Bundesrat stimmt NIS-2-Gesetz zu – was Unternehmen jetzt wissen und tun müssen

Mit der Zustimmung des Bundesrats zum Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2UmsuCG) steht fest: Die EU-Richtlinie NIS-2 wird in deutsches Recht überführt, das BSI-Gesetz (BSIG) grundlegend überarbeitet und der Kreis der regulierten Unternehmen massiv erweitert. Nach aktuellen Einschätzungen werden künftig rund 30.000 Unternehmen in Deutschland unter die neuen Vorgaben fallen – vom KRITIS-Betreiber über Industrie und Digitalwirtschaft bis hin zu Teilen der öffentlichen Hand. Für viele Organisationen ist NIS-2 damit kein Spezialthema mehr, sondern ein zentrales Compliance- und Managementprojekt.

Worum geht es beim NIS-2-Gesetz?

Die europäische NIS-2-Richtlinie (EU) 2022/2555 soll ein einheitlich hohes Cybersicherheitsniveau in der EU schaffen. Sie ersetzt die bisherige NIS-Richtlinie von 2016 und:

• weitet den Anwendungsbereich auf deutlich mehr Sektoren und Unternehmen aus,
• verschärft Anforderungen an Risikomanagement, Technik und Organisation,
• führt engere Meldefristen für Sicherheitsvorfälle ein,
• stärkt die persönliche Verantwortung der Unternehmensleitung,
• und erhöht die Bußgelder spürbar.

Das deutsche NIS2UmsuCG setzt diese Vorgaben um und verankert sie im neuen BSIG. Mit dem Abschluss des Gesetzgebungsverfahrens wird erwartet, dass die Pflichten Ende 2025 / Anfang 2026 ohne längere Übergangsfristen greifen.

Welche Unternehmen sind betroffen?

Das Gesetz unterscheidet künftig zwei Hauptkategorien:

• „Besonders wichtige Einrichtungen“ (essential entities)
• „Wichtige Einrichtungen“ (important entities)

Die Einstufung hängt im Wesentlichen ab von:

• Sektor / Branche– u. a.
  • Energie, Verkehr, Finanzwesen, Gesundheitswesen
  • Trinkwasser / Abwasser
  • Digitale Infrastruktur und digitale Dienste (Cloud, Rechenzentren, DNS, TLD, Plattformen)
  • Verarbeitendes Gewerbe, Chemie, Lebensmittel
  • Post- und Kurierdienste, Abfallwirtschaft
  • Forschungseinrichtungen
• Unternehmensgröße– typischerweise
  • „besonders wichtig“: Großunternehmen (≥ 250 MA oder > 50 Mio. € Umsatz und > 43 Mio. € Bilanzsumme),
  • „wichtig“: mittlere Unternehmen (≥ 50 MA oder > 10 Mio. € Umsatz und > 10 Mio. € Bilanzsumme).
• Besondere Rollen, z. B. Betreiber kritischer Anlagen, bestimmte TK-Unternehmen oder qualifizierte Vertrauensdienste, die unabhängig von der Größe erfasst werden.

Wichtig: Unternehmen werden nicht automatisch einzeln angeschrieben.

Jede Organisation muss selbst prüfen und dokumentieren, ob sie als „wichtig“ oder „besonders wichtig“ gilt und welche Pflichten sich daraus ergeben.

Neue Pflichten im Überblick

NIS-2 dreht sich nicht nur um Technik, sondern um ein ganzheitliches Sicherheits- und Risikomanagement. Im Kern kommen auf betroffene Unternehmen folgende Aufgaben zu:

Risikomanagement & Organisation

• Aufbau bzw. Weiterentwicklung eines strukturierten Cyber-Risikomanagements
• Berücksichtigung der gesamten Wertschöpfungskette (Lieferanten, Dienstleister, Cloud)
• klare Rollen, Verantwortlichkeiten und Entscheidungswege
• Integration von Informationssicherheit in Unternehmensstrategie und Governance

Oft wird dies praktisch auf ein Informationssicherheits-Managementsystem (ISMS) hinauslaufen – etwa angelehnt an ISO 27001 oder den BSI-Grundschutz, jedoch mit dem erweiterten Geltungsbereich von NIS-2.

