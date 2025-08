Die Bundesregierung hat endlich geliefert: Der Kabinettsbeschluss zur Umsetzung der NIS2-Richtlinie ist verabschiedet worden.

Ulrich Plate, Leiter der Kompetenzgruppe KRITIS bei eco – Verband der Internetwirtschaft e.V., begrüßt diesen Schritt:

»Damit kehrt das Thema Cybersicherheit endlich auf die politische Bühne zurück – überfällig angesichts der sicherheitspolitischen Lage. Die EU-Richtlinie verlangt nicht weniger als eine strukturelle Modernisierung der Sicherheitsarchitektur kritischer Infrastrukturen.«

Doch der Kabinettsbeschluss sei nur der Auftakt, so Plate: »Die eigentliche Arbeit beginnt erst jetzt, im parlamentarischen Verfahren. Dort wird sich zeigen, ob die Bundesregierung wirklich bereit ist, bei Ausnahmen, Zuständigkeiten und Übergangsfristen für Klarheit zu sorgen. Denn auch nach der jüngsten Überarbeitung bleiben zentrale Fragen offen. So etwa bei den geplanten Ausnahmen für Unternehmen mit vermeintlich »vernachlässigbarer« kritischer Tätigkeit. Was politisch pragmatisch klingt, ist europarechtlich heikel. Sollte diese Regelung vor dem EuGH scheitern, drohen Vertragsverletzungsverfahren und ein Rückfall in die Unsicherheit, die NIS2 eigentlich beenden sollte.«

Harmonisierung oder europäischer Flickenteppich?

Die europäische Dimension verdiene mehr Aufmerksamkeit, mahnt Ulrich Plate. Während Deutschland noch abstimme, schafften andere Mitgliedstaaten bereits nationale Fakten; allerdings nicht immer im Geiste der Harmonisierung. So setze etwa Italien auf eigene Interpretationen, was das Risiko eines regulatorischen Flickenteppichs erhöhe. »Deutschland täte gut daran, hier nicht ebenfalls zum Alleingang anzusetzen«, sagt der KRITIS-Experte.

»Immerhin: Die Umsetzungsbasis nimmt Gestalt an. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitet sich organisatorisch auf seine Aufgaben vor – unter anderem mit einem geplanten Melde- und Registrierungsportal, über das Unternehmen künftig ihre Betroffenheit anzeigen und Sicherheitsvorfälle melden sollen. Für Unternehmen bedeutet das: Jetzt ist der richtige Zeitpunkt, um aktiv zu werden. Dazu gehört nicht nur die Überprüfung bestehender Sicherheitsarchitekturen, sondern vor allem auch die Schärfung interner Risikoanalysen, die eine der zentralen Anforderungen von NIS 2 darstellt. Wer frühzeitig für Klarheit sorgt, stärkt nicht nur die eigene Compliance, sondern auch die betriebliche Resilienz«, so Ulrich Plate.

NIS2 führt zu höherer Cybersicherheit in der deutschen Wirtschaft

Ausnahmeregelungen schärfen oder streichen. Unternehmen sollten klare Vorgaben haben, wie Nachweise für die Umsetzung zu erbringen sind.

Das Bundeskabinett hat das nationale Umsetzungsgesetz der europäischen NIS2-Richtlinie beschlossen. Dazu sagt Marc Fliehe, Fachbereichsleiter Digitalisierung und Bildung beim TÜV-Verband:

»Deutschland ist Ziel hybrider Angriffe und Cyberattacken auf Unternehmen, kritische Infrastrukturen und politische Institutionen gehören zur Tagesordnung. Die Umsetzung der NIS2-Richtlinie in nationales Recht ist ein wichtiger Schritt, um die Cybersicherheit in der deutschen Wirtschaft zu verbessern. Das Gesetz ist längst überfällig und muss angesichts der Bedrohungslage im Cyberraum zügig beschlossen werden. Mit dem aktuellen Entwurf liegt eine solide Grundlage vor – jetzt braucht es den politischen Willen, offene Punkte im parlamentarischen Verfahren konstruktiv und schnell zu klären.«

