Bundestag verabschiedete NIS2-Umsetzungsgesetz

25.11.25 10:20

Die seit Jahren von Experten bemängelte verwundbare Cybersicherheitslage in Deutschland erfordert dringende Maßnahmen. Mit der verspäteten Verabschiedung des NIS2-Umsetzungsgesetzes durch den Deutschen Bundestag am 13.11.2025 wird jetzt die europäische NIS2-Richtlinie in nationales Recht überführt. Damit setzt Deutschland einen entscheidenden Schritt zur Modernisierung seines IT-Sicherheitsrechts.

Die europäische NIS2-Richtlinie

You can edit text on your website by double clicking on a text box on your website. Alternatively, when you select a text box a settings menu will appear. your website by double clicking on a text box on your website. Alternatively, when you select a text box

Seit 2016 sorgt die erste NIS-Richtlinie für ein Cybersicherheits-Fundament in der EU. Die Nachfolgeregelung, die NIS2-Richtlinie, ist seit Januar 2023 gültig und erweitert den Anwendungsbereich. Sie erhöhen die Standards für Cybersicherheit und deren Durchsetzung in „wesentlichen Sektoren der Wirtschaft“. Dazu zählen beispielsweise das Gesundheitswesen, Abwasserunternehmen sowie öffentliche elektronische Kommunikationsdienste.

Verspätete Umsetzung in Deutschland

Die Frist zur Umsetzung der NIS2-Richtlinie in nationales Recht war bereits am 17.10.2024. Da Deutschland und viele andere Mitgliedstaaten dieser Verpflichtung nicht nachkamen, leitete die EU-Kommission Ende letzten Jahres ein Vertragsverletzungsverfahren ein und drohte später sogar mit einer Klage vor dem Europäischen Gerichtshof (EuGH).

Die Umsetzung scheiterte in Deutschland mehrfach: Zunächst passierte das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz der ehemaligen Regierung im Juli zwar das Kabinett, wurde aber nicht im Bundestag angenommen. Ein anschließender Entwurf von SPD und Grünen scheiterte Ende Januar 2025 an internen Koalitionsdifferenzen mit der FDP. Erst Ende Juli legte die aktuelle Regierung einen endgültigen neuen Regierungsentwurf vor.

Bedeutung des Umsetzungsgesetzes für Unternehmen

Das nun verabschiedete Gesetz, das laut BSI-Pressemitteilung primär das Bundessicherheitsgesetz (BSIG) überarbeitet, weitet den Kreis der Betroffenen drastisch aus: Statt bisher rund 4.500 müssen künftig etwa 29.500 Unternehmen und Organisationen bestimmte Sicherheitsmaßnahmen umsetzen. Neben den bisherigen Betreibern kritischer Infrastrukturen (KRITIS) fallen nun auch "wichtige" und "besonders wichtige Einrichtungen" in Sektoren wie öffentliche Kommunikation, Abwasser oder Gesundheit unter die Pflicht.

Das BSI wird zur zentralen Aufsichtsbehörde für all diese Stellen und übernimmt zusätzlich die Funktion des Chief Information Security Officer (CISO) der Bundesverwaltung. Für die betroffenen Unternehmen sind erweiterte gesetzliche Pflichten verbindlich, welche ein robustes Risikomanagement und eine funktionierende Cybersicherheitsorganisation vorschreiben.

Konkret müssen sich Unternehmen künftig beim BSI registrieren, erhebliche Sicherheitsvorfälle zeitnah melden und Schutzmaßnahmen konsequent implementieren. Dies umfasst die technische Absicherung der Netzwerke ebenso wie klare Verantwortlichkeitsstrukturen in der Unternehmensführung.

Neue Vorgaben für die Bundesverwaltung

Die Regelungen des Gesetzes betreffen unmittelbar die Bundesverwaltung. Alle Behörden und Ressorts sind künftig zur Einhaltung von Mindestanforderungen an die Informationssicherheit verpflichtet, welche sich primär an den IT-Grundschutz-Standards des BSI orientieren. Das BSI wird dabei zum zentralen CISO der Bundesverwaltung und ist für die IT-Governance-Koordination über alle Bereiche hinweg zuständig.

Praktische Unterstützung für Unternehmen

Um die NIS2-relevanten Unternehmen sofort zu unterstützen, entwickelt das BSI handlungsfähige Strukturen. Es bietet ein Starterpaket als geförderte Orientierungshilfe zu den neuen Pflichten sowie Kick-off-Seminare an. In diesen Seminaren werden die Schritte zur Betroffenheitsprüfung, zur Registrierung im BSI-Portal und zur Etablierung der Meldeprozesse für Sicherheitsvorfälle praxisnah vermittelt.

Zusammenfassung

Das NIS2-Umsetzungsgesetz wurde zwar verzögert, aber inhaltlich fundiert verabschiedet. Es etabliert nun einen verbindlichen Sicherheitsrahmen für Wirtschaft und Verwaltung. Die gestärkte Position des BSI als zentrale Instanz erhöht die Effizienz und Verlässlichkeit in diesem für die digitale Souveränität kritischen Feld. Für Unternehmen bedeutet dies akuten Umsetzungsdruck: Die neuen Pflichten müssen über die reine Formalität hinaus organisatorisch nachhaltig verankert werden. Aufgrund der Komplexität empfiehlt sich für viele Betriebe die Unterstützung durch externe Compliance-Experten.

