzes wirksam. Dies stellt insbesondere die erstmals betroffenen KMU vor erhebliche Herausforderungen, da viele weder über dedizierte IT-Sicherheitsabteilungen noch über Erfahrung mit regulatorischen Anforderungen verfügen.

Leitfaden hilft bei der Navigation durch NIS2- und DORA-Vorschriften
Über das NIS-2-Umsetzungsgesetz: Das Gesetz dient der Umsetzung der europäischen NIS-2-Richtlinie (Network and Information Security Directive 2) in deutsches Recht und erweitert die deutsche KRITIS-Regulierung erheblich. Es betrifft Unternehmen und Organisationen in 18 kritischen Sektoren und zielt darauf ab, ein hohes gemeinsames Cybersicherheitsniveau in Deutschland zu gewährleisten. (Bild: Geralt @Pixabay)

 

Zentrale Anforderungen im Überblick

Hinweis: Die nachfolgend aufgeführten Anforderungen stellen lediglich eine Auswahl der wichtigsten Pflichten dar. Das NIS-2-Umsetzungsgesetz umfasst zahlreiche weitere Anforderungen, darunter Maßnahmen zur Personalsicherheit, Verfahren zur Behandlung von Sicherheitsvorfällen, Sicherheit in der Entwicklung, Beschaffung und Wartung sowie weitere technische und organisatorische Sicherheitsvorkehrungen.

Risikomanagement und Sicherheitsmaßnahmen

Betroffene Unternehmen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.

  • Dokumentationspflicht: Die Einhaltung dieser Verpflichtungen muss durch die Einrichtungen vollständig dokumentiert werden.
  • Anforderungen an die Maßnahmen: Die Sicherheitsmaßnahmen sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und müssen auf einem gefahrenübergreifenden Ansatz beruhen. Die Maßnahmen müssen zumindest Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik umfassen.

Als Nachweis der Compliance kann eine Zertifizierung nach ISO/IEC 27001 oder BSI IT-Grundschutz dienen, wobei diese allein nicht ausreicht, um alle NIS-2-Anforderungen vollständig abzudecken.

Schulungspflichten für Geschäftsleitung und Mitarbeiter

Eine zentrale Neuerung ist die verpflichtende Schulung der Geschäftsleitung zu Cybersicherheit und Risikomanagement. Das BSI hat hierzu eine Handreichung veröffentlicht, die sowohl Schulungsanbietern als auch Geschäftsleitungen als Orientierung dient.

Darüber hinaus müssen Unternehmen regelmäßige Schulungsmaßnahmen für alle Mitarbeiter implementieren, um das Bewusstsein für Cybersicherheitsrisiken zu schärfen und sicheres Verhalten zu fördern.

Lieferketten- und Dienstleistermanagement

Ein wesentlicher Bestandteil der NIS-2-Anforderungen ist das Lieferketten- und Dienstleistermanagement. Unternehmen müssen die Cybersicherheit ihrer gesamten Lieferkette im Blick behalten und sicherstellen, dass auch Zulieferer und Dienstleister angemessene Sicherheitsstandards einhalten. Dies bedeutet konkret:

  • Bewertung der Cybersicherheitsrisiken von Lieferanten und Dienstleistern
  • Vertragliche Vereinbarungen zu Sicherheitsanforderungen
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen bei Partnern
  • Integration der Lieferkettenrisiken in das eigene Risikomanagement
  • Dokumentation und regelmäßige Audits
  • Registrierungs- und Meldepflichten

Die bislang einstufige Meldepflicht bei Vorfällen wird durch ein dreistufiges Melderegime ersetzt:

  • Frühwarnung: Erste Meldung innerhalb von 24 Stunden nach Kenntnisnahme eines erheblichen Sicherheitsvorfalls
  • Zwischenmeldung: Detaillierte Informationen innerhalb von 72 Stunden
  • Abschlussbericht: Umfassende Analyse und Bewertung innerhalb eines Monats
  • Zusätzlich müssen sich betroffene Unternehmen bei den zuständigen Behörden registrieren und ihre Kontaktdaten sowie relevante Informationen zur Verfügung stellen.

Persönliche Haftung der Geschäftsleitung

Eine der bedeutendsten Änderungen durch das NIS-2-Umsetzungsgesetz betrifft die persönliche Haftung der Geschäftsleitung. Die Geschäftsleitung trägt die rechtliche und persönliche Verantwortung für die Umsetzung der NIS-2-Anforderungen.

Geschäftsführer müssen die ergriffenen Cybersicherheitsmaßnahmen billigen und deren Umsetzung aktiv überwachen. Sie können für Verstöße gegen die NIS-2-Anforderungen persönlich verantwortlich gemacht werden. Dies bedeutet, dass Versäumnisse nicht nur für das Unternehmen, sondern auch für die Geschäftsleitung persönlich teuer werden können – unter Umständen sogar mit dem Privatvermögen. Der Grundsatz “Cybersicherheit ist Chefsache” wird damit gesetzlich verankert.

