NIS 2 Deutschland – Die Umsetzung der Richtlinie in deutschen Unternehmen

NIS 2 soll in Deutschland und innerhalb der EU die Cyberresilienz stärken. Doch wie setzt Deutschland diese Richtlinie um, und was bedeutet das für deutsche Unternehmen? In diesem Artikel beleuchten wir die Umsetzung von NIS 2 in Deutschland, die geplanten Gesetze, Fristen und Verantwortlichkeiten – von der Gesetzgebung bis zur Rolle des BSI (Bundesamt für Sicherheit in der Informationstechnik). Unternehmen erfahren, welche neuen Pflichten auf sie zukommen und welche Schritte jetzt wichtig sind, um sich entsprechend vorzubereiten.

Was bedeutet Cyberkriminalität für deutsche Unternehmen?

Cyberangriffe stellen eine erhebliche Bedrohung für deutsche Unternehmen dar – sowohl in sozialer als auch in wirtschaftlicher Hinsicht. Laut Bitkom entstehen der deutschen Wirtschaft jährlich Schäden von über 200 Milliarden Euro durch Datendiebstahl, Spionage und Sabotage. Diese Zahl verdeutlicht die massiven wirtschaftlichen Folgen von Cyberkriminalität. Betroffen sind keineswegs nur große Konzerne: Rund drei Viertel aller Unternehmen in Deutschland gaben in einer Umfrage an, in den letzten 12 Monaten Opfer von digitalen Attacken gewesen zu sein.

Auch die sozialen Auswirkungen sind spürbar. Viele Firmen sehen ihre Existenz bedroht, da erfolgreiche Cyberattacken nicht nur finanziellen Schaden verursachen, sondern auch das Vertrauen von Kunden und Partnern erschüttern können. Cyberkriminalität wird zunehmend professioneller und aggressiver – organisierte Banden und sogar staatliche Akteure mischen im digitalen Untergrund mit. Im Kontext des russischen Kriegs gegen die Ukraine warnt das BSI, dass die Bedrohungslage im Cyberraum aktuell „so hoch wie nie zuvor“ ist. Kleine und mittlere Unternehmen stehen dabei vermehrt im Fadenkreuz der Angreifer, obwohl oder vielleicht gerade weil sie oft nicht über die Ressourcen der Großunternehmen verfügen. Diese alarmierende Lage macht deutlich, warum strengere Sicherheitsmaßnahmen – wie die der NIS 2-Richtlinie – notwendig sind.

Haben wir Ihr Interesse geweckt? Holen Sie sich jetzt ein Angebot ein! (Kopie) (Kopie) (Kopie)

Wir unterstützen Sie bei der Analyse und der Entwicklung einer durchgehend sicheren IT-Infrastruktur und sorgen dank modernster Sicherheitstechnik für ein Höchstmaß an Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten.

Kontakt

NIS 2 in Deutschland im Kampf gegen Cyberkriminalität

Angesichts dieser Bedrohungslage hat die EU mit der NIS 2-Richtlinie reagiert. Die Richtlinie (EU 2022/2555) trat am 16. Januar 2023 in Kraft und verpflichtet alle Mitgliedstaaten, ihre nationalen Gesetze bis zum 17. Oktober 2024 daran anzupassen. Deutschland muss also die NIS 2-Richtlinie in nationales Recht überführen – ein Vorhaben, das oft als Umsetzung der NIS 2 in Deutschland bezeichnet wird. Kernziel ist es, Unternehmen besser gegen Cyberkriminalität zu schützen und EU-weit ein hohes, einheitliches Cybersicherheitsniveau zu erreichen. Dazu werden einerseits die bestehenden IT-Sicherheitsanforderungen verschärft und andererseits deutlich mehr Branchen und Betriebe reguliert als bisher.

Gesetzliche Regelungen: Die Umsetzung erfolgt durch ein spezielles NIS 2 Gesetz in Deutschland. Die Bundesregierung erarbeitete 2023/2024 den Entwurf eines „Gesetzes zur Umsetzung der NIS 2-Richtlinie und zur Stärkung der Cybersicherheit“ (NIS 2UmsuCG genannt). Dieser Entwurf wurde im Juli 2024 vom Kabinett beschlossen. Er sieht umfassende Änderungen des BSI-Gesetzes und weiterer Vorschriften vor, um die Vorgaben der NIS 2 in deutsches Recht zu gießen. Unter anderem sollen neue Mindestanforderungen an die IT-Sicherheit definiert, erweiterte Meldepflichten für Sicherheitsvorfälle eingeführt und die Aufsichts- und Sanktionsbefugnisse der Behörden ausgebaut werden.

