Hintergrund

Die Europäische Union hatte sich bereits in der Vergangenheit mit dem Thema Cybersicherheit befasst. Mit der fortschreitenden Digitalisierung, der Zunahme hybrider Bedrohungen und neuen technologischen Abhängigkeiten wurde jedoch deutlich: Der Regelungsrahmen war zu eng gefasst, die Umsetzung uneinheitlich, der Schutz lückenhaft. Für Unternehmen zählen oft zum Beispiel Ransomware-Angriffe, Ausnutzung von Schwachstellen, falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen.

Die Reaktion der EU darauf war die NIS-2-Richtlinie (EU) 2022/2555, die am 16. Januar 2023 in Kraft trat. Sie soll die Cybersicherheitsarchitektur der EU-Mitgliedstaaten für zentrale Einrichtungen und Dienste einheitlicher, durchsetzungsfähiger und umfassender gestalten und damit die Funktions- und Handlungsfähigkeit der EU-Mitgliedsstaaten auch bei Cyberangriffen sicherstellen.

Deutschland stand wie alle Mitgliedsstaaten in der Pflicht, die Vorgaben bis zum 17. Oktober 2024 in nationales Recht zu überführen. Dies ist bisher nicht geschehen. Als Hauptgründe gelten insbesondere die Auflösung der Regierungskoalition sowie die vorgezogenen Neuwahlen zum Deutschen Bundestag. Dennoch ist es nicht das erste Mal, dass Deutschland Rückstand bei der Umsetzung von EU-Recht hat – und gleichzeitig ist Deutschland nicht der einzige Mitgliedsstaat, der Probleme bei der Umsetzung der NIS-2-Richtlinie in nationales Recht zeigt. Die EU-Kommission hat bereits Vertragsverletzungsverfahren gegen Deutschland und weitere 22 Mitgliedstaaten eingeleitet (Pressemitteilung der Europäischen Kommission vom 28. November 2024), weil diese die NIS-2-Richtlinie zur Cybersicherheit nicht rechtzeitig vollständig umgesetzt haben. Im Verlauf wurden durch die Kommission immer noch 19 mit Gründen versehene Stellungnahmen wegen der fehlenden Umsetzung an die Mitgliedsstaaten gerichtet (Stand Pressemitteilung vom 7. Mai 2025). Diese müssen nun reagieren und die erforderlichen Maßnahmen ergreifen, andernfalls kann die Kommission beschließen, den Gerichtshof der Europäischen Union anzurufen.

Doch die aktuelle Bundesregierung hat die Arbeit am Umsetzungsgesetz wieder aufgenommen. Hierzu wurde im Juni 2025 ein neuer Referentenentwurf eines NIS-2-Umsetzungsgesetzes bekannt. Zudem wurde im Juli 2025 der entsprechende Regierungsentwurf veröffentlicht (Stand: 25.07.2025). Dieser gibt nun einen aktuellen Einblick in die geplanten künftigen Pflichten für Unternehmen, die sich insbesondere im dann neugefassten BSI-Gesetz wiederfinden werden. Die Wirkrichtung bleibt eindeutig und gleichlautend: Unternehmen, die eine wesentliche Rolle für das wirtschaftliche und gesellschaftliche Gefüge einnehmen, sollen umfassendere Anforderungen an die Sicherheit ihrer IT-Infrastruktur erfüllen. Dabei geht es nicht nur um klassische, bekannte Kritikalitätskategorien – sondern auch um Größe, Bedeutung und Abhängigkeit von digitalen Prozessen.

Was beinhalten die NIS-2-Richtlinie und das Umsetzungsgesetz

1. Anwendungsbereich

Im Zentrum stehen sogenannte „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“. Beide Gruppen unterliegen regulatorischen Pflichten, insbesondere nach dem neuen BSI-Gesetz-Entwurf (BSIG-E), der hier in den Fokus genommen werden soll.

Erfasst sind unter anderem Unternehmen aus den Bereichen Energie, Transport und Verkehr, Gesundheit, Trinkwasserversorgung, Abwasser, Digitale Infrastruktur, Abfallbewirtschaftung sowie ausgewählte Produktionsbereiche, darunter Produktion, Herstellung und Handel mit Medizinprodukten, Lebensmitteln, Chemikalien, Kraftwagen(-teilen) und Maschinen sowie Forschungseinrichtungen.

