Skip to content
Home

18 November 2025 | 5 min

NIS-2 umgesetzt: Warum deutsche Unternehmen jetzt handeln müssen

Im November 2025 hat der Deutscher Bundestag das Gesetz zur Umsetzung der NIS‑2‑Richtlinie verabschiedet. Damit wurden auf nationaler Ebene neue Regeln für Cybersicherheit und Informationssicherheit eingeführt, die weit über bisherige Vorgaben hinausgehen. Unternehmen, die bislang unter dem Radar waren, müssen nun prüfen, ob sie betroffen sind – und wenn ja, ihre Sicherheitsmassnahmen, Prozesse und Governance-Strukturen dringend anpassen.
Die Verzögerung bei der Umsetzung hat vielen Firmen zwar etwas Luft verschafft, doch jetzt beginnt der Handlungsdruck. Wer früh vorbereitet ist, kann Wettbewerbsvorteile erzielen – wer zu spät reagiert, riskiert Strafen, Reputationsverlust oder gar Geschäftsschädigung.

Das Wichtigste in Kürze

  • Der Bundestag hat am 13. November 2025 das NIS-2-Umsetzungsgesetz beschlossen.
  • Das Gesetz erweitert den Anwendungsbereich auf deutlich mehr Unternehmen und Behörden – schätzungsweise rund 29.500 Einrichtungen in Deutschland.
  • Neue Pflichten betreffen u. a. Risikomanagement, technische & organisatorische Massnahmen, Vorfall-Meldepflichten mit definierten Fristen (z. B. erste Meldung innerhalb 24 Stunden) sowie erweiterte Aufsicht und Sanktionen durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
  • Unternehmen sollten jetzt eine Betroffenheitsanalyse durchführen, Regulierungs- und Compliance-Prozesse überarbeiten, sowie Governance und IT-Sicherheitsarchitektur auf nach oben geschärfte Anforderungen ausrichten.

Warum das Thema so wichtig ist

Die digitale Vernetzung und Abhängigkeit von IT-Systemen und Dienstleistungen haben in den letzten Jahren stark zugenommen. Gleichzeitig wächst die Bedrohung durch Cyberangriffe, gezielte Sabotage, Spionage und hybride Angriffe auf Einrichtungen der kritischen Infrastruktur. In diesem Umfeld war die bisherige Gesetzeslage in Deutschland aus Sicht vieler Experten nicht mehr ausreichend.
Die EU-Richtlinie NIS-2 verfolgt das Ziel, ein hohes und einheitliches Sicherheitsniveau für Netz- und Informationssysteme in der gesamten Union sicherzustellen.
Da Deutschland die Frist zur Umsetzung der Richtlinie verpasst hat, war Handeln erforderlich – mit dem nun beschlossenen Gesetz ist der nächste Schritt gesetzt.
Für Unternehmen bedeutet das konkret: Nicht nur Betreiber klassischer Kritischer Infrastrukturen (KRITIS) sind betroffen, sondern erstmals auch Unternehmen, die bisher nicht unter dieser Kategorie standen. Damit steigt die Zahl der regelpflichtigen Unternehmen deutlich – dies schafft Wettbewerbsvorteile für jene, die sich früh vorbereiten.

Welche Anforderungen und Pflichten erfüllt werden müssen

Unternehmen, die unter die neuen Regeln fallen, sehen sich mit mehreren neuen Elementen konfrontiert. Die wichtigsten Pflichten im Überblick:

Anwendungsbereich und Kategorien

Das Gesetz unterscheidet künftig zwischen „wesentlichen Einrichtungen“ und „wichtigen Einrichtungen“. Beide Kategorien sind von den Vorgaben betroffen – je nach Kritikalität mit unterschiedlich intensiven Anforderungen.
Unternehmen aus den Bereichen Energie, Gesundheit, Verkehr, digitale Dienste oder öffentliche Verwaltung zählen üblicherweise dazu. Aber auch andere Unternehmen können betroffen sein, wenn ihre Services relevant für das Funktionieren der Gesellschaft sind.

