Umsetzung zur NIS2-Richtlinie in Deutschland verabschiedet
Der Bundestag hat am 13. November 2025 mit über einem Jahr Verspätung den Gesetzentwurf der Bundesregierung zur Umsetzung der NIS2-Richtlinie beschlossen. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (kurz NIS2UmsuCG) verpflichtet Unternehmen, technische und organisatorische Maßnahmen auf den neuesten Stand der Technik zu bringen. Unternehmen müssen sicherstellen, dass Standards der Informationssicherheit eingehalten werden. Hier besteht aus unserer Erfahrung zum Teil erheblicher Handlungsbedarf.
Die NIS2-Richtlinie stellt eine Weiterentwicklung der ursprünglichen NIS-Richtlinie von 2016 dar. Sie zielt darauf ab, die Standards für Informationssicherheit in der EU zu erhöhen und erweitert dabei den Geltungsbereich auf eine größere Anzahl von Unternehmen.
Erhöhte Anforderungen an das Risikomanagement
Das NIS2UmsuCG bringt erweiterte Anforderungen mit sich, insbesondere im Bereich des Risikomanagements. Es ist unerlässlich, dass Ihr Unternehmen die Sicherheit der Lieferkette überprüft und Mitarbeitende im Bereich der Informationssicherheit schult. Diese Maßnahmen sind nicht nur gesetzliche Vorgaben, sondern auch essenziell, um die Unternehmenssicherheit zu gewährleisten.
Erweiterter Geltungsbereich und Unsicherheiten
Die Richtlinie erweitert ihren Geltungsbereich auf mehr Unternehmen und fordert technische sowie organisatorische Sicherheitsmaßnahmen auf dem neuesten Stand der Technik. Es besteht jedoch Unsicherheit darüber, welche Unternehmen genau betroffen sind. Faktoren wie Mitarbeiterzahl, Umsatz und Geschäftstätigkeit spielen hier eine Rolle. Hier gibt es bereits verschiedene Hilfsmittel zur Betroffenheitsanalyse so beispielswiese auf vom Bundesamt für Sicherheit in der Informationstechnik (BSI).
Registrierungspflicht und Meldepflichten beim BSI
Ein weiterer wichtiger Aspekt ist die Pflicht zur Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Unternehmen müssen eine Kontaktstelle benennen, um den Kommunikationsfluss sicherzustellen und gesetzliche Anforderungen zu erfüllen.
Die bislang einstufige Meldepflicht bei Sicherheitsvorfällen wird durch ein dreistufiges Melderegime ersetzt. Das Instrumentarium des BSI wird im Hinblick auf Aufsichtsmaßnahmen erweitert.
Weitere Anforderungen
Dazu zählen unter anderem folgende Aspekte:
- Registrierungspflicht
- Risikomanagement und Sicherheit der Informationssysteme
- Krisen- und Schwachstellenmanagement
- Schnellere Meldung von Datenpannen (z.T. nur 24 Stunden)
- Sicherheit in der Lieferkette
- Unterrichtungspflichten gegenüber Kunden
- Cyberhygiene und Schulungen im Bereich Cybersicherheit
- regelmäßige Schulungen der Geschäftsleitung im Risikomanagement
- Implementierung von Systemen zur Angriffserkennung (für KRITIS-Betreiber)
- u.s.w.
Ist-Analyse als Erfolgsfaktor
Eine Ist-Analyse ist entscheidend, um potenzielle Sicherheitslücken zu identifizieren. Dies ermöglicht es Ihnen, gezielte Maßnahmen zur Verbesserung der Informationssicherheit zu ergreifen und Ihr Unternehmen zukunftssicher aufzustellen, sowie die regulatorischen Anforderungen zu erfüllen.
CIOs sollten ihr Unternehmen auf diese Änderungen vorzubereiten. Indem Sie proaktive Schritte unternehmen und die neuen Anforderungen strategisch integrieren, sichern Sie nicht nur die Compliance, sondern stärken auch die gesamte Sicherheitsarchitektur Ihres Unternehmens.
Fazit zum NIS2UmsuCG
Mit dem neuen Gesetz wird der gesetzliche Rahmen für Cybersicherheit in Europa erheblich erweitert. Betroffene Unternehmen sollten mit einer Ist-Analyse starten, um bestehende Sicherheitsmaßnahmen zu überprüfen und gegebenenfalls Lücken zu schließen.
