Ausgangslage und politischer Kontext zur NIS2-Umsetzung in Deutschland: Die EU-Richtlinie (EU) 2022/2555, bekannt als NIS2, ist seit Ende 2022 geltendes europäisches Recht und soll in allen Mitgliedstaaten ein gleichmäßig hohes Cybersicherheitsniveau garantieren. Deutschland hat ihre Umsetzung trotz klarer Fristen wiederholt verschoben. Ein nun bekannt gewordener Referentenentwurf vom Mai 2025 markiert nun den ernsthaften Versuch, dieses Defizit zu beheben, EU-Vertragsverletzungsverfahren zu vermeiden und die Cybersicherheitsarchitektur des Landes auf ein neues Niveau zu heben.

Inhalte Anzeigen

Verzögerte NIS2-Umsetzung in Deutschland

Die Verzögerung hat Gründe: Die politische Instabilität der vergangenen Jahre, die Komplexität der Abstimmung zwischen Bund, Ländern und Wirtschaft und nicht zuletzt die Debatte über die Eingriffstiefe des Staates in unternehmerische Kernprozesse haben Fortschritte blockiert. Mit dem aktuellen Entwurf gibt die Bundesregierung nun eine klare Richtung vor: Priorität für Resilienz — auch um den Preis einer spürbar verstärkten staatlichen Steuerung und Aufsicht. Der bisherige Anlauf, das NIS2UmsuCG dürfte sich erledigt haben, auch wenn es als Vorlage für den weiteren Anlauf dient.

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)

Grundidee der NIS2-Richtlinie und nationale Anpassung

Die NIS2-Richtlinie folgt einem präventiven Paradigma: Schutz kritischer Infrastrukturen und Dienstleistungen, die für Gesellschaft, Wirtschaft und Staat unverzichtbar sind. Das bedeutet: nicht nur Energie, Wasser, Gesundheit oder Transport sind erfasst, sondern auch digitale Dienste, Cloud-Infrastrukturen, Rechenzentren, Domain-Name-Registry-Betreiber und sogar Plattformen für soziale Netzwerke.

Deutschland erweitert diesen europäischen Rahmen und verankert im BSI-Gesetz (BSIG) zusätzliche nationale Besonderheiten:

Einführung einer differenzierten Einrichtungslogik mit drei Kategorien: Betreiber kritischer Anlagen (strengste Anforderungen), besonders wichtige Einrichtungen und wichtige Einrichtungen.
Integration der Bundesverwaltung in den Anwendungsbereich, einschließlich einer zentralen Rolle des „CISO Bund“ als koordinierende Stelle.
Vollständige gesetzliche Verankerung des IT-Grundschutzes für die Bundesverwaltung als verpflichtender Sicherheitsstandard.

Diese Systematik könnte Unschärfen der ersten Umsetzungsversuche beseitigen und das Kräfteverhältnis zugunsten der staatlichen Sicherheitsarchitektur verschieben: Definitionen, Schwellenwerte und die Einstufung als kritisch erfolgen künftig weitgehend durch Rechtsverordnungen des Bundesinnenministeriums — die Mitsprache der Wirtschaft ist bewusst reduziert worden.

NIS2-Richtlinie

3. Erfasster Kreis und Pflichtenarchitektur

Die Neuregelung dehnt den Anwendungsbereich einerseits erheblich aus. Viele Unternehmen, die bislang keine oder nur sehr lose IT-Sicherheitsvorgaben kannten, fallen nun unter die neuen Verpflichtungen — teils allein durch ihre Größe (Mitarbeiterzahl, Umsatz, Bilanzsumme), teils aufgrund der Art ihrer Dienstleistungen. Achtung: Ein wesentliches Novum in der 2025er-Erstfassung ist die Klarstellung, dass vernachlässigbare Nebentätigkeiten bei der Einstufung unberücksichtigt bleiben, um unverhältnismäßige Bürokratielasten zu vermeiden.