Technische und organisatorische Massnahmen (TOM)

Betroffene Stellen müssen IT-Sicherheitsmassnahmen umsetzen, die dem Stand der Technik entsprechen. Dazu zählen etwa Risikoanalysen, Business-Continuity-Pläne, Backup-Konzeptionen, Verschlüsselung, Zugangskontrollen sowie Überwachung und Erkennung von Angriffen.
Auch die Einbindung von Lieferketten- und Drittparteirisiken ist nun stärker gefordert – Unternehmen müssen ihre Abhängigkeiten kennen und steuern.

Vorfallsmeldung und Berichtspflichten

Ein zentrales Element sind die Meldepflichten bei Sicherheitsvorfällen. Neu ist ein dreistufiges Regime:

  • Erste Meldung innerhalb 24 Stunden nach Entdeckung.
  • Zwischenbericht nach 72 Stunden.
  • Abschlussbericht spätestens nach einem Monat.
    Diese Fristen machen aus der Vorfallmeldung eine dringliche Compliance- und Steuerungsaufgabe.

Erweiterte Aufsicht und Sanktionen

Das BSI übernimmt erweiterte Aufsichts- und Prüfungsfunktionen. Es kann Sanktionen verhängen, Leitfäden herausgeben und die Registerführung übernehmen.
Außerdem müssen Unternehmen sich registrieren und ihre Zuständigkeiten benennen – etwa eine verantwortliche Person für Informationssicherheit.

Rolle der Verwaltung

Neu: Auch Behörden und Bundesverwaltung unterliegen künftig den Mindestanforderungen. Damit wird staatliche IT-Sicherheit auf ein Niveau mit der Wirtschaft gehoben – was für die gesamte Resilienz bedeutsam ist.

Was Unternehmen jetzt tun sollten

  • Eine Betroffenheitsanalyse durchführen: Prüfen, ob das Unternehmen unter die Kategorien „wesentliche“ oder „wichtige“ Einrichtung fällt.
  • Eine Gap-Analyse der bestehenden IT-Sicherheits-, Governance- und Meldeprozesse erstellen und auf NIS-2-Konformität ausrichten.
  • Governance- und Risikomanagement-Prozesse überarbeiten: Wer ist verantwortlich? Wie wird Risiko gemessen? Wie schnell melden wir Vorfälle?
  • Technische Massnahmen implementieren und dokumentieren: Risikoanalyse, Zutritts- & Zugriffskontrollen, Incident-Response-Plan, Backup-/Recovery-Strategie.
  • Melde- und Berichtspflichten etablieren: Prozesse definieren, wer meldet, wie Fristen eingehalten werden.
  • Schulungen und Sensibilisierung für Mitarbeitende: Cyberrisiken, Meldepflichten, Verantwortlichkeiten.
  • Monitoring & Reporting einrichten: Dashboards über Vorfälle, Risiken, Massnahmen. Behandlung von Drittparteirisiken mit einbeziehen.

Wer diese Schritte früh angeht, kann nicht nur Compliance sicherstellen, sondern Wettbewerbsvorteile nutzen – z. B. indem vertrauenswürdige Partnerbeziehungen gestärkt und Versicherungsprämien gesenkt werden.

Fazit

Mit dem Gesetz zur Umsetzung der NIS-2-Richtlinie markiert Deutschland einen entscheidenden Schritt Richtung digitaler Resilienz. Für Unternehmen bedeutet das: Nicht länger nur freiwillig, sondern reguliert und druckvoll wird Cybersicherheit zu einer zentralen strategischen Aufgabe.
Die Anforderungen sind hoch – aber diejenigen, die früh handeln, sichern sich nicht nur Rechtssicherheit, sondern auch Vertrauen von Kunden, Geschäftspartnern und Investoren.

FAQ

Wer ist von der NIS-2-Umsetzung betroffen?
Betroffen sind Unternehmen der Kategorien „wesentliche Einrichtungen“ und „wichtige Einrichtungen“, insbesondere aus Bereichen wie Energie, Gesundheit, Verkehr, digitale Dienste sowie Behörden und Verwaltung.

