Verabschiedung des NIS-2-Umsetzungsgesetzes: Was bedeutet das für Unternehmen und Behörden?

Mehr als ein Jahr, nachdem die EU-NIS-2-Richtlinie eigentlich in deutsches Recht hätte umgesetzt werden sollen, hat die Bundesregierung am 13. November 2025 den Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie (NIS-2-Umsetzungsgesetz) und zur Festlegung zentraler Grundsätze des Informationssicherheitsmanagements in der Bundesverwaltung beschlossen. Begleitend dazu wurde auch eine Beschlussempfehlung (Drucksache 21/2782, 12. November 2025) veröffentlicht, in dem die vorgesehenen Änderungen detailliert dargestellt werden.

Mit dem Gesetz setzt die Bundesregierung die europäischen Vorgaben zur Cybersicherheit auf nationaler Ebene um und weitet damit den Kreis der verpflichteten Organisationen deutlich aus.

Welche Neuerungen bringt das Gesetz?

Das Gesetz erweitert den bisher geplanten Anwendungsbereich erheblich. Viele Organisationen, die bislang nicht unter die NIS- oder KRITIS-Regelungen fielen, müssen künftig gesetzlich festgelegte Sicherheitsmaßnahmen etablieren.

• Wegfall bisheriger Schwellenwerte:
  Der Schwellenwert aus 16 BSIG entfällt komplett. Damit gelten die Vorgaben unter anderem für Telekommunikationsanbieter künftig unabhängig von ihrer Kundenzahl.
• Einführung eines einheitlichen Risikomanagements:
  Alle Bundesbehörden und deren Geschäftsbereichsbehörden müssen ein strukturiertes Risikomanagement nach 30 BSIG etablieren – inklusive Risikoanalysen, Wirksamkeitsbewertungen und klarer organisatorischer Zuständigkeiten.
• Meldepflichten für kritische Komponenten:
  Betreiber kritischer Infrastrukturen müssen künftig jede Änderung an kritischen Komponenten melden. Zudem erhält das zuständige Ministerium die Befugnis, bestimmte Komponenten zu untersagen, wenn Sicherheitsrisiken bestehen.

Viele dieser Punkte greifen Herausforderungen auf, die wir bereits in früheren Beiträgen beschrieben haben. So wurde im Artikel „Die Umsetzung von NIS 2: Herausforderungen und Lösungsansätze“ erläutert, dass in zahlreichen Organisationen bislang klare Verantwortlichkeiten und definierte Sicherheitsprozesse fehlen. Die verpflichtende Einführung eines Risikomanagements adressiert nun genau diese strukturellen Lücken.

Welche Herausforderungen entstehen für Unternehmen und Behörden?

Für viele Einrichtungen bedeutet das Gesetz eine grundlegende organisatorische Anpassung. Besonders Organisationen, die bisher nicht als KRITIS galten, müssen neue interne Strukturen schaffen.

Ein Beispiel ist das Meldewesen: In unserem früheren Beitrag „Die Bedeutung des Meldewesens im Kontext der NIS2-Richtlinie“ haben wir bereits dargestellt, dass viele Unternehmen keine effizienten Meldeprozesse besitzen. Das neue Gesetz verstärkt den Handlungsdruck, da Meldungen künftig schnell, strukturiert und nach definierten Kriterien erfolgen müssen. Auch die Frage, wer überhaupt betroffen ist, haben wir im Beitrag „NIS2-Zertifizierung in Deutschland: Welche Unternehmen müssen sich zertifizieren und bis wann?“ analysiert. Dort wurde bereits gezeigt, dass die Richtlinie nicht nur klassische kritische Infrastrukturen umfasst, sondern auch zentrale Akteure innerhalb wichtiger Lieferketten. Das NIS-2-Umsetzungsgesetz bestätigt diese breite Auslegung nahezu vollständig.

Wie sollten sich betroffene Stellen vorbereiten?

Um die neuen Vorgaben effizient umzusetzen, empfiehlt sich ein strukturiertes Vorgehen. Wichtige Schritte sind:

• Identifikation potenziell kritischer Systeme und Komponenten
• Aufbau eines überprüfbaren Risikomanagements
• Einrichtung klarer Meldeprozesse für Sicherheitsvorfälle
• Schulung der Mitarbeitenden zur Stärkung der Sicherheitskultur
• Überprüfung und Anpassung von Verträgen mit Dienstleistern

Mehr Sicherheit durch klarere Anforderungen

Viele dieser Maßnahmen knüpfen an die Empfehlungen aus unseren bisherigen NIS-2-Beiträgen an. Schon vor dem Gesetzgebungsverfahren zeichnete sich ab, dass Organisationen ohne definierte Prozesse und Verantwortlichkeiten mittelfristig nicht handlungsfähig sein würden.

Das NIS-2-Umsetzungsgesetz schafft damit verbindliche und deutlich umfangreichere Sicherheitsanforderungen für Unternehmen und Behörden. Es stärkt das Cybersicherheitsniveau in Deutschland, fordert aber zugleich erhebliche strukturelle und organisatorische Anpassungen.

Die Erfahrung zeigt: Wer frühzeitig plant und klare Prozesse etabliert, wird langfristig profitieren.

Die WS Datenschutz GmbH unterstützt Organisationen dabei, die gesetzlichen Anforderungen fundiert und praxistauglich umzusetzen und nachhaltig ein hohes Sicherheitsniveau zu erreichen.