Die Kernpflichten gliedern sich in drei Säulen:

Technische und organisatorische Sicherheitsmaßnahmen: Diese müssen dem Stand der Technik entsprechen, Risikomanagement, Systemhärtung, Zugriffskontrollen und Angriffsdetektion umfassen und nachweisbar implementiert sein.
Verpflichtung zur Registrierung und Nachweisführung: Einrichtungen müssen sich beim BSI registrieren und periodisch belegen, dass sie die geforderten Sicherheitsstandards erfüllen.
Meldepflichten: Sicherheitsvorfälle sind in einem präzise getakteten Dreistufenmodell zu melden: Frühwarnung innerhalb von 24 Stunden, Zwischenbericht mit konsolidierten Informationen und ein Abschlussbericht mit Lessons Learned und getroffenen Maßnahmen.

Besonderes Augenmerk verdient die Rolle der Geschäftsleitung: Sie trägt die Gesamtverantwortung für Planung, Implementierung und Überwachung aller Maßnahmen. Ein Delegieren entbindet nicht von Haftung. Pflichtschulungen sind verpflichtend; Verstöße können zivilrechtliche und bußgeldrechtliche Folgen nach sich ziehen. Damit wird Cybersicherheit rechtlich zu einer Compliance-Kernaufgabe auf Vorstandsebene.

4. Rolle des BSI und institutionelle Neuerungen

Das BSI wird durch den Entwurf noch deutlicher als zentrale Sicherheitsbehörde positioniert. Seine Aufsichtskompetenzen, Prüfungsrechte und Befugnisse zur direkten Öffentlichkeitsinformation werden massiv ausgebaut. In besonders sensiblen Sektoren wie Energie tritt es künftig gemeinsam mit der Bundesnetzagentur auf — ein Modell, das sektorspezifisches Know-how mit Cybersicherheits-Expertise verbindet.

Im Bund selbst wird der IT-Grundschutz auf sämtliche Behörden ausgedehnt, nicht mehr nur auf Ministerien und Kanzleramt. Mit dem „CISO Bund“ entsteht eine neue, strategisch angelegte Leitungsposition, die ressortübergreifend Sicherheitsvorgaben harmonisieren und deren Einhaltung sicherstellen soll. Auch wenn Details zur praktischen Ausgestaltung noch offen sind, signalisiert diese Struktur eine ernsthafte Zentralisierung der staatlichen Cyberabwehr.

5. Wirtschaftliche Implikationen

Die Umsetzung ist finanziell wie organisatorisch herausfordernd. Der Referentenentwurf schätzt allein den zusätzlichen Erfüllungsaufwand für die Wirtschaft auf jährlich über zwei Milliarden Euro, zuzüglich eines einmaligen Aufwands von über zwei Milliarden für Prozessanpassungen und IT-Investitionen. Für die Bundesverwaltung kommen jährlich über 300 Millionen Euro hinzu. Diese Investitionen sind politisch gerechtfertigt mit dem Argument, dass sie Schäden in Milliardenhöhe abwenden können — laut Bitkom lag der durchschnittliche jährliche Schaden durch Cyberangriffe zuletzt bei rund 210 Milliarden Euro.

6. Handlungspflichten für die Unternehmensführung — jetzt

Die Botschaft ist unmissverständlich: Auch wenn die endgültige Verabschiedung noch aussteht, sind Übergangsfristen nicht vorgesehen. Unternehmen müssen daher unverzüglich beginnen, ihre Prozesse, Lieferketten, Systeme und interne Governance an den kommenden Rechtsrahmen anzupassen. Insbesondere:

Ist zu prüfen, ob die eigene Organisation als kritische Anlage, besonders wichtige oder wichtige Einrichtung einzustufen ist.
Müssen Meldeketten, Frühwarnsysteme und interne Reaktionsmechanismen etabliert werden.
Ist die Geschäftsleitung für regelmäßige Fortbildung und dokumentierte Überwachung der Compliance verantwortlich.
Sollte geprüft werden, ob bestehende Sicherheitsmaßnahmen nach internationalen Normen wie ISO/IEC 27001 ausreichen oder angepasst werden müssen.

