EU-Flagge und deutsche Flagge wehen vor dem Reichstagsgebäude in Berlin bei blauem Himmel, NIS2

Entwürfe, Änderungen, Anhörungen. Am 06.12.2025 tritt das NIS2UmsuCG nun offiziell in Kraft

5. Dezember 2025
News | ISMS | KRITIS | Security Audits

Bereits Anfang 2023 wurde die NIS-2-Richtlinie in der EU verbindlich, um ein einheitlich hohes Schutzniveau für kritische und wichtige Dienstleistungen in allen Mitgliedsstaaten sicher zu stellen. Aufgabe der Staaten war im ersten Schritt die Überführung der Directive in nationale Gesetze.

In Deutschland soll nach dem „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (kurz NIS2UmsuCG) das BSI-Gesetz (BSIG) umfassend novelliert werden. Nach intensiven Entwurfsphasen und Anhörungen, unterbrochen von einem Regierungswechsel, hat der jetzige Bundestag am 13. November 2025 dem Gesetz zugestimmt. Mit der Zustimmung des Bundesrats und die Veröffentlichung im Bundesgesetzblatt, steht nun das finale Datum fest: 06.12.2025

Ab diesem Datum müssen betroffene Unternehmen die neuen Anforderungen ohne Übergangsfrist erfüllen.

Fassen wir nochmal das Wichtigste zu NIS-2 für Sie zusammen

Welche Unternehmen sind betroffen?

NIS-2 richtet sich an Unternehmen in 13 Sektoren, darunter Energie, Verkehr, Gesundheit, digitale Infrastruktur, Finanz- und Versicherungswesen, öffentliche Verwaltung, Abfallwirtschaft, Lebensmittel, Fertigung und weitere kritische Branchen.
Die Grundregel für betroffene Unternehmen:

  • Mindestens 50 Mitarbeiter*innen oder
  • Jahresumsatz bzw. Bilanzsumme von mindestens 10 Mio. €,
  • und Tätigkeit in einem der relevanten Sektoren.

Mit dem NIS2UmsuCG erhält das BSI-Gesetz eine Neufassung („BSIG-neu“). Kernpunkt ist die Einführung der Kategorien:

  • Besonders wichtige Einrichtungen“ (u. a. Betreiber kritischer Anlagen, große Unternehmen in hochkritischen Sektoren).
  • Wichtige Einrichtungen“ (weitere Unternehmen in den Sektoren nach Anhang I & II).

Der wesentliche Unterschied liegt weniger in den Maßnahmen selbst, sondern in der Art der Aufsicht: Besonders wichtige Einrichtungen werden regelmäßig überwacht, wichtige Einrichtungen eher anlassbezogen.

Was sind die wichtigsten Pflichten für Unternehmen?

  • Registrierung: Betroffene Unternehmen müssen sich als „wichtige“ bzw. „besonders wichtige“ Einrichtung fristgerecht beim BSI melden, dort u. a. ihre wesentlichen Dienste und Ansprechpartner angeben und diese Angaben bei Änderungen aktuell halten. Die Registrierungsseite ist derzeit noch nicht verfügbar und wird vermutlich zeitnah veröffentlicht.
  • Governance & Verantwortlichkeit: Das Management trägt die Gesamtverantwortung für Cybersicherheit, muss Risikomanagementmaßnahmen genehmigen, deren Umsetzung überwachen, sich regelmäßig schulen lassen und haftet bei groben Verstößen persönlich.
  • Risikomanagement: Unternehmen müssen ein angemessenes Risikomanagement aufbauen und weiterentwickeln, klare Rollen und Entscheidungswege definieren und Risiken für ihre Netz- und Informationssysteme systematisch identifizieren und bewerten.
  • Technisch-organisatorische Maßnahmen (TOM): Es sind angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen: Von Incident- und Notfallmanagement über Lieferkettensicherheit, sichere Entwicklung, Wirksamkeitskontrollen, Schulungen, Kryptokonzepten und Zugriffskontrolle bis hin zu starker (Multi-Faktor-)Authentifizierung. Wichtig ist hierbei, dass die Maßnahmen verhältnismäßig ergriffen werden, den Stand der Technik sowie internationale gängige Standards berücksichtigen und auf einem gefahrenübergreifenden Ansatz beruhen.
  • Meldepflichten & Sanktionen: Erhebliche Sicherheitsvorfälle sind in einem dreistufigen Verfahren fristgerecht zu melden, bei Verstößen drohen hohe Bußgelder (ähnlich der DSGVO) sowie weitergehende Eingriffe des BSI bis hin zu angeordneten Maßnahmen oder Einschränkungen von Managementfunktionen.

Was hat sich zuletzt noch geändert?

Im Juni 2025 hatten sich unsere Expert*innen bereits mit dem NIS-2 Gesetzesentwurf beschäftigt und die wichtigsten Punkte zusammengefasst sowie eingeordnet. Seitdem wurden zwei Punkte stärker angepasst:

  • Geltungsbereich präzisiert statt einfach nur erweitert: Der Anwendungsbereich wurde gezielter zugeschnitten: Unternehmen, bei denen kritische Tätigkeiten nur einen unwesentlichen Geschäftsanteil ausmachen, sollen nicht automatisch als (besonders) wichtige Einrichtung gelten.
  • Kritische Komponenten: Neue Meldepflicht und erweiterte Eingriffsrechte: Bei den kritischen Komponenten entfällt die ursprünglich geplante Anzeigepflicht vor dem erstmaligen Einsatz sowie eine formale Garantieerklärung der Hersteller zur Vertrauenswürdigkeit. Stattdessen melden Betreiber nun die eingesetzten Komponenten-Typen im Rahmen der Registrierung, während das BMI über das BSIG-neu deutlich erweiterte Befugnisse erhält, den Einsatz bestimmter Komponenten oder Hersteller risikobasiert zu untersagen. Dies gilt auch im Bestand.

Was besagt die Durchführungsverordnung für Unternehmen bestimmter Branchen?

Ergänzend zur NIS-2-Richtlinie gibt es auch noch die sogenannte „Durchführungsverordnung (EU) 2024/2690“, welche sehr konkret festlegt, wie bestimmte NIS-2-Anforderungen praktisch umzusetzen sind. Dies betrifft insbesondere die Risikomanagementmaßnahmen und die Einstufung „erheblicher“ Sicherheitsvorfälle. Anders als die Richtlinie selbst muss diese Verordnung nicht erst in deutsches Recht überführt werden, sondern gilt mit dem Inkrafttreten der jeweiligen länderspezifischen NIS-2-Gesetze unmittelbar und einheitlich in allen EU-Mitgliedstaaten. Sie richtet sich vor allem an digitale Infrastrukturanbieter und digitale Dienste (z. B. DNS-Dienste, Cloud, Rechenzentren, Online-Marktplätze, soziale Netzwerke, Managed Service Provider) und definiert für diese sehr detaillierte technische und organisatorische Mindestanforderungen.

Unternehmen sollten jetzt sorgfältig prüfen, ob sie unter die Durchführungsverordnung fallen, denn gerade zentrale IT- oder Digital-Einheiten im Konzernverbund rutschen hier schnell in den Anwendungsbereich. Die neuen Vorgaben sind viel konkreter formuliert und erhöhen damit sowohl die Prüfbarkeit als auch die Erwartungshaltung an die Umsetzung.

Maximilian Müller, Managing Consultant, usd AG

Zitat Maximilian Müller Managing Consultant zu ISMS

Fazit: Handeln ist Pflicht

Mit dem Inkrafttreten des NIS2UmsuCG und demnach dem neuen BSIG endet die Übergangsphase zur Vorbereitung auf NIS-2. Betroffene Unternehmen müssen die Anforderungen jetzt verbindlich und vollumfänglich erfüllen. Wer noch nicht vorbereitet ist, steht unter Zugzwang: Meldeprozesse, Risikomanagement und technische Maßnahmen sind Pflicht.

Es ist ein wichtiger Schritt, dass das deutsche Umsetzungsgesetz nun veröffentlicht wurde. Unternehmen haben damit endlich Planungssicherheit und wissen, woran sie sich künftig messen lassen müssen. Unklar bleibt jedoch, welche besonders kritischen Unternehmen tatsächlich einen Nachweis über die Umsetzung erbringen müssen. Wir bleiben für die Unternehmen am Ball und informieren, sobald es neue Klarheit gibt.

Vinzent Ratermann, Managing Consultant und Experte für die IT-Sicherheit Kritischer Infrastrukturen, usd AG

Vinzent Ratermann, in Hemd und Pullover, Managing Security Consultant und Experte für kritische Infrastrukturen

Sie benötigen Unterstützung bei der abschließenden Implementierung der Anforderungen und/oder der Überprüfung getroffener Maßnahmen? Wir unterstützen Sie dabei, kontaktieren Sie uns.

EU-Richtlinie | Informationssicherheit | KRITIS | NIS-2 | NIS-2-Richtlinie | NIS-2-Umsetzungsgesetz | Nis2umsuCG

Auch interessant:

Kategorien

Kategorien

Cloud Security Customer Stories  |  Corporate Social Responsibility  |  Events & Community Financial Sector & Compliance  |  ISMS  |  KRITIS  | Life@usd  |  Meet us  |   News   |  PCI Pentests & Security Analyses  |  Security Audits  |   Security Advisories