Experten für die ideale Fabrik

Wir, die IPOL GmbH, sind ein spezialisiertes Beratungsunternehmen für Industriekunden und optimieren Produktions- und Logistikprozesse. Gemeinsam mit unseren Kunden legen wir hohen Wert auf die Umsetzung datenschutz- wie auch informationssicherheitsbezogener Anforderungen. Mit der bg-consulting GmbH arbeiten wir sehr erfolgreich seit 2020 zusammen. Mit Herrn René Glaubert haben wir damals einen externen Datenschutzbeauftragten gewonnen, der uns vor allem durch die Digitalisierung von Prozessen und Dokumenten überzeugt hat. Heute nutzen wir die von bg-consulting entwickelte Cloud-Lösung auch für Schulungen, Schulungsnachweise, Dokumentationen und Prozessaudits im Bereich der Informationssicherheit. Herr Glaubert und sein Team haben uns in 2023 erfolgreich im TISAX-Zertifizierungsprozess begleitet; er übernimmt seither zusätzlich die Rolle des externen Informationssicherheitsbeauftragten und ist Ansprechpartner für unsere 40 Beschäftigten. Die moderne Form der Zusammenarbeit, gestützt auf Abläufe in der Cloud, begrenzt unseren Aufwand erheblich.

Dr. Holm Fischäder - Geschäftsführer- IPOL GmbH

Swen Hansen Bild Business Service Solution GmbH

People, Technology & Consulting for your B2B success

Dank der Unterstützung von bg-consulting GmbH konnten wir unsere Prozesse im Bereich Datenschutz nicht nur optimieren, sondern auch rechtssicher gestalten. Das hat uns nicht nur vor potenziellen Risiken geschützt, sondern auch das Vertrauen unserer Kunden in unser Unternehmen gestärkt.

Swen Hansen - Geschäftsführer - Business Service Solution GmbH

identify

Als BaFin-lizenziertes Unternehmen hat Datenschutz für uns oberste Priorität. Die Zusammenarbeit mit bg-consulting GmbH hat uns dabei unterstützt, höchste regulatorische Anforderungen effizient und praxisnah umzusetzen. Besonders schätze ich den proaktiven Ansatz und die maßgeschneiderten Lösungen, die nicht nur Compliance sicherstellen, sondern auch unsere internen Prozesse optimieren. So können wir unseren Kunden maximale Sicherheit und Transparenz bieten.

Neslihan Özbugutu - Geschäftsführerin - identify GmbH

Andrea Wuchner - Geschäftsführerin - CSV GmbH

CSV

Wir werden seit vielen Jahren verlässlich von Hr. Glaubert und seinem Team unterstützt.

Jegliche Fragestellungen erlangen Leichtigkeit, Dank Expertise und umgehender Unterstützung.

Herzlichen Dank für unsere Zusammenarbeit!

Andrea Wuchner - Geschäftsführerin - CSV GmbH

HC24

Sehr professioneller und zuverlässiger Datenschutz-Partner

Wir arbeiten seit einigen Jahren mit bg-consulting GmbH zusammen und sind sehr zufrieden mit der Zusammenarbeit. Die Beratung ist fachlich kompetent, lösungsorientiert und immer auf dem neuesten Stand der DSGVO-Vorgaben.

Besonders schätzen wir die klare Kommunikation, die schnelle Reaktionszeit und die praxisnahen Empfehlungen.

Auch komplexere Fragestellungen werden verständlich erklärt und individuell auf unsere Unternehmenssituation zugeschnitten. Die bereitgestellten Unterlagen und Vorlagen sind strukturiert, rechtssicher und leicht umsetzbar.

Wir können Herrn Glaubert und sein Team absolut weiterempfehlen – ein echter Mehrwert für jedes Unternehmen.

Katharina Kirchner – Geschäftsführerin – HC24 GmbH & Co KG

Wir sind Mitglied bei:

Impressum Datenschutzerklärung Support

Verkauf nur an Unternehmer, Gewerbetreibende, Freiberufler und öffentliche Einrichtungen. Kein Verkauf an Verbraucher im Sinne des § 13 BGB.

TISAX® ist eine eingetragene Marke der ENX Association. Wir stehen in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Software-as-a-Service und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf unserer Website dargestellten Inhalte. Alle Angaben dienen lediglich der Information und beruhen auf internen Schätzungen. Diese Informationen sind kein Indikator für KPIs und werden ohne ausdrückliche oder stillschweigende Zusicherungen oder Garantien in Bezug auf Genauigkeit und Zuverlässigkeit gegeben.

Bundestag verabschiedete NIS2-Umsetzungsgesetz

Experten für die ideale Fabrik

People, Technology & Consulting for your B2B success

identify

CSV

HC24

Anmeldung zur unserem Newsletter