Rechtsanwalt Ferner zur NIS2-Umsetzung in Deutschland 2025

Mit der neuen NIS2-Umsetzung schafft Deutschland eine belastbare Rechtsgrundlage, die klare Verantwortlichkeiten definiert und damit Management, IT-Abteilungen und Aufsichtsgremien gleichermaßen in die Pflicht nimmt. Wer seine Hausaufgaben jetzt macht, sichert nicht nur die Compliance, sondern auch den Fortbestand seiner Geschäftsmodelle in einer digital verwundbaren Welt.

Zu gewährende Mindestsicherheit

Nach §30 des NIS-2-Umsetzungsgesetzes (Hiermit wird Artikel 21 der NIS2-Richtlinie umgesetzt) müssen betroffene Einrichtungen verschiedene Maßnahmen ergreifen, um Risiken für die Informationssicherheit zu minimieren. Diese Maßnahmen zielen darauf ab, die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Daten und Systeme zu schützen. Die Intensität der zu treffenden Maßnahmen ist nach Anlagentypen gestaffelt.

Zu den Risikomanagementmaßnahmen gehört es zunächst, die möglichen Bedrohungen und Schwachstellen der eigenen IT-Systeme und -Prozesse zu identifizieren. Dies kann durch regelmäßige Sicherheitsüberprüfungen und Schwachstellenanalysen geschehen. Anschließend müssen geeignete Sicherheitsvorkehrungen getroffen werden, um diese Schwachstellen zu beheben und Bedrohungen abzuwehren. Dazu zählen technische Maßnahmen wie die Implementierung von Firewalls, Antivirus-Software und Verschlüsselungstechniken sowie organisatorische Maßnahmen wie Sicherheitsrichtlinien und Schulungen für Mitarbeiter.

Bereich	NIS2-Umsetzung	NIS2-Richtlinie	ISO/IEC 27001
Risikomanagement	§ 30 Absatz 1: Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen.	Artikel 21 Absatz 2, Buchstabe a: Risikoanalyse und Sicherheitsrichtlinien für Informationssysteme und Netzwerke.	Abschnitt 6.1: Maßnahmen zum Umgang mit Risiken und Chancen.
Sicherheitsvorfälle bewältigen	§ 30 Absatz 2 Nr. 2: Maßnahmen zur Bewältigung von Sicherheitsvorfällen.	Artikel 21 Absatz 2, Buchstabe b: Vorkehrungen zur Prävention und Bewältigung von Sicherheitsvorfällen.	Abschnitt 16: Management von Informationssicherheitsvorfällen.
Betriebsfortführung und Krisenmanagement	§ 30 Absatz 2 Nr. 3: Aufrechterhaltung des Betriebs, Backup-Management und Krisenmanagement.	Artikel 21 Absatz 2, Buchstabe c: Kontinuitätspläne und Verfahren für das Krisenmanagement.	Abschnitt 17: Informationssicherheitsaspekte des Geschäftsfortführungsmanagements.
Sicherheit der Lieferkette	§ 30 Absatz 2 Nr. 4: Sicherheitsmaßnahmen für die Lieferkette, einschließlich sicherheitsbezogener Aspekte der Beziehungen.	Artikel 21 Absatz 5: Maßnahmen für die Sicherheit der Lieferkette.	Abschnitt A.15: Lieferantenbeziehungen.
Schulung und Sensibilisierung	§ 38 Absatz 3: Regelmäßige Schulungen für Geschäftsleitungen und alle Beschäftigten sowie § 30 Absatz 2 Nr. 7: Grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik.	Artikel 21 Absatz 2, Buchstabe e: Schulung und Sensibilisierung der Mitarbeiter.	Abschnitt 7.2.2: Bewusstsein, Schulung und Kompetenz.
Technische und organisatorische Maßnahmen	§ 30 Absatz 1: Geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen zu vermeiden.	Artikel 21 Absatz 2: Maßnahmen zur Vermeidung und Begrenzung von Sicherheitsvorfällen.	Abschnitt 6.2: Informationssicherheitsziele und Planung zu deren Erreichung.
Kryptografie und Verschlüsselung	§ 30 Absatz 2 Nr. 8: Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung.	Nicht explizit erwähnt.	Abschnitt A.10: Kryptografische Maßnahmen.
Angriffserkennung	§ 31 Absatz 2: Systeme zur Angriffserkennung einsetzen.	Nicht explizit erwähnt.	Abschnitt A.12: Betriebssicherheit (einschließlich Überwachungsmaßnahmen).
Multifaktor-Authentifizierung	§ 30 Absatz 2 Nr. 10: Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung.	Nicht explizit erwähnt.	Abschnitt A.9: Zugangskontrolle.
Personalsicherheit	§ 30 Absatz 2 Nr. 9: Sicherheit des Personals, Konzepte für die Zugriffskontrolle und für das Management von Anlagen.	Nicht explizit erwähnt.	Abschnitt A.7: Personalsicherheit.

Ein weiterer wichtiger Punkt ist die kontinuierliche Überwachung der IT-Systeme, um ungewöhnliche Aktivitäten frühzeitig zu erkennen und darauf reagieren zu können. Dies umfasst die Einrichtung eines Systems zur Angriffserkennung sowie die Festlegung von Notfallplänen, um im Falle eines Sicherheitsvorfalls schnell und effektiv handeln zu können. Zusätzlich sind die betroffenen Einrichtungen verpflichtet, regelmäßig Berichte über ihre Sicherheitsmaßnahmen und eventuelle Vorfälle an die zuständigen Behörden zu übermitteln. Dadurch wird sichergestellt, dass die Sicherheitsvorkehrungen stets auf dem neuesten Stand sind und bei Bedarf angepasst werden können:

Konzepte zur Risikoanalyse und IT-Sicherheit: Jede Einrichtung muss detaillierte Konzepte entwickeln, die beschreiben, wie Risiken für die IT-Sicherheit identifiziert und analysiert werden. Dies beinhaltet die Bewertung von Bedrohungen und Schwachstellen sowie die Festlegung von Maßnahmen zur Risikominimierung.
Bewältigung von Sicherheitsvorfällen: Es müssen klare Verfahren und Strategien zur Reaktion auf Sicherheitsvorfälle vorhanden sein. Dies umfasst die Erkennung von Vorfällen, die sofortige Reaktion und die Maßnahmen zur Schadensbegrenzung.
Aufrechterhaltung des Betriebs: Einrichtungen müssen sicherstellen, dass ihre Dienste auch im Falle eines IT-Sicherheitsvorfalls weiter betrieben werden können. Dies beinhaltet Maßnahmen wie Backup-Management und Notfallwiederherstellung, um Datenverlust und Ausfallzeiten zu minimieren.
Sicherheit der Lieferkette: Es müssen Maßnahmen getroffen werden, um die Sicherheit der gesamten Lieferkette zu gewährleisten. Dies schließt vertragliche Vereinbarungen mit Zulieferern und Dienstleistern ein, die ebenfalls hohen Sicherheitsstandards entsprechen müssen.
Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung: Bei der Anschaffung, Entwicklung und Wartung von IT-Systemen müssen Sicherheitsaspekte berücksichtigt werden. Dies umfasst auch das Management und die Offenlegung von Schwachstellen, um Sicherheitslücken frühzeitig zu erkennen und zu schließen.
Bewertung der Wirksamkeit von Sicherheitsmaßnahmen: Es müssen regelmäßige Überprüfungen und Bewertungen der bestehenden Sicherheitsmaßnahmen durchgeführt werden, um deren Wirksamkeit sicherzustellen und kontinuierlich zu verbessern.
Grundlegende Cyberhygiene und Schulungen: Grundlegende Verfahren im Bereich der Cyberhygiene, wie zum Beispiel das regelmäßige Aktualisieren von Software (Patchmanagement) und sichere Passwortpraktiken, müssen implementiert werden. Zudem sind Schulungen für Mitarbeiter erforderlich, um das Bewusstsein für IT-Sicherheit zu stärken.
Konzepte und Verfahren für Kryptografie und Verschlüsselung: Der Einsatz von Kryptografie und Verschlüsselung muss geregelt sein, um die Vertraulichkeit und Integrität von Daten zu schützen.
Sicherheit des Personals und Zugangskontrolle: Es müssen Konzepte zur Personalsicherheit und zur Kontrolle des Zugangs zu IT-Systemen und -Anlagen entwickelt werden. Dies umfasst auch Maßnahmen zum Schutz vor Insider-Bedrohungen.
Multi-Faktor-Authentifizierung und gesicherte Kommunikation: Es müssen Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung verwendet werden. Außerdem müssen gesicherte Kommunikationssysteme für Sprache, Video und Text innerhalb der Einrichtung vorhanden sein, um die Sicherheit der internen Kommunikation zu gewährleisten.

