NIS2 2025: Aktueller Stand, Pflichten & Umsetzung in Deutschland
Warum Unternehmen jetzt handeln müssen – und was der aktuelle Regierungsentwurf bedeutet
Die Umsetzung der europäischen NIS2-Richtlinie schreitet – nach anfänglichen Verzögerungen – in Deutschland endlich voran. Der aktuelle Regierungsentwurf liegt vor, und die erste Lesung im Bundestag markiert den Startschuss für die nationale Umsetzung. Zielkorridor: Ende 2025 bis Anfang 2026. Spätestens dann müssen alle betroffenen Unternehmen die Vorgaben umgesetzt haben – andernfalls drohen empfindliche Bußgelder.
Was NIS2 erreichen soll
Die Richtlinie verfolgt ein zentrales Ziel: das Sicherheitsniveau kritischer und wichtiger Einrichtungen in der EU anzuheben und zu harmonisieren. Sie verpflichtet Unternehmen, angemessene technische, organisatorische und personelle Maßnahmen zu etablieren, um Cyberrisiken zu minimieren.
Kurz gesagt: Resilienz statt Reaktion – Sicherheit muss proaktiv gedacht und gelebt werden.
Was sich ändert – und wen es betrifft
Die wohl deutlichste Veränderung: Die Zahl der betroffenen Unternehmen steigt massiv.
Statt rund 1.800 kritischer Infrastrukturen (KRITIS) werden künftig etwa 29.500 Einrichtungen unter NIS2 fallen. Auch mittelständische Unternehmen ohne KRITIS-Status können betroffen sein – etwa durch ihre Rolle in Lieferketten oder durch branchenspezifische Kriterien.
Ein praktisches Hilfsmittel zur Selbstprüfung bietet das BSI mit seinem Entscheidungsbaum zur Betroffenheit. Unternehmen sollten jetzt prüfen, ob und in welchem Umfang sie unter die neue Richtlinie fallen.
Keine Übergangsfrist bei Mindeststandards
Ein zentraler Punkt des Entwurfs: Für die Umsetzung der Mindeststandards gilt keine Übergangsfrist.
Die Anforderungen – sinngemäß im §30 des Entwurfs verankert – gelten mit Inkrafttreten sofort. Dazu gehören unter anderem:
- Einführung eines systematischen Risikomanagements
- Nachweis von technischen und organisatorischen Sicherheitsmaßnahmen
- Meldepflichten an das BSI bei erheblichen Sicherheitsvorfällen
- Klare Zuständigkeiten und Reporting-Prozesse
Wer jetzt noch wartet, riskiert, kurz vor Inkrafttreten unter enormem Druck zu stehen.
Streitpunkte und Kritik
Einige Aspekte des Regierungsentwurfs sorgen für Diskussion:
So wird eine mögliche Absenkung des Sicherheitsniveaus in der Bundesverwaltung kritisiert – derzeit sollen nur Ministerien und das Kanzleramt erfasst werden.
Außerdem gibt es Bedenken bezüglich der Betroffenheitslogik: Teilweise werden ganze Unternehmensgruppen erfasst, auch wenn nur einzelne Bereiche in relevanten Sektoren tätig sind.
Darüber hinaus zeigt sich, dass Deutschland in Teilen über die EU-Vorgaben hinausgeht („Goldplating“) – etwa mit zusätzlichen Kategorien und strengeren Haftungsregeln. Für viele KMU bedeutet das zusätzliche Komplexität und Aufwand.
Was Unternehmen jetzt tun sollten
Die Botschaft aus dem Podcast ist eindeutig: Nicht abwarten – anfangen.
Unternehmen sollten bereits jetzt:
- ihre Betroffenheit prüfen
- ein ISMS (Informationssicherheits-Managementsystem) aufbauen oder erweitern
- Melde- und Nachweisprozesse vorbereiten
- die Lieferkette in die Sicherheitsstrategie einbeziehen
- Ressourcen und Schulungen frühzeitig planen
Diese Schritte sind kein Selbstzweck – sie erhöhen dauerhaft das Sicherheitsniveau und die Handlungsfähigkeit im Ernstfall.
Fazit
NIS2 wird die Cybersicherheitslandschaft in Europa spürbar verändern. Die Richtlinie zwingt Unternehmen, Sicherheit strategisch und ganzheitlich zu denken. Wer jetzt beginnt, Maßnahmen umzusetzen, verschafft sich nicht nur Rechtssicherheit, sondern auch einen klaren Wettbewerbsvorteil durch nachweisbare Resilienz.
Wer mehr über den aktuellen Stand, die Hintergründe und konkrete Handlungsempfehlungen erfahren möchte, sollte unbedingt reinhören:
Zum ESET WeTalkSecurity Podcast „NIS2: Wo stehen wir jetzt?“