Wichtige Fristen in Deutschland: Eigentlich sollte das NIS 2-Umsetzungsgesetz bis Oktober 2024 verabschiedet sein, um die EU-Frist zu halten. Diese Frist wurde jedoch verpasst – der Gesetzentwurf (BT-Drs. 20/13184 vom 02.10.2024) wurde vor den Bundestagswahlen nicht mehr beschlossen. Als Folge hat die EU-Kommission Ende November 2024 ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet. Inzwischen steht fest, dass das Gesetz erst 2025 oder Anfang 2026 vom Bundestag verabschiedet werden soll. Trotz der Verzögerung bleibt die Umsetzung vordringlich und Unternehmen sollten die kommende Gesetzesänderung bereits jetzt im Blick haben.

Was sagt die deutsche Wirtschaft zu den Vorgaben der Politik?

Die deutschen Unternehmen – insbesondere Betreiber Kritischer Infrastrukturen – stehen den politischen Vorgaben zur IT-Sicherheit überwiegend positiv gegenüber. Das zeigt eine Umfrage des BSI unter KRITIS-Betreibern zur Wirksamkeit des IT-Sicherheitsgesetzes. Neun von zehn Betreibern kritischer Infrastruktur halten die gesetzlichen Sicherheitsmaßnahmen für sinnvoll, und drei Viertel von ihnen bestätigen einen positiven Einfluss dieser Vorgaben auf die IT-Sicherheit im eigenen Unternehmen. Mit anderen Worten: Die Wirtschaft erkennt an, dass strengere Sicherheitsauflagen nötig und nützlich sind. Zudem hat die Befragung gezeigt, dass Informationssicherheit für fast alle Betreiber von Anfang an ein zentraler Bestandteil ihrer Digitalisierungsprojekte ist. Diese hohe Akzeptanz erleichtert die Umsetzung von NIS 2, denn sie signalisiert, dass viele Unternehmen bereit sind, zusätzliche Anstrengungen für kollektive Cybersecurity mitzutragen.

 

Aktueller Stand der Umsetzung in Deutschland

Obwohl die Richtlinie bereits in Kraft ist, befindet sich die konkrete deutsche Umsetzung von NIS 2 noch im politischen Prozess. Wie erwähnt, wurde der erste Anlauf zur Verabschiedung 2024 nicht rechtzeitig abgeschlossen. Die Ampel-Bundesregierung brachte zwar einen abgestimmten Regierungsentwurf ins Parlament (Stand Oktober 2024), jedoch kam es vor Fristablauf zu Verzögerungen – unter anderem durch umfangreiche Beratungen und schließlich die vorzeitige Auflösung des Parlaments. Dadurch hat Deutschland die EU-Deadline Oktober 2024 verfehlt.

Der aktuelle Stand (September 2025) ist, dass die neue Bundesregierung den Gesetzentwurf erneut aufgreift. Laut Bundesinnenministerium bleibt die Umsetzung der NIS 2-Richtlinie "vordringlich". Im Mai und Juni 2025 wurden bereits aktualisierte Referentenentwürfe vorgelegt. Das Gesetz soll nun möglichst bis Ende 2025 verabschiedet werden, um die Versäumnisse aufzuholen. Bis dahin gelten die bisherigen Regeln - etwa das IT-Sicherheitsgesetz 2.0 und BSI-Gesetz - weiter. Die EU-Kommission beobachtet den Fortschritt genau und hat ein Vertragsverletzungsverfahren eingeleitet, um Deutschland und andere säumige Staaten zur zügigen Umsetzung anzuhalten. Unternehmen tun gut daran, sich auf die absehbaren Änderungen einzustellen, auch wenn formal die neuen Pflichten erst mit Inkrafttreten des deutschen NIS 2-Umsetzungsgesetzes gelten.