Technische und organisatorische Maßnahmen

Unternehmen müssen geeignete Maßnahmen „nach Stand der Technik“ umsetzen, unter anderem in den Bereichen:

• Netzwerksicherheit, Segmentierung, Härtung
• Patch- und Schwachstellenmanagement
• Sicherung von Backup- und Wiederanlaufprozessen
• Identitäts- und Berechtigungsmanagement (inkl. MFA)
• Schutz der Lieferkette und von Dienstleister-Beziehungen
• Monitoring, Angriffserkennung und Log-Management

Der Geltungsbereich ist groß: Im Regelfall umfasst er alle IT-Systeme, Komponenten und Prozesse, die für die Erbringung der Dienste genutzt werden – also weit mehr als „nur“ Produktions- oder KRITIS-Systeme.

Meldepflichten bei Sicherheitsvorfällen

NIS-2 führt bundesweit einheitliche, enge Meldefristen ein. Sobald ein erheblicher Sicherheitsvorfall erkannt wurde, sind vorgesehen:

• Erstmeldung binnen 24 Stunden (Frühwarnung)
• Detailbericht binnen 72 Stunden
• Abschlussbericht innerhalb eines Monats

Unternehmen benötigen dafür klare Incident-Response-Prozesse, definierte interne und externe Kommunikationswege sowie eine 24/7-Erreichbarkeit für kritische Vorfälle.

Dokumentation und Nachweise

Alle relevanten Maßnahmen und Entscheidungen müssen:

• nachvollziehbar dokumentiert,
• regelmäßig überprüft und
• gegenüber Behörden und Prüfern nachweisbar sein.

Fehlende oder unzureichende Dokumentation kann bereits selbst bußgeldbewehrt sein.

Mehr Verantwortung für die Geschäftsleitung

Ein Kernanliegen von NIS-2 ist die Stärkung der Verantwortung der Unternehmensleitung. Geschäftsführung, Vorstand oder andere Leitungsgremien müssen:

• das Risikomanagement und die Sicherheitsstrategie freigeben,
• die Umsetzung überwachen,
• angemessene Ressourcen für Cybersicherheit bereitstellen,
• und sich regelmäßig zu Cybersicherheits-Themen schulen lassen.

Bei Verstößen gegen gesetzliche Pflichten, etwa unzureichender Umsetzung des Risikomanagements oder ignorierten Meldepflichten, sind auch persönliche Haftungsrisiken für Leitungspersonen vorgesehen. Damit wird Cybersicherheit endgültig vom reinen IT-Thema zur Chefsache.

Sanktionen: Hohe Bußgelder bei Verstößen

Die Sanktionen orientieren sich an der Logik der DSGVO und fallen deutlich höher aus als im bisherigen BSI-Gesetz. Nach NIS-2-Rahmen und BSI-Neufassung gelten im Wesentlichen:

• für besonders wichtige Einrichtungen
  • Bußgelder bis zu 10 Mio. € oder
  • bis zu 2 % des weltweiten Jahresumsatzes (maßgeblich ist der höhere Betrag).
• für wichtige Einrichtungen
  • Bußgelder bis zu 7 Mio. € oder
  • bis zu 1,4 % des weltweiten Jahresumsatzes.

Hinzu kommen weitere Sanktionsmöglichkeiten wie Anordnungen, Nachbesserungspflichten, Sicherheitsaudits und in Extremfällen, die Untersagung des Betriebs einzelner Dienste. Es ist zwar nicht zu erwarten, dass unmittelbar nach Inkrafttreten massenhaft Maximalbußgelder verhängt werden. Unternehmen müssen aber nachweisen können, dass sie rechtzeitig mit der Umsetzung begonnen und ein schlüssiges Sicherheits- und Compliance-Konzept etabliert haben.

