Das NIS2 Umsetzungsgesetz (NIS2UmsuCG): Aktueller Stand und Bedeutung

Dieser Artikel wurde am 08.09.2025 aktualisiert.

‍

Die Gefahren der Cyberkriminalität stehen heute mehr denn je im Mittelpunkt der öffentlichen Wahrnehmung und politischen Diskussion. Die Verwundbarkeit des Wirtschaftsstandortes Deutschland war noch nie so groß.

‍

Die jüngsten Erkenntnisse aus einer Studie des Digital-Branchenverbands Bitkom werfen ein alarmierendes Licht auf die Auswirkungen von Cyberangriffen auf die deutsche Wirtschaft. Mit einem Schaden von 206 Milliarden Euro allein im vergangenen Jahr wird deutlich, dass die Bedrohung durch Cyberkriminalität in einem besorgniserregenden Ausmaß zugenommen hat. Diese Angriffe betreffen nicht nur Großunternehmen, sondern auch kleinere und mittelständische Unternehmen. Vor diesem Hintergrund stellt sich die drängende Frage:  

‍

Wie können Sie Ihr Unternehmen effektiv vor den Gefahren der Cyberkriminalität schützen?

‍

Eine Antwort darauf versucht die EU mit der NIS2 Richtlinie zu geben, die bis Oktober 2024 von Deutschland in nationalem Recht hätte umgesetzt werden müssen. Dieser Artikel beleuchtet den aktuellen Stand der NIS2-Umsetzung in Deutschland und erklärt, was Unternehmen jetzt wissen und tun müssen.

‍

‍

Was ist NIS2 und warum ist die Richtlinie so wichtig?

‍

NIS2, die Abkürzung für "Network and Information Systems Directive 2", ist eine EU-Richtlinie zur Verbesserung der Cybersicherheit in Europa. Sie wurde im Dezember 2022 verabschiedet und bringt wichtige Neuerungen im Vergleich mit ihrem Vorgänger mit sich:

• Erweiterter Geltungsbereich für mehr Branchen
• Strengere Sicherheitsanforderungen
• Verschärfte Meldepflichten bei Cybervorfällen
• Höhere Sanktionen bei Verstößen

Diese Maßnahmen zielen darauf ab, die Cyberresilienz von Unternehmen und kritischen Infrastrukturen deutlich zu erhöhen.

‍

Das NIS2 Umsetzungsgesetz: Ziele und Bedeutung

‍

Das NIS2 Umsetzungsgesetz (NIS2UmsuCG) ist die deutsche Antwort auf die EU-Richtlinie. Es verfolgt mehrere Kernziele:

1. Erhöhung der Cybersicherheit durch verbesserte Schutzmaßnahmen
2. Harmonisierung der Cybersicherheitsstandards mit anderen EU-Mitgliedsstaaten
3. Stärkung kritischer Infrastrukturen gegen Cyberbedrohungen
4. Verbesserung der Krisenbewältigung bei Cybervorfällen
5. Ausweitung der Meldepflichten für schnellere Reaktionen auf Bedrohungen

Mit diesen Maßnahmen soll das NIS2 Umsetzungsgesetz rund 30.000 Unternehmen in Deutschland erreichen und neue Cybersicherheitspflichten einführen.

‍

Aktueller Stand im September 2025

‍

Die Bundesrepublik Deutschland hat die von der Europäischen Union gesetzte Frist zur nationalen Umsetzung der NIS2-Richtlinie am 17. Oktober 2024 verpasst. Zu diesem Zeitpunkt hätte das deutsche Umsetzungsgesetz verabschiedet sein müssen, doch die politische Lage in Berlin war von anderen Themen geprägt, und das Gesetzgebungsverfahren kam ins Stocken.

‍

Zu Beginn des Jahres 2025 zeigte sich endgültig, dass der von der Ampel-Koalition vorbereitete Entwurf nicht mehr verabschiedet werden konnte. Die Koalition verlor ihre politische Handlungsfähigkeit, und schließlich kam es zu Neuwahlen. Im Zuge dessen übernahm eine neue Bundesregierung die Verantwortung für das weitere Vorgehen in der Cybersicherheitsgesetzgebung.