Auswirkungen auf Unternehmen

Durch NIS 2 kommen auf deutsche Unternehmen erhebliche Änderungen und Verpflichtungen zu. Der Kreis der betroffenen Unternehmen erweitert sich massiv: Bisher fielen rund 4.500 Unternehmen unter die KRITIS-Regulierung; künftig werden etwa 29.000 Unternehmen unter die deutsche Umsetzung von NIS 2 fallen. Neben kritischen Infrastrukturen (wie Energie, Gesundheit, Telekommunikation etc.) umfasst NIS 2 viele weitere Branchen – von Banken, Transport, Trinkwasser und Abwasser bis hin zu Lebensmittelversorgung, Abfallwirtschaft, digitale Dienste, Produktion und Forschung. Entscheidend ist oft die Unternehmensgröße: Mittlere und große Unternehmen in diesen Sektoren gelten künftig als "wichtige" bzw. "wesentliche" Einrichtungen und unterliegen damit den neuen Regeln.

Zusätzlich steigen die IT-Sicherheitsanforderungen für alle erfassten Unternehmen. Sie müssen ein umfassendes Risikomanagement betreiben und sowohl organisatorische als auch technische Maßnahmen ergreifen, um Cyber-Risiken zu minimieren. Dazu gehören z.B. regelmäßige Sicherheitsbewertungen, Notfallpläne, Mitarbeiterschulungen und strengere Zugangs- und Zugriffskontrollen. Ein gelebtes Informationssicherheits-Managementsystem (ISMS), idealerweise nach Standards wie ISO 27001, wird praktisch unerlässlich, um die Vorgaben zu erfüllen. Auch geschäftsleitende Personen stehen in der Pflicht: Das Management muss Cybersicherheitsmaßnahmen aktiv mittragen und überwachen. NIS 2 schreibt ausdrücklich vor, dass Führungskräfte für die Einhaltung der IT-Sicherheit sorgen müssen und bei Verstößen zur Verantwortung gezogen werden können.

Zuletzt werden die Meldepflichten bei Sicherheitsvorfällen deutlich verschärft. Unternehmen müssen erhebliche IT-Störungen oder Cyberangriffe innerhalb von 24 Stunden an die Behörden (in Deutschland an das BSI) melden. Innerhalb von 72 Stunden muss dann ein detaillierter Incident-Bericht folgen. Diese kurzen Fristen stellen besonders kleine und mittlere Unternehmen vor Herausforderungen, da nach einem Angriff oft Chaos herrscht und Ressourcen knapp sind. Experten warnen, dass eine 24-Stunden-Frist für viele Mittelständler kaum zu bewältigen ist und hier pragmatische Lösungen gefunden werden müssen, damit auch kleinere Unternehmen realistisch compliance-fähig bleiben.

Schließlich steigt der Druck durch Sanktionen. Bei Verstößen gegen die NIS 2-Vorgaben drohen empfindliche Bußgelder. Für "wesentliche Einrichtungen" (größere Unternehmen in kritischen Sektoren) können Geldstrafen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist. "Wichtige Einrichtungen" (mittelgroße Unternehmen in regulierten Sektoren) müssen mit bis zu 7 Millionen Euro oder 1,4% vom Jahresumsatz rechnen. Diese Beträge übersteigen die bisherigen Strafrahmen deutlich und sollen sicherstellen, dass Cybersecurity in den Chefetagen Priorität bekommt. Hinzu kommt als außergewöhnliche Maßnahme des geplanten deutschen NIS 2-Gesetzes: Das BSI kann in Zukunft unter bestimmten Umständen Geschäftsführern temporär die Ausübung ihrer Tätigkeit untersagen. Diese drastische Befugnis soll bei wesentlichen Einrichtungen greifen, die behördliche Sicherheitsanordnungen beharrlich ignorieren – etwa um im Ernstfall den Schutz kritischer Anlagen notfalls auch gegen renitente Verantwortliche durchsetzen zu können.

Die Rolle des BSI bei der Umsetzung von NIS 2

Bei der deutschen Umsetzung von NIS 2 spielt das BSI (Bundesamt für Sicherheit in der Informationstechnik) eine zentrale Rolle. Das BSI ist sozusagen das Herzstück der deutschen Cybersicherheit und fungiert als nationale Cyber-Sicherheitsbehörde. Bereits heute überwacht das BSI die IT-Sicherheit bei Betreibern kritischer Infrastrukturen und ist zentrale Meldestelle für IT-Sicherheitsvorfälle. Mit NIS 2 werden die Aufgaben und Befugnisse des BSI weiter ausgedehnt.

