BEGIN:VCALENDAR
VERSION:2.0
METHOD:PUBLISH
PRODID:- Tech-Nachrichten //NONSGML Events //EN
CALSCALE:GREGORIAN
X-WR-CALNAME:ICAL-BLOG
BEGIN:VEVENT
UID:54bd9c6e-7b8b-49fa-afff-7aa56f5372f2
DTSTAMP:20260415T094237Z
CREATED:20260415T094237Z
SUMMARY:NIS2-Umsetzungs-Gesetz verabschiedet
DESCRIPTION:https://tech-nachrichten.de/nis2-umsetzungs-gesetz-verabschiedet/ - Artikel vom: Do.\, 20. November 2025\, 15:34:39 - Gerne auch wieder als #Podcast hören!\n \n✅ Was ist passiert\n \nDie #NIS2 Richtlinie ist auf EU-Ebene am 16. Januar 2023 in Kraft getreten. Deutschland hatte die Umsetzungsfrist bis zum 17. Oktober 2024\, diese Frist wurde jedoch nicht eingehalten. Der Kabinettsentwurf des BMI („Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie …“) wurde veröffentlicht und durch das Bundeskabinett beschlossen (am 30. Juli 2025). Der Bundestag hat das Gesetz laut mehreren Quellen am 13. November 2025 beschlossen. Openkritis Zusammenfassung und Artikel der Bundesregierung\n \n⚠️ Was heißt das in der Praxis & was kommt noch\n \nMit dem Beschluss des Gesetzes wird der rechtliche Rahmen in Deutschland gelegt\, mit dem die Richtlinie in nationales Recht überführt wird. OpenKritis Artikel dazu. Das Gesetz sieht unter anderem vor:\n \n\nErweiterten Anwendungsbereich: Neben klassischen KRITIS-Betreibern sollen künftig „wichtige“ und „besonders wichtige“ Einrichtungen erfasst werden.\n \nNeue Meldepflichten bei Sicherheitsvorfällen (z. B. dreistufiges Melderegime: Erstmeldung innerhalb 24 Std.\, Zwischenbericht\, Abschlussbericht)\n \nVerstärkte Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere Behörden – z. B. Prüfungen\, Mitteilungs- und Kontrollrechte.\n \nNeue Pflichten für Unternehmen: Risikomanagement\, organisatorische & technische Maßnahmen\, Berücksichtigung von Lieferketten und Dienstleistern.\n\n \nDer genaue Zeitpunkt des Inkrafttretens steht noch aus. Es wird davon ausgegangen\, dass das Gesetz Ende 2025 oder Anfang 2026 wirksam wird.\n \n[time_until date="01.01.2026" label="voraussichtliches Inkrafttreten NIS2UmsuCG"]\n \n📌 Anwendungsbereich – deutlich erweitert\n \nBisher (IT-SiG 2.0):\n \n\nFokus auf KRITIS-Betreiber und einige digitale Dienste.\n \nSektorspezifische Schwellenwerte.\n\n \nNeu (NIS2UmsuCG):\n \n\nZwei neue Kategorien:\n\nBesonders wichtige Einrichtungen (Essential Entities\, EE)\n \nWichtige Einrichtungen (Important Entities\, IE)\n\n\n \nUnternehmensgröße wird zu einem zentralen Kriterium (250+ MA oder hoher Umsatz).\n \nViel mehr Branchen und auch Zulieferer indirekt betroffen.\n\n \nAuswirkung:Eine große Zahl bisher nicht regulierter Unternehmen fällt ab sofort unter verbindliche Sicherheitsanforderungen.\n \n📌 Sicherheitsanforderungen – viel konkreter und umfangreicher\n \nBisher:\n \n\n„Stand der Technik“ ohne starke Konkretisierung.\n \nWeniger klare Vorgaben für Risikomanagement.\n\n \nNeu:Klare Anforderungen\, u. a.:\n \n\nStrukturiertes Risikomanagement inkl. Lieferkette\n \nIncident Response mit klar definierten Abläufen\n \nBusiness Continuity und Disaster Recovery\n \nZero-Trust-Elemente\n \nSichere Entwicklung und Patch-Management\n \nVerbindliche MFA / starke Authentifizierung\n \nDokumentierte Tech- und Orga-Maßnahmen\n\n \nAuswirkung:Mehr prüfbare und verbindliche Kriterien – vergleichbar mit ISO 27001\, aber bindender.\n \n📌 Neues Melderegime für Sicherheitsvorfälle\n \nBisher:\n \n\nMeldung innerhalb 24 Stunden\, wenig sanktioniert.\n\n \nNeu – dreistufig:\n \n\nErstmeldung innerhalb 24 Stunden\n \nZwischenbericht nach 72 Stunden\n \nAbschlussbericht innerhalb eines Monats\n\n \nAuswirkung:Unternehmen brauchen klar definierte Meldeprozesse\, Tools und Verantwortlichkeiten.\n \n📌 4. Management-Verantwortung und Haftung\n \nBisher:\n \n\nVerantwortlichkeit eher indirekt.\n\n \nNeu:\n \n\nGeschäftsführung haftet persönlich bei fahrlässiger Pflichtverletzung.\n \nPflicht zu Management-Schulungen im Bereich Cybersicherheit.\n \nBehörden können Maßnahmen gegen die Unternehmensleitung richten.\n\n \nAuswirkung:Security muss auf Vorstandsebene aktiv geführt und dokumentiert werden.\n \n📌 Deutlich höhere Bußgelder\n \nBisher:\n \n\nMaximal 2 Mio. €.\n\n \nNeu:\n \n\nBesonders wichtige Einrichtungen: bis zu 10 Mio. € oder 2 % Umsatz\n \nWichtige Einrichtungen: bis zu 7 Mio. € oder 1\,4 % Umsatz\n\n \nAuswirkung:Bußgeldniveau vergleichbar mit DSGVO – deutlich höheres Risiko.\n \n📌 Ausgeweitete Befugnisse des BSI\n \nBisher:\n \n\nBeratung\, Anordnungen\, Mindeststandards.\n\n \nNeu:\n \n\nAnlasslose Prüfungen möglich\n \nVerbindliche technische Anordnungen\n \nEingriffsbefugnisse bis in die Lieferkette\n \nPflicht\, dass Unternehmen mitwirken und Daten liefern\n\n \nAuswirkung:Unternehmen müssen jederzeit prüf- und nachweissicher sein.\n \n📌 7. Lieferketten- / Dienstleisterpflichten\n \nBisher:\n \n\nKaum konkrete gesetzliche Vorgaben.\n\n \nNeu:\n \n\nRisikobewertung von Dienstleistern verpflichtend\n \nVerbindliche Security-Vorgaben in Verträgen\n \nFokus auf Cloud\, MSP\, Softwarelieferanten\n \nNachweis „angemessener Sicherheit“ in der Kette\n\n \nAuswirkung:Vendor-Management und TPRM werden zentrale Pflichtaufgaben.\n \n📌 Governance und organisatorische Vorgaben\n \nNeu eingeführt / konkretisiert:\n \n\nVerbindliche Sicherheitsstrategien\n \nKlare Rollen & Verantwortlichkeiten\n \nAudit- und Reportingpflichten\n \nRegelmäßige Schulungen\n \nDokumentationspflichten für alle Maßnahmen\n\n \nAuswirkung:Organisatorische Sicherheit wird so wichtig wie technische Sicherheit.\n \n📌 Fazit\n \nNIS2UmsuCG verschärft und erweitert die Vorgaben des IT-SiG 2.0 erheblich:\n \n\nMehr betroffene Unternehmen\n \nKonkretere Sicherheitsanforderungen\n \nStrengere Meldepflichten\n \nPersönliche Managementhaftung\n \nHöhere Bußgelder\n \nDeutliche Stärkung der Behördenrechte\n \nVerpflichtende Einbindung der Lieferkette\n\n \nFür Systemkoordinierende und IT Fachpersonal in Unternehmen bedeutet das: Die Anforderungen steigen erheblich – organisatorisch\, technisch und dokumentarisch.
LOCATION:https://tech-nachrichten.de
CATEGORIES:Gelbe Kategorie
TRANSP:TRANSPARENT
X-MICROSOFT-CDO-BUSYSTATUS:FREE
SEQUENCE:0
CLASS:PUBLIC
PRIORITY:1
DTSTART:20260409T070000Z
DTEND:20260409T080000Z
BEGIN:VALARM
TRIGGER:-PT30M
ACTION:DISPLAY
DESCRIPTION:Reminder for NIS2-Umsetzungs-Gesetz verabschiedet
END:VALARM
END:VEVENT
END:VCALENDAR