Aus Sicht des TÜV-Verbands ist es nun Aufgabe des Bundestags, den Gesetzesentwurf an entscheidenden Stellen zu schärfen, um die Wirksamkeit in der Praxis zu erhöhen. Besonders relevant sind dabei folgende Punkte:

Ausnahmeregelungen klar definieren oder streichen

Aus Sicht des TÜV-Verbands wirft die neu eingeführte Ausnahme für »vernachlässigbare« Geschäftstätigkeiten erhebliche Fragen auf. Der Begriff ist unbestimmt und wird im Gesetz nicht näher definiert. Es bleibt unklar, nach welchen Kriterien eine Tätigkeit als vernachlässigbar gelten soll. »Ohne präzise Vorgaben besteht die Gefahr uneinheitlicher Auslegung und einer Rechtsunsicherheit für Unternehmen«, sagt Fliehe. Zudem könnte diese nationale Sonderregelung zu einem faktischen Ausschluss regulierungspflichtiger Tätigkeiten führen, die laut NIS2-Richtlinie eigentlich erfasst sein sollten. Der TÜV-Verband sieht daher die Gefahr, dass der deutsche Gesetzgeber mit dieser Öffnungsklausel vom europäischen Harmonisierungsziel abweicht und fordert eine eindeutige und EU-rechtskonforme Ausgestaltung dieser Ausnahme.

Nachweispflichten überarbeiten

In der NIS2-Richtlinie ist eine regelmäßige Nachweispflicht für »besonders wichtige Einrichtungen« vorgesehen, die aus Sicht des TÜV-Verbands im deutschen Gesetz nicht ausreichend umgesetzt ist. »In der Praxis läuft es auf stichprobenartige Einzelfallprüfungen hinaus, was nicht der Intention der Richtlinie entspricht und sicherheitstechnisch bedenklich ist«, sagt Fliehe. »Die Behörden müssen die Umsetzung der Sicherheitsmaßnahmen überprüfen und durchsetzen können.«

In diesem Zusammenhang sieht der TÜV-Verband auch die Verlängerung der Nachweisfristen für die Betreiber kritischer Infrastrukturen von zwei auf drei Jahre sehr negativ. Fliehe: »Die Betreiber kritischer Infrastrukturen sind regelmäßig gezielten Cyberangriffen ausgesetzt. Eine Verlängerung des Nachweiszyklus ist vor diesem Hintergrund mehr als kontraproduktiv.«

Vertrauen schaffen durch unabhängige Zertifizierungen

Nur bei Einbindung unabhängiger Dritter ist aus Sicht des TÜV-Verbands sichergestellt, dass das notwendige Vertrauen in die Umsetzung von Cybersicherheitsanforderungen geschaffen werden kann. Deshalb regt der TÜV-Verband an, Zertifizierungen durch akkreditierte und unabhängige Konformitätsbewertungsstellen verbindlich in dem Prozess der Nachweiserbringung (§ 39 BSIG-E) durch die Hersteller vorzusehen.

Absicherung der Lieferketten ausformulieren

Mit Blick auf die weitgefassten Formulierungen zur Absicherung der Lieferkette ist es erforderlich, den Unternehmen eine Handreichung und Orientierungshilfe zur Gestaltungstiefe der Maßnahmen zur Absicherung der Lieferkette an die Hand zu geben. In diesem Sinne ist beispielsweise die Forderung »Security by Design« recht vage und bedarf weiterer Detaillierungen. Eine Orientierungshilfe kann sowohl Mindestmaßnahmen aufzeigen als auch Interpretations- und Auslegungsspielräume reduzieren und leistet somit einen Beitrag zur Erhöhung der Klarheit und Handlungssicherheit der Verpflichteten.

