Am 30. Juli 2025 hat die Bundesregierung den Gesetzentwurf zur Umsetzung der EU-NIS-2-Richtlinie beschlossen. Ziel ist es, das deutsche IT-Sicherheitsrecht grundlegend zu modernisieren und besser an die wachsende Bedrohungslage im Cyberraum anzupassen. Eine zentrale Rolle übernimmt dabei das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Der Entwurf sieht insbesondere eine umfassende Novelle des BSI-Gesetzes (BSIG) vor. Der Kreis der betroffenen Organisationen wird dabei erheblich ausgeweitet: Statt bislang rund 4.500 Einrichtungen sollen künftig etwa 29.500 Unternehmen unter die Aufsicht des BSI fallen – darunter viele aus den Sektoren Energie, Gesundheit, Transport, digitale Dienste und weitere.
Diese Einrichtungen müssen sich registrieren, erhebliche IT-Sicherheitsvorfälle melden und ein strukturiertes Risikomanagement umsetzen – einschließlich technischer und organisatorischer Schutzmaßnahmen. Neu ist auch: Die Verantwortung für Cybersicherheit liegt ausdrücklich auf Leitungsebene. Geschäftsführungen sind künftig verpflichtet, die Einhaltung der Vorgaben aktiv zu steuern, zu kontrollieren und sich regelmäßig zu Cyberrisiken fortzubilden.
Auch Einrichtungen der Bundesverwaltung werden künftig verbindlich zur Umsetzung von Mindeststandards der Informationssicherheit verpflichtet – orientiert an den IT-Grundschutz-Katalogen des BSI.
Handlungsempfehlungen für betroffene Unternehmen
Was sollten Unternehmen jetzt tun?
1. Betroffenheit prüfen
Nutzen Sie das BSI‑Online-Tool oder den FitNIS2‑Navigator, um zu prüfen, ob Ihr Unternehmen / Ihre Organisation als wesentliche oder wichtige Einrichtung gilt. Die Einstufung erfolgt beispielsweise nach Mitarbeiterzahl (> 50 oder > 250) und Umsatzgrenzen je Sektor.
2. Registrierung beim BSI
Sollten Sie betroffen sein, müssen Sie sich innerhalb von drei Monaten nach Feststellung beim BSI als betroffenes Unternehmen anmelden.
3. Risikomanagement und technische Maßnahmen etablieren
Richten Sie ein Informationssicherheits-Managementsystem (ISMS) ein und implementieren Sie Maßnahmen wie: Risikoanalysen, Notfallmanagement, Multi-Faktor-Authentifizierung, Verschlüsselung, Lieferkettensicherheit, sichere Kommunikation.
4. Meldeprozesse einführen
Schwere IT-Sicherheitsvorfälle sind an das BSI binnen 24 Stunden nach bekannter Kenntnis zu melden.
5. Geschäftsführung einbinden
Verantwortliche Personen müssen die Umsetzung aktiv steuern, überwachen und sich zu Cyberrisiken schulen lassen.
6. Unterstützung nutzen & praxisnahe Einstiegshilfen
Informieren Sie sich über kostenlose BSI-Webinare und Leitfäden. Der BSI bietet zudem Online-Tools zur Selbsteinschätzung und Checklisten zur Betroffenheitsanalyse.
Warum jetzt handeln?
Der Druck aus Brüssel ist hoch, da ein Vertragsverletzungsverfahren bereits läuft. Der Zeitplan ist daher eng getaktet:
- 30. Juli 2025: Verabschiedung des Entwurfs durch das Bundeskabinett.
- 15. August 2025: Zuleitung an den Bundesrat.
- Herbst 2025: Erste Lesung im Bundestag.
- Vor Jahresende 2025: Geplanter Gesetzesbeschluss.
Die neuen Vorgaben gelten ab Inkrafttreten (voraussichtlich) Ende 2025 oder Anfang 2026. Es wird keine Übergangsfrist geben, d.h. die betroffenen Unternehmen und Organisationen müssen die Anforderungen unmittelbar umsetzen. Unzureichende Umsetzung kann Sanktionen wie Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes nach sich ziehen – auch für die Geschäftsführung persönlich.
Zur Vorbereitung stellt das BSI bereits jetzt Informationsmaterial sowie ein Online-Tool zur Selbsteinschätzung bereit. Mit diesem können Unternehmen prüfen, ob sie betroffen sind und welche Maßnahmen erforderlich werden. Weitere Informationen:
- Bundesregierung beschließt Umsetzung der NIS-2-Richtlinie: https://www.bundesregierung.de/breg-de/aktuelles/nis-2-richtlinie-deutschland-2373174
- Regierungsentwurf: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/250730_NIS-2-Regierungsentwurf.html
- BSI – Informationen für (besonders) wichtige Unternehmen: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen
Sie sind unsicher, ob Ihr Unternehmen von den neuen Vorgaben betroffen ist oder wie Sie die Anforderungen effizient und rechtssicher umsetzen können? Wir unterstützen Sie – von der Schulung der Geschäftsleitung bis hin zur Einbindung in Ihr bestehendes Compliance- oder Datenschutz-Managementsystem. Sprechen Sie uns an: consulting@AdOrgaSolutions.de.
