Partner
ISO/IEC27001/KRITIS -Auditor
Bundestag beschließt NIS-2-Umsetzungsgesetz: Neue Maßstäbe für Cybersicherheit in Deutschland
- Bundestag beschließt NIS-2-Gesetz: IT-Sicherheit wird modernisiert und gestärkt.
- Neues NIS-2-Gesetz erhöht digitale Resilienz und vereinheitlicht EU-Sicherheitsstandards.
- Das Gesetz gilt ab dem 06. Dezember 2025.
Kontaktieren Sie uns:
Jetzt Kontakt aufnehmen
Am 13. November 2025 hat der Deutsche Bundestag das Gesetz zur Umsetzung der EU-NIS-2-Richtlinie verabschiedet. Damit wird das deutsche IT-Sicherheitsrecht grundlegend modernisiert und auf ein neues Niveau gehoben. Ziel ist es, die digitale Resilienz von Wirtschaft und Verwaltung zu stärken und ein einheitlich hohes Sicherheitsniveau in der EU zu schaffen.
Hintergrund: Warum NIS-2?
Die Verabschiedung des NIS-2-Umsetzungsgesetzes durch den Bundestag erfolgt vor dem Hintergrund einer zunehmend angespannten IT-Sicherheitslage in Deutschland und Europa. Der aktuelle Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt deutlich: Die Bedrohungen im Cyberraum nehmen nicht nur zu, sie verändern sich auch qualitativ und strategisch.
Mit der fortschreitenden Digitalisierung wächst die Zahl potenzieller Einfallstore für Cyberangriffe. Besonders Web-Angriffsflächen sind laut BSI zunehmend relevant – viele Systeme sind unzureichend geschützt und bieten Angreifern einfache Einstiegsmöglichkeiten. Die Zahl der täglich neu bekannt gewordenen Schwachstellen ist im Berichtszeitraum um 24 % gestiegen.
Cyberkriminelle und staatlich gesteuerte Angreifergruppen agieren immer gezielter und nutzen komplexe Angriffsinfrastrukturen. Besonders besorgniserregend ist die Entdeckung neuer IoT-Botnetze, deren Schadsoftware bereits im Produktionsprozess auf Geräte gelangt ist. Diese Geräte kamen vorinfiziert in den Handel und konnten nicht nachträglich bereinigt werden – ein alarmierendes Beispiel für die Verwundbarkeit moderner IT-Systeme.
Die größten Schäden entstehen weiterhin durch Ransomware-Angriffe. Die Zahl der gemeldeten Fälle bleibt hoch, und die durchschnittlichen Lösegeldforderungen steigen.
Die Bundesregierung sieht die Umsetzung der NIS-2-Richtlinie auch als sicherheitspolitische Notwendigkeit. Angesichts hybrider Bedrohungen – etwa durch Desinformation, Spionage oder digitale Sabotage – ist ein robuster Schutz der digitalen Infrastruktur unerlässlich.
Was ändert sich konkret?
Mit dem neuen Gesetz steigt die Zahl der regulierten Einrichtungen von rund 4.500 auf etwa 29.500 Unternehmen und Organisationen. Dazu zählen sogenannte „wichtige“ und „besonders wichtige Einrichtungen“, die künftig:
- sich beim BSI registrieren müssen,
- erhebliche Sicherheitsvorfälle melden,
- technische und organisatorische Risikomanagement-Maßnahmen umsetzen.
Auch die Bundesverwaltung ist nun einbezogen: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt die Rolle des Chief Information Security Officer (CISO Bund) und koordiniert die IT-Sicherheitsmaßnahmen über alle Ressorts hinweg.
Meldepflichten und Sanktionen
Ein dreistufiges Meldesystem wird eingeführt:
- Erstmeldung innerhalb von 24 Stunden,
- Update nach 72 Stunden,
- Abschlussbericht innerhalb von 30 Tagen.
Verstöße gegen diese Pflichten können mit empfindlichen Sanktionen geahndet werden. Zusätzlich erhält das BSI erhält erweiterte Aufsichts- und Anordnungsbefugnisse.
Rückwirkende Verbote kritischer Komponenten
Eine besonders relevante Neuerung betrifft den Einsatz kritischer Komponenten: Zwar entfällt die bisherige Anzeigepflicht, jedoch kann das Bundesinnenministerium künftig deren Einsatz untersagen – auch rückwirkend. Dies betrifft insbesondere Komponenten von Herstellern, die unter staatlicher Kontrolle eines Drittstaates stehen.
Ab wann gilt NIS-2 in Deutschland?
Die NIS-2-Richtlinie ist auf EU-Ebene seit dem 16. Januar 2023 in Kraft. Die Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Deutschland hat diese Frist – wie 23 weitere EU-Staaten – verpasst, weshalb die EU-Kommission ein Vertragsverletzungsverfahren eingeleitet hat.
Mit dem Beschluss des Bundestages am 13. November 2025 werden die Anforderungen der EU-Richtlinie in deutsches Recht überführt. Mit der Veröffentlichung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ am 05. Dezember 2025 im Bundesgesetzblatt gilt das Gesetz somit ab 06. Dezember 2025. Falls Betroffenheit vorliegt, muss die Registrierung beim BSI/BBK bis zum 06. März 2026 erfolgen.
Fazit
Mit dem NIS-2-Umsetzungsgesetz stellt Deutschland die Weichen für eine strategisch ausgerichtete Cybersicherheitsarchitektur. Die neuen Regelungen sind nicht nur eine Reaktion auf aktuelle Bedrohungen, sondern ein klares Bekenntnis zur digitalen Souveränität und Resilienz. Unternehmen und Behörden sind nun gefordert, Cybersicherheit als integralen Bestandteil ihrer Führungs- und Organisationskultur zu etablieren. Die kommenden Jahre werden zeigen, wie effektiv die neuen Strukturen greifen – und ob Deutschland damit zum Vorreiter für IT-Sicherheit in Europa wird.