Hintergrund

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) gilt für rund 30.000 Unternehmen in Deutschland. Es verpflichtet die Unternehmen unter anderem zur Durchführung und Einführung von Risikoanalysen und Sicherheitskonzepten, Maßnahmen zur Vorbeugung und Reaktion auf IT-Sicherheitsvorfälle, Zugangskontrollen, Verschlüsselung, Multi-Faktor-Authentifizierung, Mitarbeiterschulungen, Notfallplänen sowie Maßnahmen für die Absicherung der Lieferkette. Diese Anforderungen müssen »dem Stand der Technik« entsprechen und unterscheiden sich je nach Größe, Branche und Kritikalität des Unternehmens.

IT-Sicherheitsrecht: NIS2-Regierungsentwurf ist ein großer Schritt auf dem Weg zur Cybernation

Mit dem Regierungsentwurf des Gesetzes zur Umsetzung der NIS2-Richtlinie wird das deutsche IT-Sicherheitsrecht umfassend modernisiert und der angespannten Bedrohungslage im Cyberraum Rechnung getragen. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) fällt dabei eine Schlüsselrolle zu.

Der Gesetzesentwurf sieht unter anderem vor, das BSI-Gesetz (BSIG) zu novellieren und den Kreis der regulierten Organisationen um die Kategorien »wichtige Einrichtungen« und »besonders wichtige Einrichtungen« zu erweitern. Bislang waren ca. 4.500 Einrichtungen vom BSIG erfasst: Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Mit der Erweiterung wird das BSI künftig rund 29.500 Einrichtungen beaufsichtigen, für die neue gesetzliche Pflichten in der IT-Sicherheit greifen.

So müssen sich besonders wichtige und wichtige Einrichtungen etwa registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Risikomanagement-Maßnahmen implementieren. Dazu zählen unter anderem Risikoanalysen, Konzepte zur Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Schulungen und Sensibilisierungsmaßnahmen, Multi-Faktor-Authentifizierung und sichere Kommunikation. Zudem macht die NIS2-Richtlinie Cybersicherheit zur Chefinnen- und Chefsache: Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen.

Von Einrichtungen der Bundesverwaltung verlangt der Gesetzesentwurf, Mindestanforderungen der Informationssicherheit zu erfüllen, die sich u.a. aus dem IT-Grundschutz-Kompendium des BSI und Mindeststandards für die Sicherheit in der Informationstechnik des Bundes ergeben.

BSI-Präsidentin Claudia Plattner: »Mit dem heutigen Regierungsentwurf geht Deutschland einen wichtigen Schritt in Richtung einer resilienten Cybernation. Um Wohlstand und Stabilität weiterhin sichern zu können, müssen Wirtschaft und Staat sich besser gegen Cybergefahren wappnen. Die Wirtschaft braucht dabei Planungssicherheit: Unternehmen müssen schnell und rechtssicher feststellen können, ob sie von der NIS2-Richtline betroffen sind. Das BSI unterstützt sie dabei mit Beratungsangeboten schon heute und wird die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten. Für den Cyberschutz des Staates ist der Regierungsentwurf ebenfalls ein wichtiger Meilenstein: Dass Einrichtungen der Bundesverwaltung BSI-Standards wie den IT-Grundschutz umsetzen, ist dafür wesentliche Voraussetzung. Der stetig wachsenden Bedrohungslage im Cyberraum muss besonders in der Bundesverwaltung zudem eine wirkungsvolle Antwort in Form einer robusten IT-Governance-Struktur entgegengesetzt werden. Diese Struktur sollte sich über alle Ressorts, Behörden und Institutionen der Bundesverwaltung erstrecken und dem Ziel dienen, IT-Sicherheit gemeinsam zu organisieren und kontinuierlich zu verbessern.«

Um Einrichtungen zu informieren, die potenziell von neuen gesetzlichen Pflichten betroffen sind, erstellt das BSI fortlaufend Unterstützungsangebote und umfangreiche Informationen – einschließlich einer auf der BSI-Webseite unter www.bsi.bund.de/dok/nis-2 veröffentlichten interaktiven NIS2-Betroffenheitsprüfung.

457 Artikel zu „NIS2“

News | IT-Security | Services | Strategien Das Potenzial von NIS2 erkennen Wie Unternehmen NIS2-Compliance gezielt umsetzen und Cybersecurity als strategischen Vorteil nutzen können. Während die Umsetzung der EU-Richtlinie NIS2 in Deutschland voraussichtlich bis Mai 2025 auf sich warten lässt, steigt das Risiko durch Cyberangriffe weiter – mit potenziellen Folgen wie Produktionsausfällen und hohen Wiederherstellungskosten. Dennoch wird Cybersicherheit in vielen Unternehmen oft als Kostenfaktor betrachtet und… Weiterlesen →

News | IT-Security | Tipps NIS2-Umsetzung gescheitert: Cybersicherheit als Business-Enabler Die Umsetzung der NIS2-Richtlinie in Deutschland ist vorerst gescheitert – und Cyberkriminelle aus aller Welt jubeln. Während andere EU-Länder längst klare Vorgaben geschaffen haben, bleibt Deutschland in der Ungewissheit stecken. Der Preis dafür ist hoch: Teile unserer kritischen Infrastrukturen und Unternehmen bleiben ungeschützt, während Hacker sich über die anhaltenden Sicherheitslücken freuen. Unternehmen, die gehofft hatten,… Weiterlesen →

News | IT-Security | Kommentar NIS2-Compliance: Cybersicherheit braucht eine proaktive Vorgehensweise Für zahlreiche deutsche Unternehmen war das Jahr 2024 war im Hinblick auf ihre Cybersicherheit herausfordernd: laut des Berichts des Bundesamtes für Sicherheit in der Informationstechnik (BSI) haben die Aggressivität sowie die Raffiniertheit, mit der Cyberkriminellen vorgehen, erheblich zugenommen [1]. So sind die Häufigkeit und Komplexität von Ransomware-Angriffen stark gestiegen. Um angesichts dieser Bedrohungen das Gesamtniveau… Weiterlesen →

News | IT-Security | Kommentar | Kommunikation NIS2 und E-Mail-Verschlüsselung In einer zunehmend vernetzten Welt, in der digitale Kommunikation eine zentrale Rolle spielt, ist der Schutz sensibler Informationen von höchster Bedeutung. Die NIS2-Richtlinie (EU-Richtlinie zur Netzwerk- und Informationssicherheit) ist am 27.12.2022 im Amtsblatt der Europäischen Union veröffentlicht worden und muss von Mitgliedsstaaten bis zum 17.10.2024 in nationales Recht umgesetzt werden [1]. Kommentar von Stephan… Weiterlesen →

News | IT-Security | Tipps KMU: Diese Fehleinschätzungen kursieren rund um NIS2 Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt – und verunsichert. Das Risiko, Opfer einer Cyberattacke zu werden, ist derzeit höher denn je – und Unternehmen sind dafür… Weiterlesen →

News | IT-Security NIS2 Compliance vereinfachen – mit SASE Die Frist für die neue Richtlinie 2022/0383 über Netz- und Informationssysteme, besser bekannt als »NIS2«, rückt unaufhaltsam näher. Unternehmen stehen nun vor der Herausforderung, die geeignete Technologie zu implementieren, um den Anforderungen gerecht zu werden. Das wachsende Interesse der Branche an Sicherheitsplattformen wird eine entscheidende Rolle dabei spielen, die Einhaltung der NIS2-Vorgaben zu erleichtern. Organisationen… Weiterlesen →

News | IT-Security | Services | Tipps Die Hausordnung für IT-Systeme: NIS2 NIS2 sorgt in vielen Köpfen für Unsicherheit. Dabei lässt sie sich gut mit der Hausordnung, wie sie in Mehrfamilienhäusern oder Firmengebäuden existiert, vergleichen: Die europaweite Direktive ist das Regelwerk (Hausordnung), deren Einhaltung Dienstleister (analog zum Hausmeister) für Unternehmen (quasi die Bewohner) sicherstellen. Doch was ist neu an NIS2? Welche Maßnahmen müssen Firmen implementieren? Die nachfolgende… Weiterlesen →

News | IT-Security | Tipps NIS2: In 5 Schritten zu mehr OT-Cybersicherheit Die Digitalisierung der Industrie hat kritische Infrastrukturen zu einem beliebten Ziel von Cyberangriffen gemacht. Die potenziell verheerenden Schäden für Unternehmen als auch für die Gesellschaft machen das Thema Cybersicherheit für Gesetzgeber immer relevanter. Die NIS2-Richtlinie greift dieses Problem auf, indem sie rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheit in der EU vorsieht, wobei der Schwerpunkt… Weiterlesen →

News | IT-Security | Strategien | Tipps Sich effektiv auf die NIS2-Richtlinie vorbereiten Wie Prozessmonitoring Organisationen und Unternehmen unterstützt bei dynamischen Risikomanagement und zeitnahem Geschäftsprozess-Reporting. Um ein höheres Maß an Cybersicherheit für Netz- und Informationssysteme in Organisationen zu erreichen, erließ das Europäische Parlament im Juli 2016 die Richtlinie über Netz- und Informationssysteme (NIS). Sie schuf einen Rahmen für Cybersicherheitskapazitäten in allen Mitgliedstaaten und baute wichtige Sicherheitsvorkehrungen in… Weiterlesen →

News | IT-Security NIS2-Richtlinie stärkt europäische Cybersicherheit – was das für Unternehmen bedeutet Die überarbeitete NIS2-Richtlinie zur Netz- und Informationssicherheit weitet den Kreis der betroffenen Unternehmen deutlich aus und bezieht auch Zulieferer und Dienstleister für kritische Sektoren mit ein. Bei Nichteinhaltung sind nicht nur die Cybersicherheit des eigenen Unternehmens und die Reputation bei Partnern und Kunden in Gefahr – es drohen auch empfindliche Geldbußen. Die digitale Transformation… Weiterlesen →

News | IT-Security | Tipps Endpoint-Security: Cyberresilienz als strategischer Imperativ Unternehmen sind nur so stark wie ihr schwächster Endpunkt: Der 4-Punkte-Plan für effektive Endpoint-Security. Unternehmen sehen sich einem unerbittlichen Ansturm von Cyberbedrohungen ausgesetzt. Sie erleben Angriffe auf breiter Front – von Servern über Cloud-Dienste bis hin zu APIs und Endgeräten. Das Arsenal der Cyberkriminellen ist mit hochentwickeltem Phishing und KI-gestützten Exploits bestens ausgestattet. Für… Weiterlesen →

News | IT-Security | Tipps Sommerloch oder Hochsaison für Cyberkriminelle? Genauso wie Fenster und Türen vor der Fahrt in den Urlaub penibel abgeschlossen werden, sollten auch Einfallstore ins Unternehmen gesichert sein. In den Sommermonaten genießen viele von uns eine wohlverdiente Auszeit vom Alltagsstress, doch Cyberkriminelle machen keine Pause. Im Gegenteil, die Urlaubszeit ist besonders attraktiv, da Unternehmen in dieser Zeit besonders angreifbar sind. Ähnlich… Weiterlesen →

News | IT-Security | Strategien SECUINFRA wird AG: Aktiengesellschaft als Grundlage für globale Expansion Die SECUINFRA GmbH geht den nächsten Schritt auf ihrem Wachstumspfad und firmiert künftig unter dem Dach der neu gegründeten SECUINFRA Cyber Defense AG. Die Holdinggesellschaft mit einem Gründungskapital von 1.500.000 Euro bildet das strategische Fundament für die internationale Expansion des Berliner Unternehmens, das seit 2010 auf die Erkennung, Analyse und Abwehr von Cyberangriffen spezialisiert ist.… Weiterlesen →