Aktueller Stand zur NIS2-Umsetzung in Deutschland
Am 13. November 2025 hat der Deutsche Bundestag das Gesetz zur Umsetzung der NIS-2-Richtlinie verabschiedet.
Nur wenige Tage später, am 21. November 2025, wurde es in der 1059. Sitzung auch vom Bundesrat gebilligt. Damit sind alle parlamentarischen Schritte abgeschlossen und der Weg für die endgültige Verabschiedung frei. Das Gesetz wird künftig rund 30.000 Unternehmen in Deutschland direkt betreffen (und weitaus mehr Unternehmen sind indirekt betroffen).
Wann tritt das Gesetz in Kraft?
Nach der Billigung durch den Bundesrat folgt noch die Ausfertigung durch den Bundespräsident sowie die Verkündung im Bundesgesetzblatt. Wenn dieser Prozess zügig verläuft, könnte dies bereits im Dezember der Fall sein.
Was müssen betroffene Unternehmen tun?
Sobald das Gesetz in Kraft ist, gelten kurze Umsetzungsfristen. Wesentliche Punkte sind:
- Meldepflichtige Unternehmen müssen sich innerhalb von drei Monaten beim BSI oder den zuständigen Behörden der Bundesländer registrieren.
- Erhebliche IT-Sicherheitsvorfälle müssen zeitnah gemeldet werden. Unternehmen sollten entsprechende Abläufe in ihren Notfall- und Kommunikationsplänen verbindlich verankern.
- Risikomanagement (Informationssicherheitsmanagement) umsetzen: Dazu gehören eine umfassende Risikoanalyse, technische und organisatorische Schutzmaßnahmen sowie klare Verantwortlichkeiten im Unternehmen.
Nachfolgendes ist im Detail zu tun, um die Anforderungen zu erfüllen:
- Betroffenheit prüfen (Analyse Sektoren, Schwellwerte, Lieferketten-Abhängigkeit)
- Registrierungspflicht für direkt betroffene Unternehmen
- Verantwortung übernehmen, Verantwortlichkeiten festlegen (Cybersecurity ist Chefsache!)
- Ist-Stand der IT-Sicherheit im Unternehmen feststellen1 (Maßnahmen ableiten und einplanen)
- IT-Risikomanagement etablieren (Cyberrisiken beherrschen, Auswirkungen von Sicherheitsvorfällen vermeiden)
- Geschäftskontinuität sicherstellen (Notfallverfahren üben, resiliente Aufbauorganisation gewährleisten)
- Meldepflichten berücksichtigen (Angriffe erkennen und melden, Meldeverfahren für Sicherheitsvorfälle einrichten)
- weitere Regelungen beachten (Schulung, MFA, Verschlüsselung, Backup-/Wiederherstellungsmanagement etc.)
Wir unterstützen sie bei der Einführung von Informationssicherheitsmaßnahmen.
Von der ersten Analyse1 bis hin zur Unterstützung der Maßnahmenumsetzung2 sowie der Einführung von Security-Lösungen3 bieten wir Ihnen einen umfassenden Beratungsservice, um sicherzustellen, dass Ihr Unternehmen den neuen Anforderungen gerecht wird. Als Experten für Informationssicherheit können wir Ihr Unternehmen bei der Umsetzung von NIS-2 an die Hand nehmen.
Rufen Sie uns an oder senden Sie direkt eine Mail an Matthias Kraft.
Quellen:
- https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Pflichten/nis-2-pflichten_node.html
- https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251113_NIS-2-Umsetzungsgesetz.html
- https://www.datev-magazin.de/nachrichten-steuern-recht/recht/mehr-digitale-sicherheit-umsetzung-der-nis-2-richtlinie-im-bundesrat-beschlossen-143053