Ab wann gelten die neuen Regelungen?
Der Bundestag hat das Gesetz am 13. November 2025 beschlossen. Es muss noch vom Bundesrat bestätigt und im Bundesgesetzblatt verkündet werden, bevor es verbindlich in Kraft tritt.

Welche Fristen gelten für die Meldung von Sicherheitsvorfällen?
Erstmeldung innerhalb von 24 Stunden nach Entdeckung, Zwischenbericht nach 72 Stunden, Abschlussbericht spätestens nach einem Monat.

Was passiert bei Nicht-Beachtung der Vorgaben?
Das BSI erhält erweiterte Aufsichts- und Sanktionsbefugnisse. Bei Verstössen können Bußgelder und weitere Rechtsfolgen drohen.

Wie sollten Unternehmen jetzt vorgehen?
Eine Betroffenheits- und Gap-Analyse durchführen, Governance- und Risikoprozesse anpassen, technische Massnahmen dokumentieren, Meldeprozesse etablieren und Mitarbeitende schulen.

Share

Related posts

EU Cyber Resilience Act (CRA): Neue Ära für Governance, Risk & Compliance in der Cybersicherheit
22 April 2025 | 4 min

EU Cyber Resilience Act (CRA): Neue Ära für Governance, Risk & Compliance in der Cybersicherheit

 Der Cyber Resilience Act revolutioniert GRC und Cybersicherheit In einer zunehmend digitalen Welt sind Cyberangriffe längst nicht mehr die Ausnahme, sondern die Regel. Mit dem EU Cyber Resilience Act (CRA) setzt die Europäische Union einen neuen globalen Standard für die Sicherheit von digitalen Produkten und Software. Unternehmen stehen damit vor der Herausforderung, Cybersicherheit tief in<a href="https://zazoon.com/de/eu-cyber-resilience-act-cra-neue-aera-fuer-governance-risk-compliance-in-der-cybersicherheit/">Continue reading <span class="sr-only">"EU Cyber Resilience Act (CRA): Neue Ära für Governance, Risk & Compliance in der Cybersicherheit"</span></a>
Read more
Neue EU-Vorgaben für KI: Was Unternehmen jetzt beachten müssen
05 August 2025 | 5 min

Neue EU-Vorgaben für KI: Was Unternehmen jetzt beachten müssen

 Die Europäische Union läutet mit dem AI Act (Verordnung 2024/1689) eine neue Ära der regulierten Künstlichen Intelligenz ein. Ab dem 2. August 2025 gelten erstmals verpflichtende Regelungen für Anbieter und Nutzer sogenannter General Purpose AI (GPAI)-Modelle. Unternehmen, die KI-Systeme einsetzen oder entwickeln – insbesondere im Bereich Generative AI, Machine Learning, Natural Language Processing oder automatisierter<a href="https://zazoon.com/de/neue-eu-vorgaben-fuer-ki-was-unternehmen-jetzt-beachten-muessen/">Continue reading <span class="sr-only">"Neue EU-Vorgaben für KI: Was Unternehmen jetzt beachten müssen"</span></a>
Read more
MiCA: Die neue EU-Krypto-Regulierung und ihre Bedeutung für GRC
26 August 2025 | 4 min

MiCA: Die neue EU-Krypto-Regulierung und ihre Bedeutung für GRC

 Die Regulierung von Krypto-Assets in der Europäischen Union hat mit der Einführung der Markets in Crypto-Assets Regulation (MiCA) einen historischen Meilenstein erreicht. Seit Ende 2024 vollständig anwendbar, schafft MiCA erstmals einen einheitlichen Rechtsrahmen für den Krypto-Markt in allen EU-Mitgliedstaaten. Ziel ist es, Marktstabilität zu fördern, Investoren zu schützen und gleiche Wettbewerbsbedingungen für alle Anbieter zu<a href="https://zazoon.com/de/mica-die-neue-eu-krypto-regulierung-und-ihre-bedeutung-fuer-governance-risiko-und-compliance/">Continue reading <span class="sr-only">"MiCA: Die neue EU-Krypto-Regulierung und ihre Bedeutung für GRC"</span></a>
Read more