Die Einordnung hängt dabei sowohl vom Sektor als auch teils von der Unternehmensgröße ab. Grundsätzlich gilt die NIS-2-Richtlinie und damit auch das Umsetzungsgesetz für öffentliche oder private Einrichtungen der in der Anlage 1 und Anlage 2 des BSIG-Entwurfs (BSIG-E) genannten Sektoren, die mindestens als mittlere Unternehmen eingestuft werden oder die Schwellenwerte für mittlere Unternehmen überschreiten und damit als groß eingestuft werden und ihre Dienste in der Union erbringen. Daneben gibt es Sonderfälle mit besonderer Systemrelevanz, die unabhängig von ihrer Größe in den Anwendungsbereich fallen können oder auch Unternehmen, die nur mittelbar durch Lieferkettenrelevanz betroffen sein können.

Nach BSIG-E „besonders wichtige Einrichtungen“:

Als besonders wichtige Einrichtung gelten

  • Betreiber kritischer Anlagen,
  • qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter,
  • Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die
    • mindestens 50 Mitarbeiter beschäftigen oder
    • einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen,
  • sonstige natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten, die einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen sind und die
    • mindestens 250 Mitarbeiter beschäftigen oder
    • einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.

Nach BSIG-E „wichtige Einrichtungen“:

Als wichtige Einrichtungen gelten

  • Vertrauensdiensteanbieter,
  • Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die
    • weniger als 50 Mitarbeiter beschäftigen und
    • einen Jahresumsatz oder eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen,
  • natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen sind und die
    • mindestens 50 Mitarbeiter beschäftigen oder
    • einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen.

WICHTIG (und insbesondere neu durch den aktuellen Entwurf):

Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind.

2. Anforderungen an Sicherheitsmaßnahmen

Der aktuelle BSIG-Entwurf plant nach wie vor Verpflichtungen für Unternehmen (besonders wichtige Einrichtungen und wichtige Einrichtungen) zur Einführung und regelmäßigen Überprüfung technischer und organisatorischer Maßnahmen zum Risikomanagement. Sie sollen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen, ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.

Bei der Bewertung der Verhältnismäßigkeit der Maßnahmen sind das Ausmaß der Risikoexposition, die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. Die Einhaltung der Verpflichtung ist zu dokumentieren.

Zu den konkreten, zentralen minimalen Standardmaßnahmen gehören laut Entwurf unter Beachtung des Stands der Technik:

  • Konzepte in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik,
  • Bewältigung von Sicherheitsvorfällen,
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern,
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen, Komponenten und Prozessen, einschließlich Management und Offenlegung von Schwachstellen,
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
  • grundlegende Schulungen und Sensibilisierungsmaßnahmen im Bereich der Sicherheit in der Informationstechnik,
  • Konzepte und Prozesse für den Einsatz von kryptographischen Verfahren,
  • Erstellung von Konzepten für die Sicherheit des Personals, die Zugriffskontrolle und für die Verwaltung von IKT-Systemen, -Produkten und -Prozessen,
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

Zu den weiteren Pflichten zählen unter anderem:

  • Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen (§ 31)
  • Meldepflichten (§ 32; gilt für besonders wichtige und wichtige Einrichtungen sowie speziell nochmal für kritische Anlagen)
  • Registrierungspflicht (§ 33; gilt für besonders wichtige und wichtige Einrichtungen, kritische Anlagen und Domain-Name-Registry-Diensteanbieter)
  • Besondere Registrierungspflicht für bestimmte Einrichtungsarten (§ 34; gilt u.a. für DNS-Diensteanbieter, Top Level Domain Name Registries, Domain-Name-Registry-Dienstleister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten und viele weitere)
  • Unterrichtungspflichten – u.U. ggü. Nutzern/Empfängern im Fall eines erheblichen Sicherheitsvorfalls (§ 35)
  • Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen (§ 38)
  • Nachweispflichten für Betreiber kritischer Anlagen (§ 39)
  • Untersagung des Einsatzes kritischer Komponenten (§ 41; Anzeigepflicht mit möglicher Untersagung, gilt für kritische Anlagen)
  • Datenbanken der Domain-Name-Registrierungsdaten: § 49 Pflicht zum Führen einer Datenbank, § 50 Verpflichtung zur Zugangsgewährung, § 51 Kooperationspflicht.

