NIS2-Richtlinie in Deutschland soll 2025 kommen

Jetzt geht es doch ganz schnell: Die nationale Umsetzung der NIS2 Richtlinie soll noch dieses Jahr verabschiedet werden. Ziel: Ein Verfahren durch die EU-Kommission abwenden

Die NIS2-Richtlinie ist eine Verordnung auf EU-Ebene, die ein europaweites IT-Sicherheits-Niveau garantieren soll. Für die EU-Staaten galt eine nationale Umsetzungsfrist bis Oktober 2024. Deutschland ist dieser Umsetzung bisher noch nicht nachgekommen und wurde daher von der Europäischen Union verwarnt. Mit einer schnellen Umsetzung des Gesetzes soll ein Bußgeldverfahren durch die EU-Kommission vermieden werden. Nachdem erst vor einigen Wochen ein Referentenentwurf geleakt und kurz darauf auch offiziell bekannt gegeben wurde, folgt nun eine konkrete Umsetzung der Richtlinie.

Inkrafttreten noch dieses Jahr geplant!

Am 04.07.2025 fand die entscheidende Anhörung des Referentenentwurfes des NIS-2-Umsetzungsgesetzes statt. Der Kabinettsbeschluss soll noch im Juli folgen, sodass das Gesetz nach der Befassung von Bundesrat und Bundestag bis Ende des Jahres in Kraft treten kann, teilte das Bundesministerium des Inneren (BMI) bei der Anhörung mit. Damit will die Bundesregierung eine drohende Anrufung des Europäischen Gerichtshofs abwenden.

Kritikpunkte der Teilnehmenden: Aus dem Kreise der Teilnehmenden an der Anhörung des Referentenentwurfs wurden unter anderem die fehlende Verzahnung mit dem CER-Umsetzungsgesetz und der fehlenden Grundlage für ein umfassendes Cyberlagebild bemängelt. Auch werde das Bundesministerium für Digitales und Staatsmodernisierung nicht berücksichtigt und eine Mehrfachregulierung soll vermieden werden. Größter Kritikpunkt sei § 28 Abs. 3 BSIG-E (Besonders wichtige Einrichtungen und wichtige Einrichtungen, Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme […] gewesen. Hier gibt es weiterhin zu viele Unklarheiten.

Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) hat eine Stellungnahme und Kommentierung zum Referentenentwurf des Bundesministeriums des Innern für ein Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung abgegeben.

Inwiefern es noch zu weiteren Konkretisierungen kommen wird, ist unklar. Wir berichten regelmäßig zu diesem Thema und halten Sie auf dem Laufenden.

Wie sollten sich Unternehmen jetzt verhalten?

Bei der Sichtung des Referentenentwurfs wird deutlich, dass es Änderungen beim Geltungsbereich, den Zuständigkeiten des BSI und BnetzA und Gesetzesrang gibt.

1. Lage im Blick behalten
   Behalten Sie die Informationen zur nationalen Umsetzung im Blick und informieren Sie sich fortwährend.
   
   
2. Machen Sie sich mit den Anforderungen an Ihr Unternehmen vertraut
   Machen Sie eine Ist-Analyse der technischen und organisatorischen Maßnahmen im Unternehmen. Sichten Sie bisherige Prozesse und Dokumentation. Aus der IST-Erfassung ergibt sich ein entsprechendes Bild über das Sicherheitsniveau.
   
   
3. Sichten Sie internationale Standards
   Die Risikomaßnahmen von betroffenen Einrichtungen sollen den Stand der Technik einhalten, die einschlägigen europäischen und internationalen Normen berücksichtigen und auf einem gefahrenübergreifenden Ansatz beruhen (§ 30 Abs. 2). Aus diesem Grund eignen sich internationale Standards wie die ISO 27001 oder der IT-Grundschutz besonders gut.
   
