Das Bundeskabinett hat am 30. Juli 2025 die Umsetzung der NIS-2-Richtlinie beschlossen und es wurde ein Regierungsentwurf mit dem Titel „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanage- ments in der Bundesverwaltung“ veröffentlicht. Damit wird der erste Schritt zur nationalen Umsetzung der europäischen NIS-2-Richtlinie gegangen. Im Oktober 2024 lief die Umsetzungsfrist zur NIS-2-Richtlinie der EU ab. Die EU-Kommission eröffnete ein Vertragsverletzungsverfahren gegen Deutschland. Im Mai 2025 forderte sie erneut eine Umsetzung binnen zwei Monaten. Auch diese Frist ist verstrichen, sodass nun Fahrt aufgenommen werden muss.

Die zweite NIS-Richtlinie baut auf ihrer Vorgängerregelung von 2016 auf, erweitert jedoch den Geltungsbereich deutlich, präzisiert die Anforderungen und sorgt für eine stärkere Vereinheitlichung der Umsetzung in den EU-Mitgliedstaaten. Zusätzlich soll sie die Zusammenarbeit zwischen den Staaten intensivieren und gewährleisten, dass die nationalen Cybersicherheitsbehörden mit mehr Ressourcen ausgestattet werden. Kurz gesagt: Was die erste NIS-Richtlinie anstoßen konnte, soll NIS-2 konsequent umsetzen. Ein zentraler Beitrag zu diesem Ziel ist der deutlich größere Anwendungsbereich: Statt bisher rund 8.000 sollen künftig etwa 30.000 Unternehmen erfasst werden. Die NIS-2-Richtlinie richtet sich damit nicht nur an einzelne Branchen, sondern verfolgt das Ziel eines umfassenden Schutzes der Wirtschaft. Dabei unterscheidet sie zwischen „wesentlichen Einrichtungen“, die strikteren Anforderungen genügen müssen, und „wichtigen Einrichtungen“ in verschiedenen Sektoren.

Bis das Gesetz verabschiedet ist wird es voraussichtlich noch bis Ende 2025 oder Anfang 2026 dauern, da es mehrere Lesungen geben wird.

Eine gute Übersicht zum Fortschritt bietet folgende Seite: https://bundestagszusammenfasser.de/details?docid=889 oder die Seite des Ministeriums: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html

Das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) wird nicht mehr Anfang 2025 im Bundestag verabschiedet – sondern erst nach den Neuwahlen und der erfolgreichen Bildung einer neuen Regierung (nach dem 23. Februar 2025).

Obwohl es zuletzt bereits erhebliche Forschritte im Gesetzgebungsverfahren und zudem Expertenanhörgungen gab (siehe Fortschritt in der folgenden Abbildung) sind die Arbeiten nun endgültig zum Halten gekommen, da keine Mehrheit im Bundestag vorliegt (SPD, Grüne und FDP konnten sich nicht mehr auf einen finalen Gesetzestext einigen).

Quelle zum Fortschritt des NIS2UmsuCG: https://bundestagszusammenfasser.de/details?docid=71

Neben NIS2 ist auch das KRITIS-Dachgesetz ins Stocken geraten, es wird – mit sehr hoher Wahrscheinlichkeit – ebenfalls erst mit einer neuen Regierung umgesetzt. Unklar bleibt, wie die EU dies bewertet und ob Deutschland Strafen zahlen muss, da die Richtlinien nicht zeitnah in nationales Recht überführt wurden. Es wurde bereits ein formales Vertragsverletzungsverfahren durch die EU eingeleitet.

Weitere Informationen, u.a. Tagesschau.de (Link im Bild)

Unternehmen sind trotzdem gut beraten sich weiterhin um eine effektive Umsetzung von NIS2-Anforderungen zu kümmern, da es mutmaßlich keine Verzögerung oder Übergangsfristen für die Unternehmen geben wird.

