Deutsches Umsetzungsgesetz zur NIS2-Richtlinie
Veröffentlicht: 26. August 2025
aus
Steuern & Wirtschaft aktuell 3-2025
Von:
André Schneider
Das Bundesinnenministerium hat am 23.6.2025 einen offiziellen Gesetzentwurf für das NIS2-Umsetzungsgesetz vorgelegt. Das Gesetz soll die europäische NIS2-Richtlinie in deutsches Recht übertragen und die Cybersecurity-Anforderungen für über 30.000 Unternehmen erweitern.
Die europäische NIS2-Richtlinie zur Stärkung der Cybersicherheit wurde am 14.12.2022 verabschiedet und hätte bis zum 17.10.2024 in deutsches Recht überführt werden müssen. Aufgrund vorgezogener Neuwahlen und Herausforderungen bei der Regierungsbildung verzögerte sich die Umsetzung erheblich. Erst am 23.6.2025 legte das Bundesinnenministerium einen offiziellen Gesetzentwurf zum NIS2-Umsetzungsgesetz vor. Dieser befindet sich derzeit im parlamentarischen Gesetzgebungsverfahren. Ein Inkrafttreten des Gesetzes wird für Ende 2025 erwartet.
Ziel der NIS2-Richtlinie ist es, den europäischen Binnenmarkt widerstandsfähiger gegenüber Cyberbedrohungen zu machen. Unternehmen, die unter die Richtlinie fallen, sind verpflichtet, ein umfassendes Risikomanagement zu etablieren und sowohl technische als auch organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Anlagen, Netzwerke, IT-Systeme und Lieferketten zu erhöhen.
Die Geschäftsleitung trägt ausdrücklich die Verantwortung für die Umsetzung der Vorgaben. Bei Verstößen oder mangelnder Mitwirkung drohen erhebliche Bußgelder.
Deutsche Unternehmen sind regelmäßig Ziel schwerwiegender Cyberangriffe – meist durch organisierte kriminelle Gruppen mit finanziellen Interessen oder politisch motivierte Akteure. Dennoch verharren viele Betriebe in einer abwartenden Haltung, hoffen auf die finale Umsetzung der Richtlinie und neigen häufig zu vorschnellen, scheinbar einfachen Lösungen.
Unabhängig vom finalen Gesetzestext sollten Unternehmen bereits jetzt zentrale Maßnahmen aus der NIS2-Richtlinie umsetzen. Insbesondere die folgenden Aspekte sind zu berücksichtigen:
- Vorbereitung auf Sicherheitsvorfälle – Durchführung von Risikoanalysen, Identifikation von Schwachstellen und Gefahren, Entwicklung von Notfallplänen und Krisenmanagementstrategien, Sicherstellung des Betriebs im Störfall, Maßnahmen zur schnellen Wiederherstellung
- Absicherung der Lieferkette – Festlegung von Sicherheitsanforderungen für Anbieter und Dienstleister, Prüfung von Zuliefersoftware und Dienstleistern, Integration von Sicherheitsaspekten bei Beschaffung und Wartung von IT-Systemen
- Kontrolle und Awareness – Einführung von Konzepten zur Bewertung der Wirksamkeit der Sicherheitsmaßnahmen, Etablierung regelmäßiger Cyberhygiene, Schulung aller Mitarbeitenden zur Steigerung des Sicherheitsbewusstseins
- Technische Umsetzung – Sicherstellung des Einsatzes moderner Kryptografie- und Verschlüsselungsverfahren, Entwicklung von Zugriffskontrollen und Sicherheitskonzepten für Personal und Anlagen, Verwendung von Multi-Faktoren-Authentifizierung oder kontinuierlicher Authentifizierung, Einrichtung gesicherter Kommunikation und interner Notfallkommunikationssysteme
Die Maßnahmen müssen dem Stand der Technik entsprechen und in einem angemessenen Verhältnis zum Risiko sowie zur Unternehmensgröße stehen.
Empfehlung
Unternehmen sollten jetzt aktiv werden und Cybersicherheit systematisch in ihre Organisation integrieren – unabhängig von der finalen Gesetzgebung. Wer proaktiv handelt, schützt nicht nur Daten und Reputation, sondern minimiert zugleich rechtliche und finanzielle Risiken.
Unsere Autorinnen und Autoren des Beitrags beraten Sie gerne zu Ihren persönlichen Fragen.
Mehr zum Bereich:
