NIS-2-Umsetzungsgesetz: Überblick zur neuen Cybersicherheits-Regelung in Deutschland
TCI Rechtsanwälte > NIS-Richtlinie

Mit dem NIS-2-Umsetzungsgesetz hat Deutschland zum 6. Dezember 2025 einen zentralen Baustein der europäischen Cybersicherheitsstandards in nationales Recht überführt. Das Gesetz setzt die europäische NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) um und schafft damit einen Rechtsrahmen für Informations- und Netzsicherheit.

Hintergrund und Entstehung

Die ursprüngliche NIS-Richtlinie (Network and Information Security) aus dem Jahr 2016 war ein EU-weites Regelwerk zur Stärkung der Cybersicherheit kritischer Dienste. Dieses Regelwerk genügte jedoch nicht mehr den aktuellen Herausforderungen – die Risiken durch Cyberangriffe und Systemausfälle steigen kontinuierlich. Die EU reagierte daher mit der NIS-2-Richtlinie, die den Anwendungsbereich erweitert, strengere Mindestanforderungen an IT-Sicherheit, Governance und Meldepflichten definiert und höhere Sanktionsmöglichkeiten vorsieht.

In Deutschland wurde die Richtlinie nach mehrjähriger Vorbereitung im Bundestag am 13. November 2025 verabschiedet und nach Zustimmung des Bundesrates im Bundesgesetzblatt veröffentlicht. Mit Wirkung zum 6. Dezember 2025 trat das Gesetz ohne Übergangsfristen in Kraft.

Ziel und Bedeutung

Das NIS-2-Umsetzungsgesetz verfolgt das Ziel, ein hohes gemeinsames Niveau der Cybersicherheit zu etablieren und die Widerstandsfähigkeit digitaler Infrastrukturen zu stärken. Es schafft verbindliche Pflichten für Unternehmen und öffentliche Einrichtungen, um Risiken systematisch zu identifizieren, zu steuern und auf Sicherheitsvorfälle angemessen zu reagieren.

Ein zentraler Kern der Umsetzung ist die umfassende Novellierung des BSI-Gesetzes (BSIG n.F.). Dieses wird zur tragenden nationalen Grundlage für die Umsetzung der NIS-2-Pflichten und regelt gleichzeitig Informationssicherheitsmanagement in der Bundesverwaltung. Zudem werden Fachgesetze, wie beispielsweise das Energiewirtschaftsgesetz („EnWG“) oder das Telekommunikationsgesetz („TKG“) angepasst.

Anwendungsbereich und Adressatenkreis

Eines der auffallendsten Merkmale des neuen BSI-Gesetzes ist der deutlich erweiterte Adressatenkreis. Während unter dem bisherigen BSIG vor allem Betreiber kritischer Infrastrukturen reguliert waren, fallen nun auch große Teile der mittelständischen Industrie unter die neuen Vorschriften.

Unternehmen unterfallen dem Anwendungsbereich, wenn ihre Tätigkeit in einen der in Anlage 1 und 2 definierten Sektoren fällt und das Unternehmen mindestens als mittleres Unternehmen gilt. Die Sektoren umfassen eine große Bandbreite an Tätigkeiten, wie etwa Energie, Verkehr, Gesundheit, Finanzdienstleistungen, digitale Infrastruktur, öffentliche Verwaltung. Ein mittleres Unternehmen ist man entsprechend § 28 BSIG n.F., wenn man mindestens 50 Mitarbeiter beschäftigt oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.

Zudem unterscheidet das Gesetz gem. § 28 BSIG n.F. zwischen „wichtigen“ und „besonders wichtigen“ Einrichtungen. Je nach Einstufung gelten unterschiedliche Pflichten und Aufsichtsregime. Je größer das Unternehmen ist und je relevanter der Sektor, in dem Unternehmen tätig ist, ist, desto mehr Pflichten gelten für das Unternehmen.

Wesentliche Rechte und Pflichten im Überblick

Das NIS-2-Umsetzungsgesetz legt für betroffene Einrichtungen eine Reihe von Pflichten fest:

1. Risikomanagement und Sicherheitsmaßnahmen

Verpflichtete Unternehmen müssen entsprechend § 30 BSIG n.F. ein wirksames, dokumentiertes und risikoorientiertes Informationssicherheitsmanagement implementieren, das technische und organisatorische Maßnahmen umfasst. § 30 Abs. 2 S. 2 BSIG n.F. gibt einen Mindestkatalog an Risikomanagementmaßnahmen vor, darunter etwa Risikoanalysen und Sicherheitskonzepte nach dem Stand der Technik, Vorgaben zur Betriebskontinuität und Schwachstellenmanagement.

Die Geschäftsleitung wird bei der Umsetzung und Überwachung dieser Pflichten gem. § 38 BSIG n.F. explizit in die Pflicht genommen: Cybersicherheit ist damit nicht mehr allein eine technische Aufgabe, sondern Management- und Governance-Verantwortung.

2. Meldepflichten

Ein zentrales Element des Gesetzes sind die in § 32 BSIG n.F. normierten, verbindlichen Meldepflichten bei Sicherheitsvorfällen. Erhebliche Vorfälle müssen innerhalb klarer Fristen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Je nach Schweregrad gelten gestufte Fristen (z. B. 24 h, 72 h oder ein Monat).

3. Registrierungspflichten

Betroffene Einrichtungen müssen sich gem. § 33 BSIG n.F. innerhalb von drei Monaten, nachdem sie dem Anwendungsbereich des BSIG n.F. unterfallen, verpflichtend bei einer vom BSI und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsstelle registrieren.

4. Aufsicht und Sanktionen

Das BSI erhält mit dem BSIG n.F. erweiterte Aufsichts- und Prüfungsbefugnisse. Dazu gehören Anordnungen, Prüfungen, Nachweisanforderungen und Bußgeldverfahren. Verstöße gegen die gesetzlichen Pflichten können mit empfindlichen Bußgeldern belegt werden – je nach Schwere und Umfang der Pflichtverletzung auch in Millionenhöhe oder als Prozentsatz des globalen Umsatzes. Bei „besonders wichtigen Einrichtungen“ kann ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes, bei „wichtigen Einrichtungen“ ein Bußgeld bis zu 7 Millionen Euro oder bis zu 1,4 % des weltweiten Jahresumsatzes verhängt werden.

Fazit

Das NIS-2-Umsetzungsgesetz markiert einen grundlegenden Rechts- und Praxiswechsel im deutschen Cybersicherheitsrecht. Es überführt europäische Vorgaben in verbindliches nationales Recht, weitet den Kreis der Adressaten erheblich aus und schafft höhere Anforderungen an Informationssicherheit, Governance und Meldepflichten. Für Unternehmen und öffentliche Einrichtungen bedeutet dies einen spürbaren Anstieg an Compliance-Pflichten – zugleich eröffnet das Gesetz die Chance, Cybersicherheit strukturiert in die Unternehmens- und Verwaltungsprozesse zu integrieren.

  • LinkedIn