Empfindliche Sanktionen bei Nichteinhaltung

Bei Verstößen gegen die NIS-2-Anforderungen drohen empfindliche Bußgelder: bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Diese Sanktionshöhe unterstreicht die Ernsthaftigkeit, mit der der Gesetzgeber die Cybersicherheit behandelt.

Zusätzlich zu den Unternehmensbußgeldern können Geschäftsführer persönlich zur Verantwortung gezogen werden, wenn sie ihre Aufsichts- und Sorgfaltspflichten verletzen.

Besondere Herausforderungen für KMU

Kleine und mittlere Unternehmen stehen vor besonderen Herausforderungen: Viele verfügen nicht über dedizierte IT-Sicherheitsabteilungen oder das notwendige Fachwissen zur Umsetzung der komplexen Anforderungen. Die fehlende Übergangsfrist verschärft die Situation zusätzlich. Besonders problematisch: Viele der nun erstmals betroffenen KMU haben keinerlei Erfahrung mit regulatorischen Compliance-Anforderungen. Sie müssen nun innerhalb kürzester Zeit unter anderem:

  • Eine Gap-Analyse durchzuführen und Handlungsbedarf zu identifizieren
  • Notwendige technische und organisatorische Maßnahmen zu implementieren
  • Mitarbeiter zu schulen und Bewusstsein für Cybersicherheit zu schaffen
  • Die Lieferkette auf Sicherheitsrisiken zu prüfen
  • Umfassende Dokumentations- und Nachweispflichten erfüllen

Für Unternehmen mit begrenzten IT-Ressourcen empfiehlt sich die Zusammenarbeit mit spezialisierten Dienstleistern, die über das notwendige Know-how und die Ressourcen verfügen. Das BSI bietet zudem eine Betroffenheitsprüfung an, mit der Unternehmen in wenigen Schritten eine erste Orientierung erhalten können.

Handeln Sie jetzt!

Autoren

  • Act Digital
    : Anbieter

    ACT Digital ist ein Beratungsunternehmen mit dem Schwerpunkt Cybersicherheit und wurde 2017 gegründet. Wir sind Teil der internationalen act digital Gruppe mit über 5.000 Experten weltweit. Unser Team von rund 60 hochqualifizierten Beratern arbeitet deutschlandweit verteilt. Wir konzentrieren uns auf Cybersicherheit für Unternehmen jeder Größe und bieten Managementsystemberatung, Penetrationstests von Hard- und Software sowie Security Engineering Dienstleistungen an. Jeder unserer Berater verfügt über umfangreiche Zertifizierungen und Qualifikationen. Also ISO 27001 zertifiziertes Unternehmen entwickeln wir maßgeschneiderte Sicherheitslösungen, die exakt auf die individuellen Bedürfnisse unserer Kunden zugeschnitten sind.

    Neueste Beiträge
    NIS-2-Umsetzungsgesetz: Die neue Cybersicherheits-Anforderungen
    NIS2 erklärt: Leitfaden zur Cybersicherheit
  • : Autor

    Kristoffer Braun ist Teamleiter für den Bereich Informationssicherheit mit achte Jahren Erfahrung in Beratung und Industrie. Seine Schwerpunkte liegen im Aufbau und der Weiterentwicklung von Informationssicherheitsorganisationen sowie der Einführung und Begleitung bei der Zertifizierung von ISMS nach ISO/IEC 27001 und VDA ISA (TISAX). Nach mehreren Jahren als Berater im Bereich Informationssicherheit verantwortete er als Information Security Officer bei einem mittelständischen Maschinenbauunternehmen den unternehmensweiten Aufbau und Zertifizierung des ISMS. In seiner aktuellen Rolle bei act digital leitet er ein Beratungsteam, entwickelt das Leistungsportfolio weiter und unterstützt Kunden bei der Umsetzung regulatorische Anforderungen, unter anderem aus der NIS2-Richtlinie.

    Neueste Beiträge
    NIS-2-Umsetzungsgesetz: Die neue Cybersicherheits-Anforderungen
Zurück zu allen Artikeln

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung

Das könnte Sie auch interessieren

Interaktive Listen -Icon IT-Sicherheit
Interaktive Listen
Finden Sie den passenden Ansprechpartner – von IT-Notfällen bis juristischer Unterstützung. Entdecken Sie spezialisierte IT-Sicherheitsdienstleistungen!
Anbieterverzeichnis - Map Pin IT-Sicherheit
Anbieterverzeichnis
Im Anbieterverzeichnis finden Sie die passenden IT-Sicherheitsdienstleistungen – von Beratung bis spezialisierte Services. Jetzt Lösungen entdecken!
Beiträge Icon IT-Sicherheit
Schwerpunkt IT-Sicherheit

Nehmen Sie Platz auf unserer ITS-Couch! Hier erhalten Sie Podcasts & Videos rund um das Thema IT-Sicherheit. Besonders, wenn es mal schnell gehen muss!