Umsetzungsgesetz der NIS-2-Richtlinie beschlossen

Die Umsetzung der europäischen NIS-2-Richtlinie in deutsches Recht – das NIS-2-Umsetzungsgesetz - passiert Bundestag und Bundesrat und tritt damit zeitnah in Kraft. Ziel ist es, die digitale Sicherheit zu erhöhen und Unternehmen sowie öffentliche Einrichtungen besser vor Cyberangriffen zu schützen.

Das NIS-2-Umsetzunggesetz wurde am 13. November 2025 im Bundestag verabschiedet und am 21. November 2025 vom Bundesrat genehmigt. Eine Veröffentlichung im Bundesgesetzblatt und Inkrafttreten des Gesetzes wird voraussichtlich Ende 2025/Anfang 2026 erwartet.

„Damit ist ein weiterer bedeutender Schritt zur Stärkung der Cybersicherheit in Deutschland erreicht,“ sagt Michael Bichel, Leitender Auditor für Informationssicherheit bei DNV. „Die NIS-2-Richtlinie war auf europäischer Ebene längst in Kraft. Mit der Umsetzung in deutsches Recht steigt der Druck auf Unternehmen nun noch einmal deutlich, ihre Cyber-Sicherheitsmaßnahmen zu überprüfen und anzupassen, " so Bichel. „Es ist nun höchste Zeit für betroffene Unternehmen, entsprechende Maßnahmen zu ergreifen. Durch die lange Verzögerung des Gesetzes in Deutschland, könnte es keine Frist zur Umsetzung geben. Das hieße mit Inkrafttreten des Gesetzes müssten Unternehmen bereits die Anforderungen direkt erfüllen.“

Die NIS-2-Richtlinie betrifft mehr Branchen als bisher und bringt strengere Anforderungen an IT-Sicherheit sowie Meldepflichten bei Sicherheitsvorfällen mit sich. Verstöße können künftig mit empfindlichen Sanktionen geahndet werden.

Was bedeutet das für Unternehmen?

Unternehmen, die als Betreiber kritischer oder wichtiger Einrichtungen gelten, müssen ihre Cyber-Resilienz deutlich stärken. Dazu gehören verbindliche Sicherheitsmaßnahmen, regelmäßige Risikoanalysen und die Einhaltung klar definierter Standards.

Änderungen am Gesetzesentwurf

Der Deutsche Bundestag hat in seiner zweiten und dritten Lesung noch Änderungen am Gesetzentwurf der Bundesregierung beschlossen. Nachstehend die wichtigsten Änderungen am Gesetzentwurf:

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wird ermöglicht, gegenüber bisher von der Regelung nicht erfassten Anbietern von öffentlich zugänglichen Telekommunikationsdiensten mit 100.000 oder weniger Kunden Anordnungen zur Abwehr erheblicher Gefahren auszusprechen. Ohne diese Erweiterung würden eine Vielzahl von Nutzern, denen über kleinere (etwa regionale) Anbieter Telekommunikationsdienstleistungen zur Verfügung gestellt werden, nicht entsprechend geschützt werden.

Des Weiteren ist unter anderem vorgesehen, dass das Bundesinnenministerium gegenüber dem Betreiber kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers im Benehmen mit den für den jeweiligen Sektor genannten Bundesministerien sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen kann, wenn der Einsatz die öffentlicher Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt.

ISO/IEC 27001 als Grundlage

Managementsysteme wie das Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 können Unternehmen dabei helfen, die Anforderungen der NIS-2-Richtlinie zu erfüllen. Die internationale Norm ISO/IEC 27001 unterstützt Unternehmen dabei, ein Informationssicherheits-Managementsystem (ISMS) aufzubauen, Risiken systematisch zu bewerten und geeignete Schutzmaßnahmen umzusetzen.

DNV ist als unabhängige Zertifizierungsstelle für ISO/IEC 27001 akkreditiert und kann Sie auf dem Weg dorthin mit entsprechenden Schulungen, Gap-Analysen und Zertifizierungen unterstützen. Erfahren Sie mehr darüber, wie Sie auf dem Weg zur Zertifizierung vorankommen.

Checkliste zur Umsetzung der NIS-2-Richtlinie

In unserem DNV-Fachartikel vom 4. August 2025 zur NIS-2-Richtlinie finden Sie detaillierte Hintergründe. Zusätzlich stellen wir Ihnen eine Checkliste zur Verfügung, die Ihnen hilft, die wichtigsten Schritte zur Umsetzung der NIS-2-Richtlinie zu identifizieren.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Starterpaket angekündigt, das betroffenen Unternehmen klare Informationen an die Hand geben soll, um die Verpflichtungen der NIS-2-Richtlinie erfolgreich umzusetzen. Mit Inkrafttreten soll es zudem virtuelle Kick-off-Seminare geben. Bereits jetzt sind hilfreiche NIS2 Infopakete unter dem #nis2know auf der Webseite des BSI verfügbar.

Quellen: 

Meldung der Bundesregierung: Umsetzung der NIS-2-Richtlinie beschlossen

Pressemitteilung vom BSI: NIS-2-Umsetzung: Bundestag beschließt Cybersicherheitsgesetz