Das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 🔒) ist eines von 113 Gesetzesvorhaben (!), welches aktuell weiterhin auf Grund der unklaren politischen Verhältnisse (Stichwort: „Ende des Ampel“) in der parlamentrarischen Beratung weitestgehend im Bundestag „festhängen“ 🤔. Dies gefährdet Einhaltung von EU-Recht ⚖ und darüber hinaus die Cybersicherheit am Standort Deutschland 😮🔨

▶Auf Grund von EU-Vorgaben und des Fortschritts (es gab bereits Lesungen und Beratungen in Bundestag und Bundesrat) ist jedoch davon auszugehen, dass in den nächsten Monaten eine Verabschiedung dazu erfolgt (spätestens Ende Q1/Anfang Q2 2025) 🚀

‼🛡🚀Einrichtungen (sowohl Unternehmen, als auch sonstige Organisationen) sollten also keine Zeit verlieren 🕚 und trotzdem loslegen, zu den wichtigsten Handlungsschritten gehören nun:
✅Prüfung der Betroffenheit
✅Registrierungspflicht mutmaßlich in Q1/Q2 2025
✅Umsetzung von Maßnahmen (u.a. Einhaltung: „Stand der Technik“ / Mindeststandards & Pflicht zum Risikomanagement (§ 30), etc.)

Hier der entsprechende Vortrag (auf media.ccc.de)

Das Bundeskabinett hat am 24.07.2024 – ohne weitere Aussprache – das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) auf den Weg gebracht.

Weitere Informationen (inkl. Regierungsentwurf):
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/nis2umsucg.html

Finaler Regierungsentwurf, Bearbeitungsstand 22.07.2024 (veröffentlich von BMI)

Wir informieren hier und auf LinkedIn was dies für die nächsten Monate (für Unternehmen in Deutschland) bedeutet und was Unternehmen / Organisationen dabei beachten müssen.

In den einzelnen Ländern der EU gibt es weitere Ausprägungen und Aufsichtsbehörden zu NIS2 (dort erfolgt ebenfalls eine Umsetzung in nationales Recht).

Mit der NIS2-Richtlinie und dem NIS2umsuCG wurde eine Vielzahl neuer Definitionen und Begriffsbestimmungen eingeführt. bzw. werden bereits bestehende Definitionen aus dem IT-Sicherheitsgesetz konkretisiert.
(Stand: NIS2-Diskussionspapier 27.09.2023)

Wichtiger Hinweis: Die Übersicht hat keinen Anspruch auf Vollständigkeit und basiert auf teilw. nicht abgestimmten Entwürfen und kann sich laufend ändern. Für die Richtigkeit der Inhalte wird daher keine Haftung übernommen.

Weiterlesen →

Konkretisierung der NIS2-Sektoren (Stand: NIS2-Diskussionspapier 27.09.2023)
– Tabelle aktualisiert um den Anhang des 3. Entwurf des NIS2UmsuCG.

Die alleinige Nennung der 18 im NIS2UmsuCG vorhandenen Sektoren reicht nicht aus, um betroffene Dienste eindeutig zu identifizieren. Das BMI (Bundesministerium des Innern und für Heimat) wird noch eine weitere Rechtsverordnung erlassen, die festlegt, welche Anlagen bzw. Einrichtungen im Detail erfasst sind (§57 NIS2 UmsuCG). Der Annex I und II der NIS2-Richtlinie ermöglicht aber bereits einen recht genauen Ausblick auf die kommende Verordnung. Auch finden sich erste Definitionen im Referentenentwurf des Umsetzungsgesetzes.

Wichtiger Hinweis: Die Übersicht hat keinen Anspruch auf Vollständigkeit und basiert auf teilw. nicht abgestimmten Entwürfen und kann sich laufend ändern. Für die Richtigkeit der Inhalte wird daher keine Haftung übernommen.

Weiterlesen →

Mit dem NIS2UmsuCG wird die deutsche Umsetzung des der NIS2-Richtlinie erfolgen. Hinsichtlich der in der NIS-2 Richtlinie genannten Sektoren ergeben sich einige wichtige Unterschiede.

Die NIS2-Richtlinie kategorisiert Unternehmen in „Essential Entities“ und „Important Entities“. Die deutsche Übersetzung zu diesen Kategorien wird „besonders Wichtig“ (§28 (6)) und „Wichtig“(§28 (7)) lauten.

Die NIS2-Richtlinie soll zu einer Harmonisierung der Cybersicherheitsregulierung in der EU führen. Dazu zählt auch eine Vereinheitlichung der Identifikation der betroffenen Unternehmen. Bei der Umsetzung der ersten NIS-Richtlinie hatten die einzelnen EU-Mitgliedsstaaten relativ viel Handlungsspielraum, bzgl. der Identifikation der zu regulierenden Unternehmen. Beispielsweise erfolgt die bisherige Identifikation in Deutschland anhand der BSI-Kritisverordung (BSI-KritisV), welche mittels Schwellenwertformeln zur Berechnung eines Versorgungsgrads betroffene Unternehmen identifiziert, andere Mitgliedsstaaten haben direkt kritische Unternehmen benannt.