3. Aktuelle Änderungen durch den neuen Entwurf im Vergleich zum Stand 2024

Neben den bereits genannten Anpassungen wurden durch den aktuellen Entwurf insbesondere folgende Änderungen vorgenommen:

§ 28 Besonders wichtige Einrichtungen und wichtige Einrichtungen

Die Ausnahmeregelung vom Anwendungsbereich wurde überarbeitet (Absatz 5).

§ 31 Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen

Es wurde eine Spezifizierung des Einsatzgebietes für Systeme zur Angriffserkennung vorgenommen. Betreiber kritischer Anlagen sind verpflichtet, für die informationstechnischen Systeme, Komponenten und Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Anlagen maßgeblich sind, Systeme zur Angriffserkennung einzusetzen.

§ 39 Nachweispflichten für Betreiber kritischer Anlagen

Hier wurde eine Präzisierung im ersten Satz vorgenommen, indem betont wird, dass Betreiber kritischer Anlagen die Umsetzung der Maßnahmen IN BEZUG AUF KRITISCHE ANLAGEN nach § 30 Absatz 1 Satz 1 in Verbindung mit § 31 Absatz 1 und 2 Satz 1 zu einem vom Bundesamt festgelegten Zeitpunkt, frühestens drei Jahre nachdem sie erstmals oder spätestens drei Jahre nachdem sie erneut als ein Betreiber einer kritischen Anlage gelten, und anschließend alle drei Jahre dem Bundesamt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen haben.

Anlage 1 – Sektoren besonders wichtiger und wichtiger Einrichtungen:

Änderung im Punkt „Wasser“ – 5.2.1: Hier lautet die Einrichtungsart nun „Unternehmen, die Abwasser nach § 54 Absatz 1 WHG sammeln, entsorgen oder behandeln, jedoch unter Ausschluss der Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist.“ In der alten Fassung wurde hier stattdessen auf § 2 Absatz 1 AbwAG verwiesen.

Anlage 2 – Sektoren wichtiger Einrichtungen:

Änderung im Punkt „Produktion, Herstellung und Handel mit chemischen Stoffen“ – 3.1.1: Hier lautet die Einrichtungsart im Kern nun „Hersteller und Importeure nach Artikel 3 Nummern 9 und 11 der Verordnung (EG) Nr. 1907/2006 (REACH) von chemischen Stoffen und Gemischen im Sinne des Artikels 3 Nummer 1 und 2 der genannten Verordnung, sofern diese in Kategorie 20 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) fallen UND DER REGISTRIERUNGSPFLICHT NACH ARTIKEL 6 DER GENANNTEN RICHTLINIE UNTERLIEGEN“. Dies stellt eine neue Ergänzung dar.

Verwiesen sei zudem in aller Kürze auch auf das Energierecht im Rahmen des neuen § 5c, der im Energiewirtschaftsgesetz eingefügt werden soll. Diese sehr umfangreiche Vorschrift regelte bereits im alten Entwurf die IT-Sicherheit im Anlagen- und Netzbetrieb. Dort wurden bisher Netzbetreiber und Energieanlagenbetreiber zu Maßnahmen der IT-Sicherheit verpflichtet. Dies wurde nun im neuen Entwurf ergänzt, um auch Betreiber digitaler Energiedienste zu verpflichten. Zudem wird nun auch hier die Geschäftsleitung digitaler Energiedienste ganz konkret verpflichtet, die Sicherheitsmaßnahmen umzusetzen und zu überwachen sowie an Schulungen teilzunehmen, was damit nun für alle drei Betreiberkategorien gilt. Dafür wurde hier ebenfalls eine Haftungsnorm der Geschäftsführung integriert.

Ausblick

Das Gesetzgebungsverfahren in Deutschland ist noch nicht abgeschlossen. Am 30. Juli 2025 hat das Bundeskabinett zuletzt den Gesetzentwurf zur Stärkung der Cybersicherheit beschlossen. Damit geht das Gesetz in die nächste Phase über und es werden nun Stellungnahmen im Bundesrat, Lesungen im Bundestag mit möglichen Änderungsanträgen und Schlussabstimmung folgen, bis es dann final verkündet wird. Wann genau dies der Fall sein wird, kann zum aktuellen Zeitpunkt noch nicht bestimmt werden.