Erweiterte Aufsicht: Durch NIS 2 wird das BSI künftig für deutlich mehr Unternehmen als zuvor die Aufsichtsbehörde sein. Die Anzahl der zu regulierenden Unternehmen wächst auf ca. 29.000 an. Darunter fallen nun auch viele mittelständische Unternehmen, die bisher nicht unter die KRITIS-Definition fielen. Das BSI muss diese Firmen registrieren, ihre Compliance mit den Sicherheitsauflagen überwachen und bei Sicherheitsvorfällen als Ansprechpartner dienen. Für bestehende KRITIS-Betreiber ändern sich zwar nur Details, aber für die neuen "wesentlichen" und "wichtigen" Einrichtungen bringt NIS 2 erstmals direkte Pflichten gegenüber dem BSI mit sich. Dazu gehört u.a., dass betroffene Unternehmen sich selbstständig beim BSI melden/registrieren müssen und regelmäßige Nachweise zur IT-Sicherheit erbringen sollen. Das BSI ist NIS 2 Ansprechpartner Nummer eins und stellt auf der eigenen Webseite umfangreiche Informationen u.a. zur Betroffenheitsprüfung zur Verfügung.

Durchsetzung und Sanktionen: Das BSI erhält durch das Umsetzungsgesetz erweiterte Befugnisse, um die Einhaltung der NIS 2-Regeln durchzusetzen. So kann es bei gravierenden Mängeln Anordnungen erteilen und – wie zuvor beschrieben – in Extremfällen sogar temporär die Abberufung von Verantwortlichen veranlassen. Außerdem wird es Bußgeldverfahren einleiten und anführen können, wenn Unternehmen ihren Pflichten nicht nachkommen. Der Gesetzesentwurf sieht beispielsweise vor, dass das BSI Verstöße ahnden und empfindliche Bußgelder verhängen darf, bis hin zu den Höchstbeträgen der NIS 2-Richtlinie. Damit wird das BSI von einer reinen Beratungs- und Meldestelle zunehmend zu einer Regulierungs- und Durchsetzungsbehörde in Sachen Cybersecurity.

Beratung und Unterstützung: Trotz seiner Aufsichtsfunktion verfolgt das BSI weiterhin einen kooperativen Ansatz. Claudia Plattner, die Präsidentin des BSI, betont regelmäßig, dass Cybersicherheit nur in Zusammenarbeit von Staat, Wirtschaft und Gesellschaft gelingen kann. Entsprechend wird den Unternehmen vielfältige Unterstützung bei der Umsetzung von NIS 2 angeboten. Bereits jetzt hat es erste Hilfen bereitgestellt, obwohl das Gesetz noch nicht in Kraft ist. Dazu zählt ein Online-Tool zur NIS 2-Betroffenheitsprüfung, mit dem Firmen testen können, ob sie voraussichtlich unter die NIS 2-Regeln fallen. Auch ein Entscheidungsbaum und ausführliche FAQ zur NIS 2-Richtlinie wurden veröffentlicht. Auf der BSI-Webseite findet sich zudem die Rubrik "NIS 2 – Was tun?", die Hinweise gibt, was "wesentliche" und "wichtige" Einrichtungen bereits jetzt tun können, um ihre Cybersicherheit zu verbessern. Praktische Unterstützung wird auch in Form von Leitfäden und Standards (z.B. IT-Grundschutz) sowie Schulungen und Warnmeldungen über aktuelle Bedrohungen bereitgestellt. Für besonders kritische Fälle unterhält das BSI Mobile Incident Response Teams (MIRTs), die bei schweren Cyberangriffen auf Anfrage vor Ort helfen – insbesondere bei KRITIS-Betreibern. Insgesamt tritt das BSI also als kooperativer Partner der Wirtschaft auf, der zugleich die Einhaltung der Regeln sicherstellen soll und Unternehmen bei der Erhöhung ihres Sicherheitsniveaus begleitet.

