Gesetz zur Umsetzung der NIS-2-Richtlinie: Was Unternehmen jetzt wissen müssen

Am 24. Juni 2025 wurde der Referentenentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie veröffentlicht. Diese Entwicklung markiert einen bedeutenden Schritt zur Stärkung der Cybersicherheit und hat Auswirkungen auf betroffene Unternehmen.

Die NIS-2-Richtlinie der Europäischen Union steht für Network and Information Security und legt verbindliche Mindeststandards für die Cybersicherheit von Betreibern Kritischer Infrastrukturen fest. Ziel der Richtlinie ist es, die Cybersicherheitsstandards in der EU zu harmonisieren und zu verbessern. Unternehmen, die als Betreiber kritischer Infrastrukturen (KRITIS) eingestuft werden, müssen sich auf strengere Sicherheitsanforderungen einstellen. Dies umfasst sowohl technische als auch organisatorische Maßnahmen, um die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen.

Was bedeutet die Veröffentlichung des Referentenentwurfs?  

Ein Referentenentwurf ist die erste schriftliche Fassung eines Gesetzentwurfs, der von einem Ministerium erstellt wird, bevor er in das parlamentarische Gesetzgebungsverfahren eingebracht wird. Aktuell erfolgt eine Beteiligung der Bundesländer, Verbände, Organisationen und Institutionen, die ihre schriftlichen Stellungnahmen dazu abgeben können. Anschließend erfolgt der Kabinettsbeschluss (Regierungs­entwurf), dann die Stellungnahme im Bundesrat und schließlich die Lesungen im Bundestag. Erst danach erfolgt der Abschluss des Gesetzes. Wann dies so weit sein wird, steht noch nicht fest. Dennoch sollten sich betroffene Unternehmen zeitnah vorbereiten. Denn auch wenn noch unklar ist, wann das Gesetz verabschiedet wird, tritt es unmittelbar am Tag seiner Verkündung in Kraft. Das heißt, Unternehmen müssen die Anforderungen an diesem Tag X bereits umgesetzt haben.

Welche Änderungen enthält der Referentenentwurf?

Der aktuelle NIS-2-Referentenentwurf vom Juni 2025 bringt entscheidende Veränderungen für die Cybersicherheit in Deutschland mit sich: Laut Bundesministerium des Innern (BMI) sieht die NIS-2-Richtlinie im Wesentlichen eine Ausweitung von Cybersicherheitsmindestanforderungen und Meldepflichten auf mehr Unternehmen – in Deutschland von rund 4.500 (darunter ca. 1.800 KRITIS-Betreiber) auf rund 29.500 Unternehmen vor. Die Regulierung umfasst die Pflicht, Sicherheitsvorfälle zu melden und eine Reihe von Sicherheitsmaßnahmen zu ergreifen - einschließlich Risikomanagement, Sicherheit in der Lieferkette und angemessene Reaktion auf Sicherheitsvorfälle. Für die Wirtschaft ergeben sich aber auch Entlastungen, insbesondere für kleinere Unternehmen, da geringfügige Nebentätigkeiten nicht mehr automatisch in den Anwendungsbereich von NIS-2 fallen. Damit werden unverhältnismäßige Belastungen vermieden. Darüber hinaus erhalten das BSI und das BMI künftig deutlich mehr Befugnisse und die Zuständigkeiten zwischen den Behörden werden neu geordnet. Gleichzeitig wird die Cybersicherheit in der Bundesverwaltung gestärkt – beispielsweise durch die Aufwertung des IT-Grundschutzes und erweiterte Aufgaben der Informationssicherheitsbeauftragten. Die geplanten Änderungen zeigen: NIS-2 bleibt ein zentrales Thema für Unternehmen und Behörden und erfordert ein Umdenken hin zu einer nachhaltigen Sicherheitskultur.

Was sollten Unternehmen nun tun?

Welche Schritte und Maßnahmen sollten Unternehmen nun ergreifen? Die folgende Checkliste bietet eine gute erste Orientierung zur Umsetzung der NIS-2-Richtlinie.

