NIS-2-Richtlinie: Kabinettsbeschluss zur Umsetzung erfolgt
Autor: Luca Cremer | 1. August 2025

Am 30. Juli 2025 beschloss die Bundesregierung den Regierungsentwurf zur Umsetzung der NIS-2-Richtlinie, der die Cybersicherheit in Deutschland und Europa stärkt. Dieser Schritt ist angesichts der zunehmenden Bedrohungen durch Cyberangriffe von entscheidender Bedeutung.
Was ist NIS-2?
Die NIS-2-Richtlinie baut auf der vorherigen NIS-Richtlinie von 2016 auf und zielt darauf ab, die Widerstandsfähigkeit der EU gegen Cyberbedrohungen deutlich zu erhöhen. Mit der Novellierung werden nicht nur kritische Infrastrukturen wie Energie, Gesundheitswesen und Transport, sondern auch digitale Dienstleister wie Cloud-Anbieter oder soziale Plattformen in den Fokus genommen.
Der neue Entwurf verpflichtet nun auch Unternehmen in diesen Bereichen zu strengeren Sicherheitsvorkehrungen und zu einem kontinuierlichen Risikomanagement, um mögliche Cyberangriffe abzuwehren. Die Umsetzung dieser Richtlinie stellt sicher, dass Unternehmen ihre Sicherheitsstrategien regelmäßig auf den Prüfstand stellen und den Schutz von Netzwerken und IT-Systemen optimieren.
Erweiterte Anforderungen für mehr Sicherheit
Künftig sollen mehr Einrichtungen unter die neue Regelung fallen. Dies umfasst nicht nur Betreiber kritischer Infrastrukturen, sondern auch besonders wichtige Einrichtungen, die nun neue gesetzliche Pflichten zur IT-Sicherheit umsetzen müssen. Dazu gehören unter anderem die Registrierung, die Meldung von Sicherheitsvorfällen sowie die Implementierung von Risikomanagement-Maßnahmen wie Risikoanalysen, Sicherheitskonzepten und Multi-Faktor-Authentifizierung.
Zudem wird Cybersicherheit zur Chefsache erklärt: Die Geschäftsführungen betroffener Einrichtungen sind verpflichtet, Risikomanagement-Maßnahmen zu überwachen und sich in diesem Bereich fortzubilden.
Für Einrichtungen der Bundesverwaltung verlangt der Gesetzesentwurf die Umsetzung von Mindestanforderungen zur Informationssicherheit, basierend auf dem IT-Grundschutz-Kompendium des BSI und den Sicherheitsstandards des Bundes.
Wichtige Neuerungen: Meldepflichten und Haftungsregelungen
Ein zentrales Element der NIS-2-Richtlinie ist die Einführung neuer und verschärfter Meldepflichten. So müssen Unternehmen, die von einem Cyberangriff betroffen sind, diesen innerhalb von 24 Stunden den zuständigen Behörden melden. Dies dient einer schnellen Reaktion und hilft, Schäden frühzeitig zu minimieren.
Außerdem sieht der Entwurf des Gesetzes vor, dass Unternehmen, die gegen die neuen Anforderungen verstoßen, mit empfindlichen Strafen rechnen müssen. Die Höhe der Bußgelder kann bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes betragen, was für viele Unternehmen einen erheblichen Anreiz darstellt, die Sicherheitsvorgaben ernst zu nehmen.

Der Rolle des BSI wird gestärkt
Ein weiterer wichtiger Aspekt der NIS-2-Richtlinie ist die Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI). In einer Pressemitteilung des BSI vom 30. Juli 2025 wurde der Entwurf als ein bedeutender Fortschritt im Bereich der Cybersicherheit hervorgehoben. Das BSI wird durch die neue Regelung seine Koordinationsrolle weiter ausbauen und als zentrale Anlaufstelle für alle sicherheitsrelevanten Informationen und Maßnahmen fungieren. Dadurch soll eine schnellere Reaktion auf Bedrohungen und eine bessere Zusammenarbeit zwischen den nationalen Behörden und Unternehmen gewährleistet werden.
BSI-Präsidentin Claudia Plattner betont, dass dieser Entwurf einen entscheidenden Schritt in Richtung einer „resilienten Cybernation“ darstellt. Unternehmen erhalten durch das Gesetz mehr Planungssicherheit und können künftig schneller feststellen, ob sie von der NIS-2-Richtlinie betroffen sind.
Fazit: Ein Schritt in die richtige Richtung
Der Entwurf zur NIS-2-Richtlinie stellt einen wichtigen Meilenstein in der Stärkung der Cybersicherheit in Deutschland und der EU dar. Unternehmen, die von der neuen Regelung betroffen sind, sollten die kommenden Monate nutzen, um ihre IT-Sicherheitsstrategien auf den neuesten Stand zu bringen und ihre Systeme entsprechend abzusichern. Die NIS-2-Richtlinie bietet nicht nur die Möglichkeit, die digitale Resilienz zu erhöhen, sondern auch das Vertrauen in die europäische Infrastruktur zu stärken.
Sie haben Fragen zu NIS-2 und/oder benötigen Unterstützung bei der Umsetzung? Unsere Berater helfen Ihnen, Ihre Fragen zu beantworten. Vereinbaren Sie gern ein unverbindliches Beratungsgespräch, um Ihre spezifischen Anforderungen zu besprechen oder schreiben Sie uns eine Mail an info@rz10.de