NIS-2 nimmt Fahrt auf: Bundestag verabschiedet Gesetz zur Umsetzung
Autor: Luca Cremer | 5. Dezember 2025
Der Bundestag hat den Entwurf zur Umsetzung der europäischen NIS2‑Richtlinie Mitte November verabschiedet – ein Schritt, der längst überfällig war. Mit Unterstützung der Regierungsfraktionen wurde das Gesetz beschlossen, nachdem Deutschland mit der Umsetzung bereits in Verzug geraten war. Das Gesetz markiert einen wichtigen Meilenstein für die Sicherung nationaler Netze und Informationssysteme. Ab dem 06.12.2025 gilt das Gesetz nun.
Update 05.12.2025: NIS-2 Umsetzungsgesetz ab 06.12.2025 in Kraft
Am 05.12.2025 gab es die offizielle Mitteilung. Das “Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung” gilt nun ab dem 06.12.2025. Die nationale Umsetzung der EU-Richtlinie erfolgt vor allem durch eine Novellierung des BSI-Gesetzes (BSIG). Unternehmen sind nun verpflichtet, eigenständig zu prüfen, ob sie von der NIS-2-Richtlinie betroffen sind und zukünftig zu den etwa 29.500 Einrichtungen zählen, die unter der Aufsicht des BSI stehen.
Was ist NIS2?
Die NIS2‑Richtlinie ist ein EU‑Regelwerk zur Stärkung der Cybersecurity in Europa. Sie verpflichtet Unternehmen und Behörden in KRITIS-Sektoren dazu, technische und organisatorische Maßnahmen umzusetzen, um Cyberangriffe abzuwehren. Ziel der Richtlinie ist es, ein einheitliches, höheres Sicherheitsniveau innerhalb der EU zu schaffen und gleichzeitig klare Meldewege für Cybervorfälle festzulegen.
Sie möchten wissen, welche Anforderungen Sie im Zuge der NIS-2-Richtlinie umsetzen müssen?
In einer GAP-Analyse schauen wir auf Ihre Systeme, liefern Ihnen einen konkreten Plan und können auch die Umsetzung übernehmen.
Erweiterter Anwendungsbereich von NIS-2
Neu ist, dass nicht nur klassische Betreiber kritischer Infrastrukturen – etwa aus den Sektoren Energie, Gesundheit oder Verkehr – unter das Gesetz fallen, sondern auch Behörden und Verwaltungen. Damit wird die bisherige Systematik deutlich ausgeweitet: Schutzpflichten gelten nun über traditionelle Infrastrukturbetreiber hinaus.
Schärfere Sicherheits‑ und Meldepflichten
Unternehmen und Organisationen im Anwendungsbereich müssen künftig unter anderem Risikoanalysen durchführen, Notfall‑ und Backup‑Konzepte vorhalten sowie Verschlüsselungslösungen einsetzen. Zudem gilt eine Meldepflicht für Cyberangriffe: Innerhalb von 24 Stunden ist ein Vorfall beim BSI anzuzeigen. Parallel dazu erhält das BSI erweiterte Überwachungs‑ und Sanktionsbefugnisse – ein deutliches Zeichen für die gestiegene Bedeutung von Cybersicherheit.
Deutschland im Umsetzungsrückstand
Eigentlich hätte die NIS2‑Richtlinie bereits im Oktober 2024 in deutsches Recht umgesetzt werden sollen – dieser Zeitplan wurde deutlich überschritten. Das wirkt nicht nur reputationsschädigend, sondern birgt auch regulatorische Risiken, da die EU ein Vertragsverletzungsverfahren gegen Deutschland erwägt.
Stimmen aus der Praxis
Branchenverbände begrüßen das Gesetz grundsätzlich als notwendigen Schritt für mehr Cyberresilienz. Gleichzeitig mahnen sie, dass einzelne Regelungen – etwa zu kritischen Komponenten in der Telekommunikationsinfrastruktur – in der Praxis Unsicherheiten hervorrufen könnten. Der Appell an den Bundesrat lautet daher: Präzise und praxistaugliche Regelungen sicherstellen, damit die Umsetzung gelingt.