7. Ausblick

Die NIS2-Umsetzung wird ein Lackmustest für die Cybersicherheitskultur in Deutschland: Ob der Spagat zwischen unternehmerischer Eigenverantwortung und staatlicher Steuerung gelingt, wird sich daran messen lassen, ob Unternehmen die neuen Anforderungen als bloße Regulierungsbürde oder als Chance zur nachhaltigen Stärkung ihrer Widerstandsfähigkeit begreifen. Fest steht: Cybersicherheit ist endgültig Chefsache — im operativen Alltag wie auf der Ebene strategischer Governance.

Exkurs: Was bedeutet eine verspätete Umsetzung der NIS2-Richtlinie?

Wenn die NIS-2-Richtlinie (EU) 2022/2555 nicht rechtzeitig in nationales deutsches Recht umgesetzt wird, hat dies mehrere rechtliche Konsequenzen. Eine unmittelbare Anwendbarkeit auf Unternehmen steht auch dann ausdürcklich nicht im Raum! Wenn Sie anderes mitunter lesen, liegt dies an einem Missverständnis: Wo eine EU-Richtlinie den Staat bzw. seine Behörden zu etwas verpflichtet, kann dies bei mangelnder Umsetzung durch ein nationales Gesetz gleichwohl Wirkung entfalten. Dies gilt aber nicht für die Wirtschaft und die Bürger.

Im Übrigen gilt: Die Europäische Kommission (EU-Kommission) würde ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland einleiten. Ein solches Verfahren läuft in mehreren Stufen ab:

Vertragsverletzungsverfahren

Mahnschreiben: Die EU-Kommission schickt ein Mahnschreiben an Deutschland, in dem die Kommission auf die Vertragsverletzung hinweist und eine Frist zur Behebung der Mängel setzt.
Mit Gründen versehene Stellungnahme: Falls Deutschland innerhalb der gesetzten Frist nicht handelt, folgt eine mit Gründen versehene Stellungnahme. Diese formale Aufforderung legt detailliert dar, wie die EU-Kommission die Vertragsverletzung sieht und gibt erneut eine Frist zur Behebung.
Klagebeschluss und Klageeinreichung: Wenn Deutschland weiterhin nicht reagiert, kann die EU-Kommission einen Klagebeschluss fassen und den Europäischen Gerichtshof (EuGH) anrufen. Die Kommission kann gleichzeitig beantragen, dass finanzielle Sanktionen gegen Deutschland verhängt werden.

Aber: Die meisten Vertragsverletzungsverfahren werden eingestellt, bevor der EuGH angerufen wird. Im Jahr 2022 wurden europaweit ca. 96 % aller Verfahren vor der Anrufung des Gerichtshofs eingestellt.

Mögliche Sanktionen?

Bei fortgesetzter Nichtumsetzung der Richtlinie kann der EuGH auf Antrag der Kommission finanzielle Sanktionen gegen Deutschland verhängen. Diese Sanktionen können sowohl eine einmalige Geldstrafe als auch Zwangsgelder umfassen, die für jeden Tag der Nichtumsetzung anfallen.

Über
Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist erfahrener Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht mit über einem Jahrzehnt Berufspraxis und widmet sich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

“Duzen” ist keine Beleidigung - 16. Juli 2025
Bedrohungslage von kommerziellen Satelliten - 15. Juli 2025
Influencer im Visier der Steuerfahndung - 15. Juli 2025