 

Checkliste zur Umsetzung der NIS-2-Richtlinie

Prüfen Sie mit dem BSI-Tool, ob Ihr Unternehmen unter die NIS-2-Richtlinie fällt.
Benennen Sie einen Informationssicherheitsbeauftragten (CISO) und sensibilisieren Sie die Geschäftsleitung für ihre persönliche Haftung.
Führen Sie eine Bestandsaufnahme Ihrer IT-Systeme und Prozesse durch und identifizieren Sie kritische Systeme und Schwachstellen. Implementieren Sie technische Maßnahmen wie Firewalls, Intrusion Detection/Prevention Systeme und führen regelmäßige Sicherheitsupdates durch.
Entwickeln und testen Sie Notfall- und Wiederherstellungspläne für Cyberangriffe. Stellen Sie sicher, dass Meldeprozesse für Sicherheitsvorfälle existieren (Meldepflicht innerhalb von 24 Stunden nach NIS-2).
Schulen Sie regelmäßig alle Mitarbeiter in Cybersecurity Awareness (Phishing, Social Engineering etc.).
Implementieren Sie ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001. Das kann als Basis dienen, um die Anforderungen von NIS-2 zu erfüllen und auditierbar zu sein.
Lassen Sie Ihr ISMS durch eine akkreditierte Stelle (z. B. DNV) zertifizieren, um Compliance nachzuweisen.

ISO/IEC 27001 als Grundlage zur Erfüllung der NIS-2-Anforderungen

Managementsysteme wie das Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 können Unternehmen dabei helfen, die Anforderungen der NIS-2-Richtlinie zu erfüllen. ISO/IEC 27001 bietet einen strukturierten Ansatz zur Implementierung und Aufrechterhaltung eines ISMS. Dies umfasst:

  • Risikomanagement: Identifikation und Bewertung von Risiken sowie Implementierung geeigneter Maßnahmen zur Risikominderung.
  • Fortlaufende Verbesserung: Regelmäßige Überprüfung und Verbesserung der Sicherheitsmaßnahmen.
  • Dokumentation und Nachweisführung: ISO/IEC 27001 fordert eine umfassende Dokumentation, die als Nachweis für die Einhaltung der NIS-2-Richtlinie dienen kann.

Durch die Implementierung eines ISMS nach ISO/IEC 27001 können Unternehmen nicht nur die gesetzlichen Anforderungen erfüllen, sondern auch ihre allgemeine Sicherheitslage verbessern.

„Zusätzlich hat ein ISMS nach ISO/IEC 27001 den Vorteil, dass es von akkreditierten Zertifizierungsgesellschafen wie DNV zertifizierbar ist. Das bedeutet, dass nach einer unabhängigen stichprobenartigen Überprüfung des Systems bei Erfüllung der Anforderungen ein weltweit anerkanntes DNV-Zertifikat ausgestellt wird,“ sagt Michael Bichel, Leitender Auditor für Informationssicherheit bei DNV.  „Und dies stärkt das Vertrauen bei Kunden, Partnern und Behörden.“

Sofort handeln!

Die NIS-2-Richtlinie wird kommen – und wer jetzt noch abwartet, riskiert Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Zusätzlich wird die Sicherheit und Reputation des eigenen Unternehmens gefährdet. Für Geschäftsführer ist besonders relevant, dass sie die Verantwortung für die Cybersicherheit in ihrem Unternehmen tragen. Sie sind verpflichtet, aktiv geeignete Sicherheitsmaßnahmen umzusetzen. Andernfalls können sie im Falle eines Cyberangriffs persönlich haftbar gemacht werden.

Zwar lässt das deutsche Umsetzungsgesetz noch auf sich warten, doch die EU-Vorgaben gelten bereits. „Für rund 30.000 Unternehmen in Deutschland heißt das: Sofort handeln, Compliance-Strategien anpassen und Cybersicherheitsmaßnahmen auf das nächste Level heben“, empfiehlt Bichel.  „Gerade die wachsende Bedrohungslage und die drohende persönliche Haftung für Geschäftsführer machen deutlich: Informationssicherheit ist keine Option, sondern Pflicht! Wer NIS-2 als Chance begreift, stärkt nicht nur die Resilienz, sondern verschafft sich auch einen Wettbewerbsvorteil im digitalen Zeitalter.“

Weitere Informationen

ISO/IEC 27001

ISO/IEC 27001

Schützen Sie Ihre Daten mit einem Managementsystem für Informationssicherheit