   
4. Erleichtern Sie sich die Arbeit – holen Sie sich Unterstützung
   Damit eine Umsetzung strukturiert, ressourcen- und zeitschonend gelingt, können ISMS-Tools wie die ISMS-Software EDIRA Unterstützung schaffen und einen nötigen Umsetzungsrahmen bieten. Ab Oktober 2026 stellen wir eine GAP-Analyse zwischen ISO 27001 und NIS-2 bereit. Unsere Experten setzen sich laufend mit dem Gesetzesgeschehen auseinander und stehen Ihnen bei der Projektdurchführung von Beginn an zur Seite.

Geschäftsleitungsverantwortung / Haftung (§ 38)

Spannend ist die Ausgestaltung der Geschäftsleitungsverantwortung: „Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen sind verpflichtet, die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen umzusetzen und ihre Umsetzung zu überwachen“.

Sollten Geschäftsleitungen diese Pflichten vernachlässigen, können sie – je nach Rechtsform der jeweiligen Einrichtung – gemäß den entsprechenden Regeln des Gesellschaftsrechts für Schäden haftbar gemacht werden, die sie durch ihre Handlungen verursacht haben. Diese Haftung besteht insbesondere dann, wenn die für die Einrichtung geltenden gesellschaftsrechtlichen Bestimmungen keine spezifischen Haftungsregeln vorsehen. Das bedeutet, dass durch Gesetze wie das GmbHG oder das AktG Haftungsansprüche geltend gemacht werden können, was auch zu einem Eingriff in die persönliche Haftung führen könnte.

Diese Regelung verdeutlicht die hohe Dringlichkeit und die Notwendigkeit einer effektiven Umsetzung für betroffene Unternehmen.

Allgemeine Meldestelle für Sicherheit in der Informationstechnik – Portal demnächst online

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird als zentrale Meldestelle für die Meldung von Informationen über Sicherheitsrisiken in der Informationstechnik agieren. Das Bundesamt ist dabei der nationale Koordinator zur koordinierten Offenlegung von Schwachstellen gemäß Art. 12 Absatz 1 der NIS-2-Richtlinie.

Das Bundesamt ist dazu verpflichtet, Informationen zu allen Aspekten der Informationssicherheit entgegenzunehmen. Dazu gehören Meldungen über Schwachstellen, Schadprogramme, versuchte oder tatsächliche Angriffe auf die Sicherheit in der Informationstechnik, sowie über Sicherheitsvorfälle, Cyberbedrohungen und auch Beinahevorfälle. Um die Meldungen zu erleichtern, stellt das Bundesamt verschiedene Möglichkeiten zur Meldung bereit, darunter auch anonyme Meldungen. Wer seine Angaben nicht anonymisiert weitergeben möchte, kann dies ausdrücklich verlangen – die Weitergabe seiner personenbezogenen Daten wird dann nur anonymisiert erfolgen. Ausnahmen sind in § 5 beschrieben.

Für eine entsprechende Meldung wird vom BSI eine Online-Plattform betrieben. Dieses Meldeportal soll zur IT-Sicherheitsmesse it-sa live gehen - im Zweifel auch vor Inkrafttreten des Gesetzes (§ 6).

Der Zeitplan ist ambitioniert

Der vom Ministerium vorgelegte Zeitplan zur Stärkung der Cybersicherheit ist zweifellos sehr ambitioniert und straff.  Wir teilen die Notwendigkeit, das Cybersicherheitsniveau schnell und nachhaltig zu erhöhen. Wir begrüßen daher die Bestrebungen der Bundesregierung, dieses Ziel aktiv voranzutreiben. Die Herausforderungen im Bereich der Cybersicherheit sind immens und erfordern einen entschlossenen und koordinierten Ansatz.

Gerne stehen wir Ihnen auf Ihrem Weg zur Einhaltung der NIS 2-Anforderungen zur Seite und unterstützen Sie bei der Umsetzung. Wir verstehen die Komplexität dieser Aufgabe und möchten Sie dabei optimal begleiten. Zögern Sie nicht, uns zu kontaktieren und gemeinsam mit uns Ihre NIS 2-Konformität sicherzustellen. Wir freuen uns darauf, Sie bei diesem wichtigen Schritt zu unterstützen.