NIS-2 nimmt Fahrt auf: Bundestag verabschiedet Gesetz zur Umsetzung

Autor: Luca Cremer | 14. November 2025

Der Bundestag hat den Entwurf zur Umsetzung der europäischen NIS2‑Richtlinie verabschiedet – ein Schritt, der längst überfällig war. Mit Unterstützung der Regierungsfraktionen wurde das Gesetz beschlossen, nachdem Deutschland mit der Umsetzung bereits in Verzug geraten war. Das Gesetz markiert einen wichtigen Meilenstein für die Sicherung nationaler Netze und Informationssysteme. Nun fehlt noch das Go vom Bundesrat.

Was ist NIS2?

Die NIS2‑Richtlinie ist ein EU‑Regelwerk zur Stärkung der Cybersecurity in Europa. Sie verpflichtet Unternehmen und Behörden in KRITIS-Sektoren dazu, technische und organisatorische Maßnahmen umzusetzen, um Cyberangriffe abzuwehren. Ziel der Richtlinie ist es, ein einheitliches, höheres Sicherheitsniveau innerhalb der EU zu schaffen und gleichzeitig klare Meldewege für Cybervorfälle festzulegen.

Sie möchten wissen, welche Anforderungen Sie im Zuge der NIS-2-Richtlinie umsetzen müssen?
In einer GAP-Analyse schauen wir auf Ihre Systeme, liefern Ihnen einen konkreten Plan und können auch die Umsetzung übernehmen.

Jetzt unverbindlich anfragen

Erweiterter Anwendungsbereich von NIS-2

Neu ist, dass nicht nur klassische Betreiber kritischer Infrastrukturen – etwa aus den Sektoren Energie, Gesundheit oder Verkehr – unter das Gesetz fallen, sondern auch Behörden und Verwaltungen. Damit wird die bisherige Systematik deutlich ausgeweitet: Schutzpflichten gelten nun über traditionelle Infrastrukturbetreiber hinaus.

Schärfere Sicherheits‑ und Meldepflichten

Unternehmen und Organisationen im Anwendungsbereich müssen künftig unter anderem Risikoanalysen durchführen, Notfall‑ und Backup‑Konzepte vorhalten sowie Verschlüsselungslösungen einsetzen. Zudem gilt eine Meldepflicht für Cyberangriffe: Innerhalb von 24 Stunden ist ein Vorfall beim BSI anzuzeigen. Parallel dazu erhält das BSI erweiterte Überwachungs‑ und Sanktionsbefugnisse – ein deutliches Zeichen für die gestiegene Bedeutung von Cybersicherheit.

Deutschland im Umsetzungsrückstand

Eigentlich hätte die NIS2‑Richtlinie bereits im Oktober 2024 in deutsches Recht umgesetzt werden sollen – dieser Zeitplan wurde deutlich überschritten. Das wirkt nicht nur reputationsschädigend, sondern birgt auch regulatorische Risiken, da die EU ein Vertragsverletzungsverfahren gegen Deutschland erwägt.

Webinar: NIS 2 im Überblick: neue EU-Richtlinie für Cybersicherheit

Als Betreiber einer kritischen Infrastruktur in der EU ist es unerlässlich, sich mit den neuen Anforderungen von NIS 2 auseinanderzusetzen. Wir helfen Ihnen dabei, die Anforderungen von NIS 2 zu verstehen und umzusetzen, damit Sie den gesetzlichen Vorgaben entsprechen und Ihre kritischen Infrastrukturen schützen können.

Stimmen aus der Praxis

Branchenverbände begrüßen das Gesetz grundsätzlich als notwendigen Schritt für mehr Cyberresilienz. Gleichzeitig mahnen sie, dass einzelne Regelungen – etwa zu kritischen Komponenten in der Telekommunikationsinfrastruktur – in der Praxis Unsicherheiten hervorrufen könnten. Der Appell an den Bundesrat lautet daher: Präzise und praxistaugliche Regelungen sicherstellen, damit die Umsetzung gelingt.

Artikel war hilfreich Artikel empfehlen

Dieser Beitrag ist auch als Download verfügbar: