News und Infos zur Praxis Datenschutz und IT-Sicherheit

NIS-2 in Deutschland: Update 2025 – Was Unternehmen jetzt wissen müssen

Die NIS-2-Richtlinie (EU) 2022/2555 ist der zentrale Baustein der EU-Strategie zur Stärkung der Cyber- und Informationssicherheit für Unternehmen, Behörden und kritische Infrastrukturen. Sie ersetzt die frühere NIS-Richtlinie (EU) 2016/1148 und weist deutlich strengere Anforderungen an Sicherheits-, Melde- und Governance-Strukturen auf. Während Sie in einem früheren Beitrag die Grundzüge der Richtlinie kennengelernt haben, steht nun fest: Deutschland hat die NIS-2-Richtlinie endlich in nationales Recht umgesetzt – und damit gelten die neuen Regelungen seit dem 6. Dezember 2025 verbindlich für zahlreiche Unternehmen.

1. Hintergrund: Zielsetzung der NIS-2-Richtlinie

Die NIS-2-Richtlinie hat zum Ziel, ein hohes, gemeinsames Cybersicherheitsniveau in der gesamten EU zu erreichen. Sie adressiert systematische Risiken, die durch Digitalisierung, Vernetzung und zunehmend komplexe Bedrohungslandschaften entstehen. Im Kern will NIS-2:

  • Die Anwendungsbreite der Regelungen erweitern – deutlich mehr Sektoren und Unternehmen sind betroffen als unter der Vorgängerrichtlinie. Wikipedia

  • Einheitliche Mindeststandards für Risikomanagement, Sicherheitsmaßnahmen, Governance und Incident Response schaffen. Wikipedia

  • Vorfallsmeldungen und Reaktionszeiten vereinheitlichen, um schnellere und effektivere Reaktionen auf Sicherheitsvorfälle zu ermöglichen. Wikipedia

  • Strengere Aufsichts- und Sanktionsmechanismen einführen – inklusive deutlich höherer Bußgelder bei Verstößen. Wikipedia

Diese Zielsetzungen setzen einen gemeinsamen europäischen Mindeststandard, der durch nationale Umsetzungsgesetze ergänzt wird.

2. Deutsche Umsetzung: NIS2-Umsetzungsgesetz tritt in Kraft

Deutschland hat die Umsetzung der NIS-2-Richtlinie lange Zeit verzögert, sodass die ursprüngliche Frist vom 18. Oktober 2024 nicht eingehalten werden konnte. Nach mehreren politischen Prozessen, darunter Neuwahlen im Jahr 2025, wurde der Bundestag schließlich am 13. November 2025 das Umsetzungsgesetz verabschiedet. Pressetext Deutscher Bundestag

Das Gesetz mit dem Titel:

„Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“

wurde am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht. Ab dem 6. Dezember 2025 ist es rechtskräftig und für betroffene Akteure verbindlich.

Direkter Link zum Bundesgesetzblatt-Eintrag (2025): https://www.recht.bund.de/bgbl/1/2025/301/VO.html

3. Wesentliche Inhalte des deutschen Umsetzungsgesetzes

Das nationale Umsetzungsgesetz ist kein reiner „Abdruck“ der EU-Richtlinie; vielmehr ist es ein umfangreiches Anpassungs- und Modernisierungsgesetz, das auf bestehenden deutschen Sicherheitsgesetzen aufbaut – speziell dem BSI-Gesetz (BSIG) – und dieses erheblich erweitert.

a. Erweiterter Anwendungsbereich

Nach Schätzungen werden durch die deutsche NIS-2-Umsetzung über 30.000 Unternehmen erfasst, deutlich mehr als unter dem früheren KRITIS- oder IT-Sicherheitsgesetz. openkritis.de

Betroffen sind unter anderem:

  • Energie- und Versorgungsunternehmen

  • Transport und Logistik

  • Gesundheitswesen

  • Digitale Dienste und Plattformen

  • Öffentliche Verwaltungen

  • Finanz- und Versicherungswirtschaft

  • IT- und Telekommunikationsdienste

Die Schwellenwerte richten sich nach Mitarbeiterzahlen, Umsatz und Bilanzsumme, wobei bestimmte Sektoren – etwa kritische Dienste – unabhängig von Größe und Umsatz betroffen sein können.

b. Governance und Verantwortlichkeit

Neu ist eine explizite Managerverantwortung: Unternehmensleitungen sind nicht nur zu implementierenden Maßnahmen verpflichtet, sondern müssen diese aktiv überwachen, dokumentieren und regelmäßig prüfen.

c. Risikomanagement- und Sicherheitsanforderungen

Der Gesetzentwurf integriert verbindliche Maßnahmen zu:

  • Risiko- und Schwachstellenmanagement

  • Patch- und Konfigurationsmanagement

  • Zugangskontrollen und Authentifizierung

  • Log- und Ereignismanagement

  • Reaktions- und Wiederherstellungsplanung

Diese Anforderungen entsprechen weitgehend den Vorgaben der EU-Richtlinie, gehen in Teilen jedoch in Detailtiefe und Durchsetzung über nationalen Ergänzungsregelungen hinaus.

d. Meldepflichten bei Sicherheitsvorfällen

Betroffene Unternehmen müssen sicherheitsrelevante Vorfälle innerhalb fest definierter Fristen melden:

  • Erstmeldung: innerhalb von 24 Stunden nach Bekanntwerden

  • Zwischenmeldung: nach 72 Stunden

  • Abschlussbericht: innerhalb von 30 Tagen

Detaillierte Meldepflichten und Formate werden durch den Gesetzestext und nachgelagerte Verordnungen konkretisiert.

e. Sanktionen und Durchsetzung

Die Sanktionen wurden im Vergleich zur alten Regelung deutlich verschärft:

  • Geldbußen bis zu 10 Mio. Euro oder 2 % des globalen Jahresumsatzes für besonders wichtige Unternehmen

  • Persönliche Haftung von Mitgliedern der Geschäftsführung bei Versäumnissen

  • Anordnung bindender Sicherheitsmaßnahmen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)

4. Rolle des BSI und Behördenstruktur

Die zentrale Aufsichts- und Durchsetzungsbehörde bleibt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es fungiert künftig als Nationale Aufsichtsbehörde (NCA) für die NIS-2-Umsetzung in Deutschland.

Weitere Behörden wie das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) oder sektorspezifische Stellen sind in bestimmten Aufgabenbereichen beteiligt, insbesondere bei kritischen Diensten.

5. Praktische Auswirkungen: Was sollten Unternehmen jetzt tun?

Mit dem Inkrafttreten des Umsetzungsgesetzes am 6. Dezember 2025 stehen Unternehmen vor klaren Compliance-Pflichten. Die wichtigsten Schritte für die Praxis sind:

  1. Selbstprüfung auf Anwendbarkeit: Ermitteln Sie, ob und in welchem Umfang Ihr Unternehmen unter die NIS-2-Regelungen fällt (Klassifizierung, Schwellenwerte).

  2. Einrichtung eines Managementprozesses für Informationssicherheit: Inklusive Risikoanalyse, Maßnahmenplanung und Governance-Reportings.

  3. Festlegung von Verantwortlichkeiten: Definition von Rollen für Sicherheit, Incident Response und Meldewesen.

  4. Implementierung technischer und organisatorischer Maßnahmen: Basierend auf den Mindestanforderungen aus dem Gesetz und der EU-Richtlinie.

  5. Schulung und Sensibilisierung: Insbesondere für Incident-Response-Teams und das Management.

6. Fazit

Mit der Veröffentlichung des NIS-2-Umsetzungsgesetzes im Bundesgesetzblatt und dem Inkrafttreten am 6. Dezember 2025 hat Deutschland einen entscheidenden Schritt in der Harmonisierung seiner Cybersicherheitsgesetzgebung mit europäischen Vorgaben vollzogen.

Das Ergebnis ist ein rechtlich verbindlicher Rahmen, der:

  • Die Organisations- und Sicherheitsanforderungen für Unternehmen erweitert,

  • die Melde- und Reaktionspflichten verschärft,

  • und die Verantwortlichkeit von Führungskräften präzisiert.

Damit werden Unternehmen nicht nur verpflichtet, technische Systeme abzusichern, sondern auch organisatorisch und prozessual eine Sicherheitskultur zu etablieren, die den hohen Anforderungen der digitalen Realität gerecht wird.

BGBl. 2025 I Nr. 301 vom 05.12.2025
BSI: NIS-2-Betroffenheitsprüfung
BSI: NIS-2-Richtlinie kompakt – Managementwissen auf einen Blick