Was Unternehmen jetzt konkret tun müssen

Auch wenn die Umsetzung von NIS 2 in Deutschland noch nicht final ist, sollten Unternehmen sich jetzt vorbereiten. Die Erfahrung zeigt, dass Cybersecurity-Maßnahmen Zeit brauchen – und wer früh handelt, vermeidet Hektik und Risiko, sobald die Vorschriften verbindlich werden. Hier sind die wichtigsten Schritte, die Unternehmen jetzt angehen sollten:

  • Betroffenheit prüfen: Zunächst gilt es festzustellen, ob das eigene Unternehmen unter die NIS 2-Richtlinie fallen wird. Unternehmen sollten prüfen, ob sie zu den relevanten Sektoren gehören (siehe oben) und die Größenkriterien erfüllen (z.B. Mitarbeiterzahl / Umsatz). Das BSI stellt hierfür das erwähnte Online-Tool zur Verfügung. Unabhängig davon lohnt ein Abgleich mit den Anhängen der NIS 2-Richtlinie, um Klarheit zu gewinnen.
  • Interne Sicherheitsstrukturen aufbauen oder verbessern: Unternehmen, die voraussichtlich betroffen sind, sollten ihre IT-Sicherheitsorganisation jetzt auf den Prüfstand stellen. Empfehlenswert ist die Einführung eines Informationssicherheits-Managementsystems (ISMS), falls noch nicht vorhanden. Ein ISMS nach gängigen Standards hilft dabei, systematisch alle Anforderungen – von Risikobewertung über Policies bis Incident Response – abzudecken. Bereits bestehende KRITIS-Betreiber haben hier oft Vorsprung; neu einsteigende Unternehmen müssen möglicherweise erstmals ein formelles Security Management etablieren.
  • Technische und organisatorische Maßnahmen umsetzen: Überprüfen Sie Ihre aktuellen Cybersecurity-Maßnahmen und identifizieren Sie Lücken zu den kommenden NIS 2-Pflichten. Dazu zählen etwa Netzwerksegmentierung, Patch- und Schwachstellenmanagement, Backup-Strategien, Zugriffs- und Identitätskontrollen sowie Detektionsmechanismen für Angriffe. Schulungen der Mitarbeiter in IT-Sicherheit (Security Awareness) sollten regelmäßig stattfinden. Viele dieser Maßnahmen entsprechen Best Practices, die ohnehin ratsam sind – NIS 2 macht sie jedoch verbindlich.
  • Notfall- und Meldeprozesse vorbereiten: Richten Sie klare Prozesse für Sicherheitsvorfälle ein. Dazu gehört ein Incident Response Plan, der festlegt, wer im Falle eines Cyberangriffs was zu tun hat. Insbesondere müssen Unternehmen in der Lage sein, einen erheblichen IT-Sicherheitsvorfall innerhalb von 24 Stunden an das BSI zu melden. Das erfordert interne Abläufe, um Vorfälle schnell zu erkennen, zu evaluieren und die nötigen Informationen bereitstellen zu können. Üben Sie Ernstfälle (z.B. durch Simulationen), damit das Team im Fall der Fälle eingespielt reagiert.
  1. Rechtzeitig informieren und beraten lassen: Die Entwicklung der gesetzlichen Lage sollte aufmerksam verfolgt werden. Halten Sie Ausschau nach der Verabschiedung des deutschen NIS 2-Gesetzes und den darin enthaltenen Feinregelungen. Gegebenenfalls lohnt es sich, Expertise von außen hinzuzuziehen – etwa spezialisierte IT-Sicherheits-, Unternehmensberater oder Juristen, die bei der Interpretation der neuen Pflichten helfen. Branchenverbände und das BSI selbst bieten Informationsveranstaltungen und Leitfäden an, die Unternehmen unbedingt nutzen sollten.

NIS 2 in Deutschland kommt.

Durch proaktives Handeln können Unternehmen die Zeit bis zum Inkrafttreten des NIS 2-Umsetzungsgesetzes nutzen, um ihre Cyber-Resilienz zu stärken.

Letztlich profitieren sie selbst davon: Höhere Sicherheit bedeutet weniger Ausfallrisiko, mehr Vertrauen bei Kunden und Partnern und die Vermeidung schwerer Zwischenfälle.

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Bitte rechnen Sie 6 plus 7.

Copyright 2025. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung