security logo
Photo by Pixabay on Pexels.com
Posted inDatenschutz IT IT Audit / Compliance / Security

NIS2 in Deutschland: Neue Entwürfe, alte Probleme – und was Unternehmen jetzt tun müssen

NIS2 in Deutschland: Neue Entwürfe, alte Probleme – und was Unternehmen jetzt tun müssen

Stellen Sie sich vor, Sie bereiten Ihr Unternehmen auf eine entscheidende Prüfung vor, doch die Regeln ändern sich ständig, und der Termin verschiebt sich immer wieder. Genau das erleben derzeit viele deutsche Unternehmen mit der Umsetzung der europäischen NIS2-Richtlinie. Während die EU-Richtlinie bereits seit dem 16. Januar 2023 in Kraft ist und bis zum 17. Oktober 2024 von den Mitgliedstaaten umgesetzt werden sollte, hinkt Deutschland bei dieser Aufgabe deutlich hinterher.

Der neueste Referentenentwurf zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vom Juni 2025 – der mittlerweile elfte Entwurf seit April 2023 – bringt zwar Bewegung in die Sache, aber auch weiterhin große Unsicherheiten mit sich.

Das lange Warten auf das NIS2UmsuCG: Deutschland im Verzug

Die ursprüngliche EU-Deadline vom Oktober 2024 wurde in Deutschland verfehlt. Das geplante NIS2UmsuCG, das die europäische NIS2-Richtlinie in nationales Recht überführen und gleichzeitig die bestehende KRITIS-Regulierung modernisieren soll, hat bereits eine lange Entwurfsgeschichte hinter sich. Experten gehen davon aus, dass das Gesetz frühestens Ende 2025 in Kraft treten wird. Die Verzögerung führt nicht nur zu rechtlicher Unsicherheit, sondern auch zu einem Wettbewerbsnachteil für deutsche Unternehmen im Vergleich zu ihren europäischen Nachbarn.

Schwachstellen im Entwurf: Die Kritik der Experten und Verbände

Die aktuellen Entwürfe sind weiterhin Gegenstand erheblicher Kritik von Fachkreisen und Verbänden:

  • Fehlende Systematik und Harmonisierung: Experten bemängeln eine fehlende Vereinheitlichung des nationalen Cybersicherheitsrechts, was zu einem „regulatorischen Dschungel“ führen könnte. Insbesondere die mangelnde Abstimmung zwischen dem NIS2UmsuCG und dem parallel entwickelten KRITIS-Dachgesetz wird kritisiert, da dies zu Rechtsunsicherheit und Überschneidungen führen kann. Auch die Harmonisierung mit anderen EU-Ländern ist mangelhaft.
  • Unklare Begriffsbestimmungen: Zahlreiche Definitionen, wie die Abgrenzung zwischen „wesentlichen“ (essential) und „wichtigen“ (important) Einrichtungen, oder die Interpretation von „erheblichen Sicherheitsvorfällen“, genügen den Anforderungen an Rechtsklarheit nicht. Der Begriff der „kritischen Anlage“, eine deutsche Besonderheit, sorgt ebenfalls für Unklarheit und wird als problematisch für die Einheitlichkeit der europäischen Regulierung angesehen.
  • Ausschlüsse und Überregulierung:
    • Öffentliche Hand: Es gibt Kritik an weitreichenden Ausnahmen für bestimmte Bundesbehörden (z.B. Nachrichtendienste, Bundeswehr). Zudem wird bemängelt, dass Kommunen trotz ihres Gefährdungspotenzials nicht explizit in die Pflichten des Gesetzes einbezogen sind.
    • Geringfügige Nebentätigkeiten: Eine neue Regelung im Juni 2025 Entwurf erlaubt, „vernachlässigbare Geschäftstätigkeiten“ bei der Betroffenheitsprüfung unberücksichtigt zu lassen. Dies soll eine unverhältnismäßige Einbeziehung geringfügiger Nebentätigkeiten vermeiden, wird aber von eco e.V. kritisch gesehen, da die Definition der „Vernachlässigbarkeit“ fehlt und dies zu Rechtsunsicherheit und Wettbewerbsverzerrungen führen könnte.
    • Zivilgesellschaftliche Akteure: Gemeinnützige DNS-Dienste können als besonders wichtig eingestuft werden, obwohl sie keine kritischen Funktionen erfüllen.
  • Umfang der Maßnahmen und Nachweise: Der eco Verband kritisiert, dass die Unterscheidung zwischen wichtigen und besonders wichtigen Einrichtungen bei den Risikomanagementmaßnahmen verwischt wird. Auch die genaue Konkretisierung der Maßnahmen und die Anforderung an die Dokumentation und Nachweisführung wird als unzureichend angesehen.
  • Meldepflichten: Der DSLV und eco bemängeln, dass bei grenzüberschreitenden Sicherheitsvorfällen die Notwendigkeit von Mehrfachmeldungen nicht eindeutig ausgeschlossen wird und fordern eine zentrale Meldestelle zur Vermeidung von Doppelbelastungen. Zudem wird kritisiert, dass an starren Meldefristen (24h/72h) festgehalten wird, was als unrealistisch und aufwändig angesehen wird.
  • Managerhaftung: Die Formulierung zur Umsetzungspflicht der Geschäftsleitung (§ 38) wird kritisiert, da sie so interpretiert werden könnte, dass die Geschäftsleitung operative Aufgaben eigenständig implementieren muss, statt die strategische Steuerung zu übernehmen.
  • Einbindung der Wirtschaft: Es wurde gestrichen, dass Wissenschaft, KRITIS-Betreiber und Verbände bei der Festlegung von kritischen Dienstleistungen oder bei der Definition „erheblicher Sicherheitsvorfälle“ angehört werden müssen. Dies wird von eco und DSLV kritisiert, da es zur Praxisfremdheit von Anforderungen führen kann.