‍

Nach Monaten der politischen Neuordnung wurde am 30. Juli 2025 ein wichtiger Meilenstein erreicht: Das Bundeskabinett beschloss einen neuen, umfangreichen Regierungsentwurf zum NIS2-Umsetzungsgesetz. Dieser Entwurf umfasst 213 Seiten und trägt den offiziellen Titel „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“. Mit diesem Schritt wurde die Grundlage geschaffen, die lange überfällige EU-Richtlinie auch in Deutschland verbindlich zu machen.

‍

Der Entwurf befindet sich derzeit in den parlamentarischen Beratungen. Das bedeutet, dass er sowohl im Bundestag als auch im Bundesrat diskutiert, gegebenenfalls überarbeitet und schließlich verabschiedet werden muss. Erfahrungsgemäß nehmen diese Verfahren mehrere Monate in Anspruch, sodass Experten davon ausgehen, dass das Gesetz frühestens Ende 2025 oder spätestens im ersten Quartal 2026 in Kraft treten wird.

‍

Die Europäische Kommission hat das wiederholte Zögern Deutschlands nicht unbeachtet gelassen. Bereits im Mai 2025 leitete sie ein Vertragsverletzungsverfahren gegen die Bundesrepublik ein. Hintergrund ist die Tatsache, dass die NIS2-Richtlinie europaweit zu einem einheitlichen Stichtag hätte umgesetzt sein müssen. Da Deutschland die Frist deutlich überschritten hat, steht es nun unter erheblichem Druck, den Prozess ohne weitere Verzögerungen abzuschließen.

‍

Kurzum: Der Weg zur nationalen Umsetzung von NIS2 ist inzwischen zwar wieder in geordneten Bahnen, aber der Zeitplan bleibt angespannt. Unternehmen in Deutschland sollten sich nicht von den Verzögerungen täuschen lassen, sondern die gewonnenen Monate nutzen, um sich bereits jetzt auf die neuen Pflichten vorzubereiten.

Wer ist vom NIS2 Umsetzungsgesetz betroffen?

‍‍

Die beiden Hauptkriterien, um unter das NIS2 Umsetzungsgesetz zu fallen, sind die Unternehmensgröße und der Unternehmenssektor. Ob ein Unternehmen unter das NIS2 Umsetzungsgesetz fällt, hängt also davon ab, ob beide Kriterien erfüllt sind.‍

Bislang geht das NIS2 Umsetzungsgesetz davon aus, dass Unternehmen, die mindestens 50 Mitarbeiter haben und einen Jahresumsatz oder eine Jahresbilanz von über 10 Millionen Euro aufweisen, von NIS2 betroffen sein könnten, sofern sie auch in einem der 18 von der Richtlinie definierten Unternehmenssektoren tätig sind.  

Die Einteilung der Einrichtungen in „Essential Entities“ und „Important Entities“ bestimmt die Art der Aufsicht und die Sanktionsmöglichkeiten bei Verstößen gegen die Richtlinie.

In der NIS2 gibt es elf „wesentliche“ („Essential“) und sieben „wichtige“ („Important“) Sektoren.    

NIS2 Umsetzungsgesetz: Welche Sektoren gehören zu den Betreibern kritischer Infrastruktur in Deutschland?

‍

Die folgende Infografik gibt einen Überblick dazu, welche Unternehmen bislang unter die KRITIS-Einordnung fallen und in Zukunft zu den „wesentlichen“ Sektoren im NIS2 Umsetzungsgesetz zählen könnten.

‍

‍

‍

Was besagt die „Size-Cap-Rule“ im NIS2 Umsetzungsgesetz?

‍

Durch die Anwendung der „Size-Cap-Rule“ schafft NIS2 ein ausgewogenes Regelwerk, das sowohl auf Start-ups, mittelständische Unternehmen als auch Großkonzerne zugeschnitten ist. Kleine Unternehmen, die oft nicht über ausreichende Ressourcen oder Fachwissen für komplexe Sicherheitsmaßnahmen verfügen, werden nicht übermäßig belastet. Gleichzeitig werden große Unternehmen dazu ermutigt, ihre Verantwortung wahrzunehmen und angemessene Sicherheitsvorkehrungen zu treffen.

‍

Vorbereitung auf das NIS2 Umsetzungsgesetz: Was nun zu tun ist

‍

Neben der Registrierung bei der zuständigen Behörde im eigenen Mitgliedsstaat und der Meldung von Sicherheitsvorfällen müssen Unternehmen insbesondere die neuen strengen Sicherheitsanforderungen im Rahmen des NIS2 Umsetzungsgesetzes beachten:

‍

• die Einführung von Regeln und Verfahren für den Umgang mit Sicherheitsvorfällen
• die Einhaltung zeitkritischer Melde- und Berichtspflichten
• eine umfassende Risikobewertung, um potenzielle Angriffe und Informationssicherheitsrisiken zu identifizieren und zu bewerten
• die allgemeine Sensibilisierung und Schulung Ihrer Mitarbeitenden zum Thema Informationssicherheit
• Technisch-Organisatorische Maßnahmen (TOM) gemäß Stand der Technik
• Cybersicherheit auch in der Lieferkette sicherstellen

‍

Zusammengefasst: NIS2 macht den Aufbau eines Informationssicherheits-Managementsystems quasi unerlässlich

Informationssicherheits-Managementsysteme (ISMS) spielen eine zentrale Rolle bei der Umsetzung der Anforderungen des NIS2 Umsetzungsgesetzes. Ein ISMS ist ein systematischer Ansatz zur Verwaltung von Informationssicherheit und zur Minimierung von Cyber-Risiken in einer Organisation. Es hilft bei der Implementierung angemessener Sicherheitskontrollen sowie die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.  

‍Die NIS2 orientiert sich dabei stark am globalen Goldstandard für Informationssicherheit, der ISO 27001 Zertifizierung.

‍

‍

Sanktionen bei Nichteinhaltung des NIS2 Umsetzungsgesetzes

‍

Im Rahmen der NIS2 Richtlinie liegt die übergeordnete Verantwortung für die Cybersecurity und die Prävention von Sicherheitsvorfällen beim oberen Management. Die Richtlinie betont, dass das Management persönlich für die Durchführung dieser Maßnahmen verantwortlich sei.

‍

Höhere Bußgelder:

‍

Die NIS2 Richtlinie führt höhere Bußgelder und Strafen ein. Für wesentliche Einrichtungen können Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) ausmachen.  

‍

Für wichtige Einrichtungen können Strafen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) betragen. Diese strengeren Strafen sollen dazu anregen, angemessene Cybersicherheitsmaßnahmen zu treffen und mögliche Verstöße ernst zu nehmen.

‍

Fazit und Handlungsempfehlungen

‍

Obwohl das NIS2 Umsetzungsgesetz voraussichtlich erst 2025 in Kraft tritt, sollten sich Unternehmen bereits jetzt vorbereiten. da die Umsetzung der Maßnahmen mehrere Monate in Anspruch nimmt:

1. Prüfen Sie, ob Ihr Unternehmen unter den Anwendungsbereich fällt
2. Planen Sie Ressourcen für die Implementierung ein (6-18 Monate)
3. Beginnen Sie mit der Umsetzung bekannter Basis-Anforderungen (ISMS nach ISO 27001)
4. Bleiben Sie über Entwicklungen im Gesetzgebungsprozess informiert

‍

Das NIS2 Umsetzungsgesetz stellt Unternehmen vor neue Herausforderungen, bietet aber auch die Chance, die eigene Cybersicherheit nachhaltig zu verbessern und sich als vertrauenswürdiger Partner zu positionieren.

‍

Mit der ISMS-Lösung von SECJUR setzen Sie alle NIS2-Anforderungen entspannt auf einer Plattform um. Dank Automatisierung sparen Sie sich hierbei bis zu 50% an internen und externen Aufwänden. Sprechen Sie uns noch heute an.