Was Unternehmen jetzt konkret tun sollten

Auch wenn einzelne Detailfragen noch durch Verordnungen und Leitlinien präzisiert werden: Für betroffene und potenziell betroffene Unternehmen ist es sinnvoll, jetzt zu handeln. In der Praxis haben sich insbesondere folgende Schritte bewährt:

1. Betroffenheit klären
   • Sektor, Unternehmensgröße und Tätigkeiten mit den NIS-2-Kriterien abgleichen.
   • Einstufung als „wichtig“ oder „besonders wichtig“ intern dokumentieren.
2. Gap-Analyse durchführen
   • Bestehendes Sicherheitsniveau, Prozesse und Compliance-Strukturen erfassen.
   • Abgleich mit NIS-2-Pflichten und typischen Rahmenwerken (z. B. ISO 27001, BSI-Grundschutz).
3. Maßnahmenplan erstellen
   • Risiken und gesetzliche Anforderungen priorisieren.
   • Roadmap mit Verantwortlichkeiten, Budgets und Zeitplan definieren.
4. ISMS und Sicherheitsmaßnahmen ausbauen
   • Risikomanagement, technische und organisatorische Maßnahmen sowie Lieferketten-Sicherheit strukturiert aufbauen oder erweitern.
5. Incident-Response & Meldewege etablieren
   • Prozesse und Tools für Erkennung, Bewertung und Meldung von Vorfällen festlegen.
   • interne und externe Kommunikationspfade (Behörden, Kunden, Öffentlichkeit) definieren.
6. Management und Mitarbeitende schulen
   • gezielte Schulungen für Geschäftsleitung und Schlüsselrollen (CISO, IT-Leitung, OT-Verantwortliche).
   • Awareness-Programme für Belegschaft, insbesondere in kritischen Bereichen.
7. Dokumentation und Nachweise vorbereiten
   • Richtlinien, Prozessbeschreibungen, Risikoberichte und Maßnahmennachweise so strukturieren, dass sie im Prüfungsfall konsistent vorgelegt werden können.

NIS-2 bei AmicusData

Dieser Artikel ist für den Einsatz auf der Webseite von AmicusData gedacht. Typische Ansatzpunkte, wie ein spezialisierter Partner Unternehmen in NIS-2-Projekten unterstützt, sind zum Beispiel:

• strukturierte Betroffenheits- und Risikoanalysen,
• Konzeption und Umsetzung eines ISMS im NIS-2-Kontext,
• Aufbau von Incident-Response-Prozessen inkl. Meldewegen,
• Schulungen für Management und Mitarbeitende,
• sowie Begleitung bei Audits und Behördenkommunikation.

Bitte passen Sie diesen Abschnitt inhaltlich an die tatsächlichen Leistungen von AmicusData an.

Quellen & weiterführende Informationen

• IT-Administrator: „Bundesrat stimmt NIS-2-Gesetz zu“, News-Artikel zur Verabschiedung des NIS2UmsuCG im Bundesrat. it-administrator.de
• OpenKRITIS: „NIS2-Umsetzungsgesetz“ – Überblick zu Geltungsbereich, betroffenen Sektoren, Unternehmensgrößen und geschätzten >30.000 betroffenen Unternehmen. openkritis.de
• BSI – Bundesamt für Sicherheit in der Informationstechnik: Informationsseiten zur NIS-2-Richtlinie und zu NIS-2-regulierten Unternehmen. NIS-2-Richtlinie
• EUR-Lex: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (NIS-2-Richtlinie). NIS-2-Richtlinie
• OpenKRITIS & weitere Fachquellen zu Bußgeldern und Sanktionen, z. B. IHK-Magdeburg (NIS-2-Bußgeldrahmen) und OpenKRITIS-Übersicht zu § 65 BSIG-neu. Industrie- und Handelskammer
• Bundesregierung / BSI-Presse: Informationen zum Stand der NIS-2-Umsetzung und zur Zielsetzung des NIS2UmsuCG. Bundesamt für Sicherheit in der Informationstechnik