Wer ist von NIS2 betroffen? Die neue Realität für deutsche Unternehmen

Die NIS2-Umsetzung wird die deutsche Unternehmenslandschaft fundamental verändern. Während unter der früheren NIS1-Richtlinie nur etwa 2.000 Unternehmen als kritische Infrastrukturen (KRITIS) reguliert waren, werden nach der Umsetzung des NIS2UmsuCG tausende weitere Unternehmen unter die Cybersicherheitspflichten fallen. Erste Schätzungen des BMI sprachen von etwa 42.000 Unternehmen in Deutschland, die unter den Anwendungsbereich fallen könnten.

Betroffen sind Unternehmen in 18 kritischen Sektoren, die in zwei Kategorien unterteilt werden:

  • Wesentliche Einrichtungen (Essential Entities): Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienstverwaltung (B2B), Öffentliche Verwaltung, Raumfahrt. Hierzu gehören auch qualifizierte Vertrauensdienste und TLD-Registries, unabhängig von ihrer Größe.
  • Wichtige Einrichtungen (Important Entities): Postdienste und Kurierdienste, Abfallbewirtschaftung, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Verarbeitendes Gewerbe (bestimmte Bereiche), Anbieter digitaler Dienste, Forschungseinrichtungen.

Ein weit verbreiteter Irrtum ist, dass nur Großkonzerne betroffen sind. Tatsächlich gelten die Regelungen für wichtige Einrichtungen bereits ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Für wesentliche Einrichtungen gelten teilweise noch niedrigere Schwellen oder gar keine Größenkriterien, z.B. für DNS-Dienste oder TLD-Registries.

Was kommt auf betroffene Unternehmen zu?

Die Anforderungen des geplanten NIS2UmsuCG sind umfassend und detailliert:

  • Registrierungspflicht: Betroffene Unternehmen müssen sich binnen drei Monaten nach ihrer Identifikation bei der zuständigen Behörde (in der Regel dem BSI) registrieren. Die Registrierungspflicht beginnt unmittelbar mit Inkrafttreten des nationalen Umsetzungsgesetzes.
  • Cybersicherheitsmaßnahmen (Risikomanagement): Unternehmen müssen angemessene, verhältnismäßige und wirksame technische und organisatorische Maßnahmen implementieren, die dem Stand der Technik entsprechen. Dazu gehören mindestens:
    • Risikoanalyse und Sicherheit für Informationssysteme
    • Bewältigung von Sicherheitsvorfällen
    • Aufrechterhaltung des Betriebs (z.B. Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement)
    • Sicherheit der Lieferkette
    • Sicherheit bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen
    • Bewertung der Wirksamkeit von Risikomanagementmaßnahmen
    • Schulungen und Sensibilisierung zu Cybersicherheit
    • Kryptographische Verfahren
    • Konzepte für Personalsicherheit (z.B. Zugriffskontrolle)
    • Multi-Faktor-Authentifizierung und gesicherte Kommunikation Der Geltungsbereich umfasst dabei sämtliche IT-Systeme, Komponenten und Prozesse, die für die Erbringung der Dienste genutzt werden – also auch Büro-IT.
  • Meldepflichten: Ein neues dreistufiges Melderegime bei erheblichen Sicherheitsvorfällen ist vorgesehen:
    • Frühe Erstmeldung: binnen 24 Stunden nach Kenntniserlangung.
    • Update-Meldung: binnen 72 Stunden nach Kenntniserlangung.
    • Abschlussmeldung: binnen einem Monat. Unternehmen können auch verpflichtet werden, Kunden oder die Öffentlichkeit zu unterrichten.
  • Nachweispflichten und Prüfungen: Betreiber kritischer Anlagen müssen spätestens ab 2027 alle drei Jahre nachweisen, dass sie die Maßnahmen umgesetzt haben. Für den Großteil der anderen betroffenen Unternehmen sind keine separaten Nachweis-Audits vorgesehen, jedoch müssen sie auf Nachfrage Nachweise vorlegen können. Die Maßnahmen müssen dokumentiert werden.
  • Management-Verantwortung: NIS2 macht Cybersicherheit zur Chefsache. Die Geschäftsleitung wird persönlich für die Einhaltung der Anforderungen verantwortlich gemacht und muss entsprechende Schulungen absolvieren. Bei Verstößen drohen persönliche Sanktionen. Das BSI erhält umfangreiche Aufsichts- und Durchsetzungsbefugnisse.
  • Kritische Komponenten: Der Einsatz sogenannter kritischer Komponenten muss dem Innenministerium gemeldet und kann bei Bedenken untersagt werden.

