NIS-2-Umsetzungsgesetz: Neue Standards für Cybersicherheit in Deutschland

Posted on von Sophia Schön
Was bedeutet NIS-2 Richtlinie?

Das NIS-2-Umsetzungsgesetz bringt weitreichende Veränderungen für Unternehmen, Behörden und Betreiber digitaler Infrastrukturen in Deutschland. Am 13. November 2025 verabschiedete der Bundestag das Gesetz, das die Cybersicherheit grundlegend neu definiert und die Vorgaben der EU-Richtlinie 2022/2555 in nationales Recht überführt.​

Was steckt hinter NIS-2?

NIS-2 steht für „Network and Information Security“ und ist die zweite Version der EU-weiten Richtlinie zur Verbesserung der Cybersicherheit in der europäischen Union. Damit wird der Schutz digitaler Dienste, kritischer Anlagen und einer Vielzahl weiterer Unternehmen europaweit vereinheitlicht. Der Anwendungsbereich wurde massiv ausgeweitet: Künftig müssen rund 29.000 Unternehmen – deutlich mehr als bisher – umfangreiche Sicherheitsmaßnahmen und Meldepflichten erfüllen.​

Was ändert sich konkret?

  • Strengere Vorgaben für das Risikomanagement und die Absicherung digitaler Geschäftsprozesse

  • Erweiterte Meldepflichten bei IT-Sicherheitsvorfällen für viele Sektoren (Energie, Transport, Gesundheitswesen, Finanzen, IT, u.v.m.)

  • Die Geschäftsleitung trägt künftig eine direkte Verantwortung, Verstöße werden härter geahndet

  • Einheitliche Mindeststandards für Informationssicherheit und Cyber-Resilienz

  • Unternehmen müssen regelmäßig Nachweise zur Erfüllung der Pflichten vorlegen und können von Behörden geprüft werden​

Wer ist betroffen?

Nicht mehr nur klassische KRITIS-Betreiber wie Stromnetz- oder Wasserlieferanten sind betroffen: Auch Logistikunternehmen, Lebensmittelproduzenten, IT-Dienstleister, Pharmakonzerne, Maschinenbauer und viele weitere Unternehmen überschreiten oft die relevanten Schwellenwerte und fallen unter die NIS-2-Vorgaben. Entscheidend ist meist die Unternehmensgröße (mindestens 50 Mitarbeitende oder 10 Millionen Euro Jahresumsatz) sowie die Zugehörigkeit zu bestimmten Sektoren.​

Was sollten Unternehmen jetzt tun?

Das Gesetz tritt voraussichtlich Anfang 2026 in Kraft. Unternehmen haben bis dahin Zeit, die eigenen Prozesse, Strukturen und IT-Lösungen zu analysieren und anzupassen. Wichtig ist vor allem, systematisch ein Informationssicherheitsmanagement aufzubauen, Schwachstellen zu identifizieren und Meldewege für IT-Sicherheitsvorfälle zu etablieren. Frühzeitige Auditierungen und die Sensibilisierung aller Mitarbeitenden sind ebenfalls zentral.