Gesetz zur Umsetzung der NIS-2-Richtlinie: Was Unternehmen jetzt wissen müssen
Am 24. Juni 2025 wurde der Referentenentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie veröffentlicht. Diese Entwicklung markiert einen bedeutenden Schritt zur Stärkung der Cybersicherheit und hat Auswirkungen auf betroffene Unternehmen.
Die NIS-2-Richtlinie der Europäischen Union steht für Network and Information Security und legt verbindliche Mindeststandards für die Cybersicherheit von Betreibern Kritischer Infrastrukturen fest. Ziel der Richtlinie ist es, die Cybersicherheitsstandards in der EU zu harmonisieren und zu verbessern. Unternehmen, die als Betreiber kritischer Infrastrukturen (KRITIS) eingestuft werden, müssen sich auf strengere Sicherheitsanforderungen einstellen. Dies umfasst sowohl technische als auch organisatorische Maßnahmen, um die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen.
Was bedeutet die Veröffentlichung des Referentenentwurfs?
Ein Referentenentwurf ist die erste schriftliche Fassung eines Gesetzentwurfs, der von einem Ministerium erstellt wird, bevor er in das parlamentarische Gesetzgebungsverfahren eingebracht wird. Aktuell erfolgt eine Beteiligung der Bundesländer, Verbände, Organisationen und Institutionen, die ihre schriftlichen Stellungnahmen dazu abgeben können. Anschließend erfolgt der Kabinettsbeschluss (Regierungsentwurf), dann die Stellungnahme im Bundesrat und schließlich die Lesungen im Bundestag. Erst danach erfolgt der Abschluss des Gesetzes. Wann dies so weit sein wird, steht noch nicht fest. Dennoch sollten sich betroffene Unternehmen zeitnah vorbereiten. Denn auch wenn noch unklar ist, wann das Gesetz verabschiedet wird, tritt es unmittelbar am Tag seiner Verkündung in Kraft. Das heißt, Unternehmen müssen die Anforderungen an diesem Tag X bereits umgesetzt haben.
Welche Änderungen enthält der Referentenentwurf?
Der aktuelle NIS-2-Referentenentwurf vom Juni 2025 bringt entscheidende Veränderungen für die Cybersicherheit in Deutschland mit sich: Laut Bundesministerium des Innern (BMI) sieht die NIS-2-Richtlinie im Wesentlichen eine Ausweitung von Cybersicherheitsmindestanforderungen und Meldepflichten auf mehr Unternehmen – in Deutschland von rund 4.500 (darunter ca. 1.800 KRITIS-Betreiber) auf rund 29.500 Unternehmen vor. Die Regulierung umfasst die Pflicht, Sicherheitsvorfälle zu melden und eine Reihe von Sicherheitsmaßnahmen zu ergreifen - einschließlich Risikomanagement, Sicherheit in der Lieferkette und angemessene Reaktion auf Sicherheitsvorfälle. Für die Wirtschaft ergeben sich aber auch Entlastungen, insbesondere für kleinere Unternehmen, da geringfügige Nebentätigkeiten nicht mehr automatisch in den Anwendungsbereich von NIS-2 fallen. Damit werden unverhältnismäßige Belastungen vermieden. Darüber hinaus erhalten das BSI und das BMI künftig deutlich mehr Befugnisse und die Zuständigkeiten zwischen den Behörden werden neu geordnet. Gleichzeitig wird die Cybersicherheit in der Bundesverwaltung gestärkt – beispielsweise durch die Aufwertung des IT-Grundschutzes und erweiterte Aufgaben der Informationssicherheitsbeauftragten. Die geplanten Änderungen zeigen: NIS-2 bleibt ein zentrales Thema für Unternehmen und Behörden und erfordert ein Umdenken hin zu einer nachhaltigen Sicherheitskultur.
Was sollten Unternehmen nun tun?
Welche Schritte und Maßnahmen sollten Unternehmen nun ergreifen? Die folgende Checkliste bietet eine gute erste Orientierung zur Umsetzung der NIS-2-Richtlinie.