Mit dem NIS-2-Umsetzungsgesetz kommt auf viele Unternehmen ein durchaus aufwändiger Anpassungsprozess zu. Verstöße können je nach Art und Schwere mit Bußgeldern bis zu mehreren Millionen Euro oder mit einer Geldbuße bis zu 2 Prozent des Gesamtumsatzes geahndet werden. Die Einhaltung wird nicht mehr nur als technische Frage verstanden, sondern als ein zentrales Element verantwortungsvoller Unternehmensführung. Daher werden auch die Geschäftsleitungen betroffener Einrichtungen als Verantwortungs- und Entscheidungsträger ausdrücklich zur Teilnahme an Schulungen im Bereich der Cyber- und Informationssicherheit verpflichtet. Zudem haften sie für die ordnungsgemäße Umsetzung der gesetzlichen Vorgaben.

Unternehmen sollten die Entwicklungen im Gesetzgebungsprozess aufmerksam verfolgen und sich mit den möglichen Anforderungen bereits jetzt vertraut machen. Für viele Unternehmen stellte Cybersicherheit bislang kein prioritäres Thema dar. So haben viele Unternehmen bisher kein IT-Sicherheits- oder Informationssicherheitsmanagementsystem (ISMS) implementiert. Es existieren bereits diverseste Standards, vom IT-Grundschutz des BSI und der ISO 27001, über TISAX („Trusted Information Security Assessment Exchange“), spezialisiert für die Automobilindustrie, bis hin zum NIST-Framework aus den USA (nicht zu verwechseln mit „NIS“, der Name der EU-Cybersicherheitsrichtlinie). Je nach Branche und Risikoprofil können darüber hinaus weitere Frameworks wie COBIT („Control Objectives for Information and Related Technology“) oder ISA/IEC 62443 (industrielle Automatisierungs- und Steuerungssysteme) unterstützen.

Die NIS-2-Richtlinie markiert einen Wendepunkt: Cybersicherheit wird zunehmend als gesamtgesellschaftliche Aufgabe verstanden – und auch Wirtschaftsteilnehmer stehen im Zentrum dieser Verantwortung.

📅 Fristen und Handlungsbedarf

🗓️ Datum✅ Was muss passieren?
17.10.2024Deadline zur Umsetzung in nationales Recht – wurde verpasst!
Juni–Juli 2025Neuer Gesetzesentwurf vorgestellt
Spätestens Anfang 2026Verbindliches Inkrafttreten geplant
Ab dannUnternehmen müssen Risikomanagement, Meldepflichten & Sicherheitsmaßnahmen umsetzen

🛠️ Was genau muss getan werden?

Alle betroffenen Unternehmen müssen u.a.:

  • IT-Risikoanalysen durchführen
  • Cybervorfälle melden
  • Backup- und Notfallpläne haben
  • Lieferketten absichern
  • Mitarbeitende schulen
  • Multi-Faktor-Authentifizierung einführen
  • IT-Systeme auf dem neuesten Stand halten

‼️ Geschäftsleitungen haften persönlich, wenn nichts passiert – inklusive Pflicht zur Teilnahme an Schulungen.

⚖️ Und wenn man nichts macht?

Bußgelder bis zu mehreren Millionen Euro
Oder 2 % des Jahresumsatzes

Doch es geht nicht nur um Gesetze – die Bedrohung ist längst real:
Laut Bitkom waren 81 % der deutschen Unternehmen in den letzten zwölf Monaten Ziel von Cyberangriffen, Datendiebstahl, Industriespionage oder Sabotage. Der Schaden? Rund 267 Milliarden Euro – ein neuer Rekord.

💬 Claudia Plattner vom BSI warnt: „Viele wissen noch gar nicht, dass sie betroffen sind.“ Also: Zeit, den IT-Sicherheitscheck zu machen!

👩‍💼 Was Unternehmen jetzt tun sollten:

  1. 🔍 Prüfen, ob sie betroffen sind (NIS-2-Check vom BSI online)
  2. 📚 IT-Sicherheitskonzept entwickeln oder nachrüsten
  3. 🧑‍🏫 Mitarbeitende schulen
  4. 🧾 Dokumentation & Prozesse vorbereiten
  5. 👀 Gesetzeslage beobachten – finaler Beschluss noch offen

📢 Fazit:

Cybersicherheit ist keine Kür mehr, sondern Pflicht.
Betroffen sind nicht nur Konzerne, sondern auch viele Mittelständler. Wer jetzt nicht handelt, läuft ins offene Messer. Das Motto lautet also: Nicht Panik, sondern Planung.