Empfindliche Sanktionen bei Verstößen

Die Bußgelder nach NIS2 sind erheblich:

  • Für wesentliche Einrichtungen: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (je nachdem, was höher ist).
  • Für wichtige Einrichtungen: bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes (je nachdem, was höher ist).
  • Zusätzlich können bei schwerwiegenden Verstößen weitere Sanktionen wie die Untersagung der Geschäftstätigkeit oder der Ausschluss von öffentlichen Aufträgen verhängt werden.

Die Botschaft ist klar: NIS2-Compliance ist kein „Nice-to-have“, sondern ein „Must-have“.

Zeitplan und Handlungsempfehlungen: Was Sie jetzt tun sollten

Auch wenn das Gesetz noch nicht verabschiedet ist, sollten Unternehmen bereits jetzt mit der Vorbereitung beginnen. Warum Abwarten keine Option ist:

  • Kurze Umsetzungsfristen: Nur drei Monate für die Registrierung nach Inkrafttreten des Gesetzes sind in der Praxis sehr kurz, um alle erforderlichen Analysen und Implementierungen durchzuführen.
  • Komplexe Anforderungen: Die Implementierung der Maßnahmen kann Monate oder sogar Jahre dauern.
  • Wettbewerbsvorteile: Frühzeitige Vorbereitung schafft Vertrauen bei Kunden und Partnern.
  • Risikominimierung: Die meisten NIS2-Anforderungen sind ohnehin sinnvolle Cybersicherheitsmaßnahmen.

Unser 5-Stufen-Plan für Ihre NIS2-Vorbereitung:

  1. Stufe 1: Betroffenheitsanalyse (sofort) Prüfen Sie systematisch, ob Ihr Unternehmen unter die NIS2-Regelungen fallen könnte.
  2. Stufe 2: Gap-Analyse (bis Ende 2025) Bewerten Sie Ihre aktuellen Cybersicherheitsmaßnahmen und identifizieren Sie Handlungsbedarfe anhand der verfügbaren Entwürfe.
  3. Stufe 3: Roadmap-Entwicklung (bis Q1 2026) Erstellen Sie einen konkreten Umsetzungsplan mit Prioritäten, Zeitplänen und Budgets.
  4. Stufe 4: Pilotprojekte (ab Q2 2026) Beginnen Sie mit der Umsetzung ausgewählter, auch unabhängig von NIS2 sinnvoller Maßnahmen (z.B. Incident Response, Mitarbeiterschulungen).
  5. Stufe 5: Vollständige Umsetzung (bis 2027) Planen Sie die erste Nachweispflicht für kritische Anlagenbetreiber im Jahr 2027 ein.

Externe Unterstützung kann bei der komplexen NIS2-Umsetzung, die sowohl technisches als auch rechtliches Know-how erfordert, entscheidend sein. Vergessen Sie nicht die Dokumentation: Sie ist der oft übersehene Erfolgsfaktor, da das Gesetz nicht nur Maßnahmen, sondern auch deren Nachweis verlangt.

Fazit: NIS2 als Chance begreifen

Die NIS2-Umsetzung in Deutschland mag holprig verlaufen, aber sie bietet auch Chancen. Begreifen Sie die Anforderungen nicht als lästige Pflicht, sondern als Investition in Ihre Zukunftsfähigkeit. Cybersicherheit ist längst ein strategischer Erfolgsfaktor. Nutzen Sie die verbleibende Zeit für eine durchdachte Vorbereitung, um nicht nur compliance-konform zu sein, sondern auch widerstandsfähiger gegen Cyberangriffe und damit erfolgreicher am Markt.

Dieser Artikel wurde auf Basis des aktuellen Referentenentwurfs vom Juni 2025 und den genannten Experten- und Verbandsstellungnahmen erstellt. Da sich die Rechtslage noch ändern kann, empfehlen wir, sich regelmäßig über den aktuellen Stand zu informieren und bei konkreten Fragen professionelle Beratung in Anspruch zu nehmen.