108806     Do. 20. Nov. 2025 15:34:39 | 2 h 02:30 | 612 W11 | 1 | 11 1 | 9%49 m
Sicherheit  

NIS2-Umsetzungs-Gesetz verabschiedet

Gerne auch wieder als hören!

✅ Was ist passiert

Die Richtlinie ist auf EU-Ebene am 16. Januar 2023 in Kraft getreten. Deutschland hatte die Umsetzungsfrist bis zum 17. Oktober 2024, diese Frist wurde jedoch nicht eingehalten. Der Kabinettsentwurf des BMI („Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie …“) wurde veröffentlicht und durch das Bundeskabinett beschlossen (am 30. Juli 2025). Der Bundestag hat das Gesetz laut mehreren Quellen am 13. November 2025 beschlossen. Openkritis Zusammenfassung und Artikel der Bundesregierung

⚠️ Was heißt das in der Praxis & was kommt noch

Mit dem Beschluss des Gesetzes wird der rechtliche Rahmen in Deutschland gelegt, mit dem die Richtlinie in nationales Recht überführt wird. OpenKritis Artikel dazu. Das Gesetz sieht unter anderem vor:

  • Erweiterten Anwendungsbereich: Neben klassischen KRITIS-Betreibern sollen künftig „wichtige“ und „besonders wichtige“ Einrichtungen erfasst werden.
  • Neue Meldepflichten bei Sicherheitsvorfällen (z. B. dreistufiges Melderegime: Erstmeldung innerhalb 24 Std., Zwischenbericht, Abschlussbericht)
  • Verstärkte Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere Behörden – z. B. Prüfungen, Mitteilungs- und Kontrollrechte.
  • Neue Pflichten für Unternehmen: Risikomanagement, organisatorische & technische Maßnahmen, Berücksichtigung von Lieferketten und Dienstleistern.

Der genaue Zeitpunkt des Inkrafttretens steht noch aus. Es wird davon ausgegangen, dass das Gesetz Ende 2025 oder Anfang 2026 wirksam wird.

voraussichtliches Inkrafttreten NIS2UmsuCG  
Wird geladen...
bis Do. 01. Jan. 2026      

📌 Anwendungsbereich – deutlich erweitert

Bisher (IT-SiG 2.0):

  • Fokus auf KRITIS-Betreiber und einige digitale Dienste.
  • Sektorspezifische Schwellenwerte.

Neu (NIS2UmsuCG):

  • Zwei neue Kategorien:
    • Besonders wichtige Einrichtungen (Essential Entities, EE)
    • Wichtige Einrichtungen (Important Entities, IE)
  • Unternehmensgröße wird zu einem zentralen Kriterium (250+ MA oder hoher Umsatz).
  • Viel mehr Branchen und auch Zulieferer indirekt betroffen.

Auswirkung:
Eine große Zahl bisher nicht regulierter Unternehmen fällt ab sofort unter verbindliche Sicherheitsanforderungen.

📌 Sicherheitsanforderungen – viel konkreter und umfangreicher

Bisher:

  • „Stand der Technik“ ohne starke Konkretisierung.
  • Weniger klare Vorgaben für Risikomanagement.

Neu:
Klare Anforderungen, u. a.:

  • Strukturiertes Risikomanagement inkl. Lieferkette
  • Incident Response mit klar definierten Abläufen
  • Business Continuity und Disaster Recovery
  • Zero-Trust-Elemente
  • Sichere Entwicklung und Patch-Management
  • Verbindliche MFA / starke Authentifizierung
  • Dokumentierte Tech- und Orga-Maßnahmen

Auswirkung:
Mehr prüfbare und verbindliche Kriterien – vergleichbar mit ISO 27001, aber bindender.

📌 Neues Melderegime für Sicherheitsvorfälle

Bisher:

  • Meldung innerhalb 24 Stunden, wenig sanktioniert.

Neu – dreistufig:

  1. Erstmeldung innerhalb 24 Stunden
  2. Zwischenbericht nach 72 Stunden
  3. Abschlussbericht innerhalb eines Monats

Auswirkung:
Unternehmen brauchen klar definierte Meldeprozesse, Tools und Verantwortlichkeiten.

📌 4. Management-Verantwortung und Haftung

Bisher:

  • Verantwortlichkeit eher indirekt.

Neu:

  • Geschäftsführung haftet persönlich bei fahrlässiger Pflichtverletzung.
  • Pflicht zu Management-Schulungen im Bereich Cybersicherheit.
  • Behörden können Maßnahmen gegen die Unternehmensleitung richten.

Auswirkung:
Security muss auf Vorstandsebene aktiv geführt und dokumentiert werden.

📌 Deutlich höhere Bußgelder

Bisher:

  • Maximal 2 Mio. €.

Neu:

  • Besonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % Umsatz
  • Wichtige Einrichtungen: bis zu 7 Mio. € oder 1,4 % Umsatz

Auswirkung:
Bußgeldniveau vergleichbar mit DSGVO – deutlich höheres Risiko.

📌 Ausgeweitete Befugnisse des BSI

Bisher:

  • Beratung, Anordnungen, Mindeststandards.

Neu:

  • Anlasslose Prüfungen möglich
  • Verbindliche technische Anordnungen
  • Eingriffsbefugnisse bis in die Lieferkette
  • Pflicht, dass Unternehmen mitwirken und Daten liefern

Auswirkung:
Unternehmen müssen jederzeit prüf- und nachweissicher sein.

📌 7. Lieferketten- / Dienstleisterpflichten

Bisher:

  • Kaum konkrete gesetzliche Vorgaben.

Neu:

  • Risikobewertung von Dienstleistern verpflichtend
  • Verbindliche Security-Vorgaben in Verträgen
  • Fokus auf Cloud, MSP, Softwarelieferanten
  • Nachweis „angemessener Sicherheit“ in der Kette

Auswirkung:
Vendor-Management und TPRM werden zentrale Pflichtaufgaben.

📌 Governance und organisatorische Vorgaben

Neu eingeführt / konkretisiert:

  • Verbindliche Sicherheitsstrategien
  • Klare Rollen & Verantwortlichkeiten
  • Audit- und Reportingpflichten
  • Regelmäßige Schulungen
  • Dokumentationspflichten für alle Maßnahmen

Auswirkung:
Organisatorische Sicherheit wird so wichtig wie technische Sicherheit.

📌 Fazit

NIS2UmsuCG verschärft und erweitert die Vorgaben des IT-SiG 2.0 erheblich:

  • Mehr betroffene Unternehmen
  • Konkretere Sicherheitsanforderungen
  • Strengere Meldepflichten
  • Persönliche Managementhaftung
  • Höhere Bußgelder
  • Deutliche Stärkung der Behördenrechte
  • Verpflichtende Einbindung der Lieferkette

Für Systemkoordinierende und IT Fachpersonal in Unternehmen bedeutet das: Die Anforderungen steigen erheblich – organisatorisch, technisch und dokumentarisch.

Details zu den Sound-Dateien
podcast-nis2gesetz-kommt
NIS2 Gesetz verabschiedet Sysko Podcaster Podcasts 960 2025 Podcast 6:41 Der Podcast ist über IT-Themen und Apps V8 b32 joint stereo 0.0561403548906 401 podcast-nis2gesetz-kommt.mp3 3,8M   Do. 20. Nov. 2025 14:34 vor 2 Stunden
Zusammenfassung
  1. Lieferkette Incident Response mit klar definierten Abläufen Business Continuity und Disaster Recovery Zero-Trust-Elemente Sichere Entwicklung und Patch-Management Verbindliche MFA / starke Authentifizierung Dokumentierte Tech- und Orga-Maßnahmen Auswirkung:Mehr prüfbare und verbindliche Kriterien – vergleichbar mit ISO 27001, aber bindender.
  2. Openkritis Zusammenfassung und Artikel der Bundesregierung ⚠️ Was heißt das in der Praxis & was kommt noch Mit dem Beschluss des Gesetzes wird der rechtliche Rahmen in Deutschland gelegt, mit dem die Richtlinie in nationales Recht überführt wird.
  3. 0 erheblich: Mehr betroffene Unternehmen Konkretere Sicherheitsanforderungen Strengere Meldepflichten Persönliche Managementhaftung Höhere Bußgelder Deutliche Stärkung der Behördenrechte Verpflichtende Einbindung der Lieferkette Für Systemkoordinierende und IT Fachpersonal in Unternehmen bedeutet das: Die Anforderungen steigen erheblich – organisatorisch, technisch und dokumentarisch.
Verwandte Beiträge
Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor mit mehr als 35 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert