Du bist hier: / / NIS2 2025: Aktueller Stand, Pflichten & Umsetzung in Deutschland
NIS2

NIS2 2025: Aktueller Stand, Pflichten & Umsetzung in Deutschland

/in /von

Warum Unternehmen jetzt handeln müssen – und was der aktuelle Regierungsentwurf bedeutet

Die Umsetzung der europäischen NIS2-Richtlinie schreitet – nach anfänglichen Verzögerungen – in Deutschland endlich voran. Der aktuelle Regierungsentwurf liegt vor, und die erste Lesung im Bundestag markiert den Startschuss für die nationale Umsetzung. Zielkorridor: Ende 2025 bis Anfang 2026. Spätestens dann müssen alle betroffenen Unternehmen die Vorgaben umgesetzt haben – andernfalls drohen empfindliche Bußgelder.

Was NIS2 erreichen soll

Die Richtlinie verfolgt ein zentrales Ziel: das Sicherheitsniveau kritischer und wichtiger Einrichtungen in der EU anzuheben und zu harmonisieren. Sie verpflichtet Unternehmen, angemessene technische, organisatorische und personelle Maßnahmen zu etablieren, um Cyberrisiken zu minimieren.
Kurz gesagt: Resilienz statt Reaktion – Sicherheit muss proaktiv gedacht und gelebt werden.

Was sich ändert – und wen es betrifft

Die wohl deutlichste Veränderung: Die Zahl der betroffenen Unternehmen steigt massiv.
Statt rund 1.800 kritischer Infrastrukturen (KRITIS) werden künftig etwa 29.500 Einrichtungen unter NIS2 fallen. Auch mittelständische Unternehmen ohne KRITIS-Status können betroffen sein – etwa durch ihre Rolle in Lieferketten oder durch branchenspezifische Kriterien.

Ein praktisches Hilfsmittel zur Selbstprüfung bietet das BSI mit seinem Entscheidungsbaum zur Betroffenheit. Unternehmen sollten jetzt prüfen, ob und in welchem Umfang sie unter die neue Richtlinie fallen.

NIS2 in der Praxis: So setzen Unternehmen Anforderungen um

Die Umsetzung der NIS2-Richtlinie ist nicht nur eine gesetzliche Pflicht, sondern bietet Unternehmen gleichzeitig die Chance, ihre IT-Sicherheit systematisch zu stärken. Sinnvoll ist, die vorhandenen Sicherheitsprozesse jetzt zu überprüfen und gezielt Lücken zu schließen. Dazu gehören unter anderem die klare Zuweisung von Verantwortlichkeiten, regelmäßige Risikoanalysen, standardisierte Meldewege für Sicherheitsvorfälle und die Integration der gesamten Lieferkette in die Sicherheitsstrategie.

Unternehmen, die frühzeitig handeln, können die Anforderungen der Richtlinie strukturiert umsetzen, ohne unter Zeitdruck zu geraten. Gleichzeitig profitieren sie von einer dauerhaft höheren IT-Resilienz: Durch präventive Maßnahmen, kontinuierliche Überwachung und klare Prozesse werden Sicherheitsvorfälle schneller erkannt und Schäden minimiert. Compliance wird so Teil der täglichen Unternehmenspraxis und nicht nur ein einmaliges Projekt kurz vor Inkrafttreten.

Keine Übergangsfrist bei Mindeststandards

Ein zentraler Punkt des Entwurfs: Für die Umsetzung der Mindeststandards gilt keine Übergangsfrist.
Die Anforderungen – sinngemäß im §30 des Entwurfs verankert – gelten mit Inkrafttreten sofort. Dazu gehören unter anderem:

  • Einführung eines systematischen Risikomanagements
  • Nachweis von technischen und organisatorischen Sicherheitsmaßnahmen
  • Meldepflichten an das BSI bei erheblichen Sicherheitsvorfällen
  • Klare Zuständigkeiten und Reporting-Prozesse

Wer jetzt noch wartet, riskiert, kurz vor Inkrafttreten unter enormem Druck zu stehen.

Streitpunkte und Kritik

Einige Aspekte des Regierungsentwurfs sorgen für Diskussion:
So wird eine mögliche Absenkung des Sicherheitsniveaus in der Bundesverwaltung kritisiert – derzeit sollen nur Ministerien und das Kanzleramt erfasst werden.
Außerdem gibt es Bedenken bezüglich der Betroffenheitslogik: Teilweise werden ganze Unternehmensgruppen erfasst, auch wenn nur einzelne Bereiche in relevanten Sektoren tätig sind.

Darüber hinaus zeigt sich, dass Deutschland in Teilen über die EU-Vorgaben hinausgeht („Goldplating“) – etwa mit zusätzlichen Kategorien und strengeren Haftungsregeln. Für viele KMU bedeutet das zusätzliche Komplexität und Aufwand.

Was Unternehmen jetzt tun sollten

Die Botschaft aus dem Podcast ist eindeutig: Nicht abwarten, sondern anfangen.
Unternehmen sollten bereits jetzt:

  • ihre Betroffenheit prüfen
  • ein ISMS (Informationssicherheits-Managementsystem) aufbauen oder erweitern
  • Melde- und Nachweisprozesse vorbereiten
  • die Lieferkette in die Sicherheitsstrategie einbeziehen
  • Ressourcen und Schulungen frühzeitig planen

Diese Schritte sind kein Selbstzweck – sie erhöhen dauerhaft das Sicherheitsniveau und die Handlungsfähigkeit im Ernstfall.

Fazit

Die NIS2-Richtlinie stellt Unternehmen vor neue Herausforderungen – und gleichzeitig die Chance, IT-Sicherheit strategisch zu verankern. Wer die Vorgaben frühzeitig prüft und in seine Prozesse integriert, schafft eine robuste Grundlage, um Cyberrisiken zu minimieren.

Wichtig ist, dass Sicherheit nicht nur eine Pflichtaufgabe bleibt, sondern aktiv gestaltet wird: Verantwortlichkeiten, Meldeprozesse und Risikomanagement sollten klar definiert sein, um im Ernstfall schnell und effizient reagieren zu können.

Unternehmen, die jetzt handeln, profitieren von besserer Transparenz, nachvollziehbaren Sicherheitsmaßnahmen und einem stabileren Betrieb. So wird Compliance nicht nur erreicht, sondern wird zugleich Teil einer modernen, widerstandsfähigen IT-Struktur.

Wer mehr über den aktuellen Stand, die Hintergründe und konkrete Handlungsempfehlungen erfahren möchte, sollte unbedingt reinhören:
Zum ESET WeTalkSecurity Podcast „NIS2: Wo stehen wir jetzt?“

Notfallwiederherstellung: Wie lange überlebt Dein Unternehmen ohne Datenzu...Notfallwiederherstellung realistisch testenZero Trust: NIS2-Richtlinie und aktueller Stand der IT-Sicherheitsanforderungen in der EUZero Trust: Vertrauen war gestern – warum Du Dein Unternehmen neu absichern...
Allgemein

NIS2 2025: Aktueller Stand, Pflichten & Umsetzung in Deutschland

von Jessica Lesezeit: 4 min
Allgemein Zero Trust: Vertrauen war gestern – warum Du Dei…
Sicherheit Notfallwiederherstellung: Wie lange überlebt Dein…