Mehr Sicherheit per Gesetz: Bundestag verabschiedet NIS-2-Umsetzungsgesetz

Thore Severin 26. November 2025 Unternehmen, Beratung, Neuigkeiten, Sicherheit
Mehr Sicherheit per Gesetz Bundestag verabschiedet NIS 2 Umsetzung
Mehr Sicherheit per Gesetz Bundestag verabschiedet NIS 2 Umsetzung
ℹ️ tl;dr
  • Am 13. November 2025 setzte der Bundestag die NIS-2-Richtlinie ohne Übergangsfristen in deutsches Recht um.
  • Das BSIG wird umfassend neu gefasst: erweiterter Pflichtenkatalog, zentrales Risikomanagement, Lieferkettensicherheit und strikte Meldepflichten.
  • Der Anwendungsbereich wird stark ausgeweitet und umfasst deutlich mehr Unternehmen, Zulieferer und Behörden auf Bundes- und Länderebene.
  • Unternehmen müssen Prozesse für Risikoanalysen, Meldeketten, Dokumentation und Freigaben etablieren – Grundlage für ISMS nach BSI-Standard oder ISO 27001.
  • Der neue Rechtsrahmen stärkt das BSI sowie den CISO Bund und schafft langfristige Leitplanken für digitale Stabilität in Staat und Wirtschaft.

Am Nachmittag des 13. November 2025 fiel im Bundestag eine Entscheidung mit deutlicher Tragweite. Um 15:45 Uhr liegt das Ergebnis vor. Der Gesetzgeber setzt die europäischen Vorgaben der NIS-2-Richtlinie in deutsches Recht um und verändert damit die Grundlagen der IT-Sicherheit für Unternehmen und Bundesbehörden. Der Umsetzungszeitraum der Europäischen Union lief bereits vor über einem Jahr aus, der politische Prozess zog sich jedoch länger hin. Mit dem heutigen Beschluss zieht die Bundesrepublik den Regulierungsrahmen an, ohne Übergangsfristen oder Schonräume.

Neuer Aufbau der IT-Sicherheitsarchitektur

Der Kern des Gesetzes liegt in der Neuregelung des BSI-Gesetzes. Die europäischen Vorgaben aus NIS-2 verlangen strukturelle Änderungen, und der deutsche Gesetzgeber integriert diese Anforderungen nun vollständig in das BSIG. Der neue Pflichtenkatalog fällt deutlich umfangreicher aus. Risikomanagement bildet ein eigenes zentrales Element. Ein Maßnahmenkatalog ordnet technische und organisatorische Anforderungen klarer zu. Lieferkettensicherheit fließt als eigener Themenkomplex ein. Die Meldepflichten bei IT-Sicherheitsvorfällen greifen nun ohne zeitliche Ausnahmen. Gleichzeitig rückt die Geschäftsleitung direkter in die Verantwortung.

Die Systematisierung des Anwendungsbereichs verändert sich grundlegend. Neue Sektoren rücken hinein, frühere Einordnungen entfallen. Die Schwellen sinken. Damit trifft das Gesetz tausende Unternehmen und Zulieferer, die bislang außerhalb der Regulierung für Betreiber kritischer Infrastrukturen standen. Die bundesweite IT-Sicherheitsarchitektur erhält dadurch eine neue Breite. Diese Breite bildet nicht lediglich eine organisatorische Ausweitung ab, sondern verankert digitale Sicherheit als verbindlichen Bestandteil von Leitungstätigkeit, technischer Planung und administrativen Abläufen.

Folgen für Staat und Wirtschaft

Die wirtschaftlichen Auswirkungen fallen erheblich aus. Der jährliche Erfüllungsaufwand für die deutsche Wirtschaft steigt auf rund 2,3 Milliarden Euro. Die Summe beschreibt nicht bloß Kosten, sondern ein strukturelles Umbauprojekt. Unternehmen ordnen Prozesse, definieren Verantwortlichkeiten, führen systematische Risikoanalysen durch und richten Meldewege neu aus.

Die Regelungen betreffen auch Bundesbehörden. Der Gesetzgeber bezieht Behörden der Geschäftsbereiche der einzelnen Ressorts ausdrücklich ein. Die Rolle des Chief Information Security Officer Bund erhält eine eigene rechtliche Grundlage. Diese Stelle dient künftig als zentrale Koordinations- und Informationsinstanz für den Bereich Cybersicherheit innerhalb der Bundesverwaltung. Die Aufgabe umfasst die Sammlung, Verdichtung und Weitergabe sicherheitsrelevanter Informationen sowie die Koordinierung administrativer Maßnahmen.

Das BSI erhält eine ausgeweitete Stellung. Die Streichung der Grenze von 100.000 Kundinnen und Kunden in §16 BSIG führt dazu, dass auch kleinere Telekommunikationsanbieter in den Geltungsbereich fallen. Das Amt spricht nun Anordnungen zur Abwehr erheblicher Gefahren aus oder leitet Bereinigungsbefehle ein. Ohne diese Ergänzung entstünde eine regulatorische Lücke, die digitale Kommunikationsinfrastrukturen empfindlich träfe.

Der Bundestag ergänzt im parlamentarischen Verfahren weitere Punkte. §3 Abs. 1 Nr. 18 und 20 BSIG sieht nun die Einbindung der Länder vor. Polizeien und Strafverfolgungsbehörden erhalten damit Zugang zu Beratungs-, Informations- und Warnbefugnissen des BSI. Die föderale Sicherheitsarchitektur erhält dadurch eine geschlossene Form. Zudem schafft §41 BSIG die Grundlage, kritische Komponenten einzelner Hersteller in besonders sensiblen Bereichen auszuschließen. Die Entscheidung erfolgt im Benehmen mit den zuständigen Ressorts und dem Auswärtigen Amt. Der Staat greift damit direkt in sicherheitsrelevante Technikbereiche ein, sobald Risiken für die öffentliche Ordnung oder Sicherheit bestehen.

Eine klarstellende Ergänzung zum CVD-Prozess in §5 BSIG sorgt für präzisere Abläufe im Umgang mit Schwachstellen. Die Regelung definiert die Verantwortung für Meldung, Bewertung und Koordination. Damit erhält ein zentraler Prozess der IT-Sicherheit eine verbindliche Ausgestaltung im Gesetz.

Prozesssicht als Grundlage für NIS-2

Mit der Umsetzung der NIS-2-Richtlinie liegt nun ein verbindlicher Rahmen vor, der klare Strukturen verlangt. Die Anforderungen geben Orientierung darüber, welche Prozesse nötig sind, welche Abläufe Anpassung benötigen und an welchen Stellen Verantwortlichkeiten präziser abgebildet sein müssen.

Konkrete Beispiele hierfür sind:

  • Ausweitung des Anwendungsbereichs: Das Gesetz gilt künftig für deutlich mehr Einrichtungen („wichtige“ und „besonders wichtige“ Einrichtungen), darunter viele Unternehmen und Teile der öffentlichen Verwaltung.
  • Neue und erweiterte Begriffsbestimmungen: Viele Begriffe (z.B. Beinahevorfall, Cloud-Dienste, kritische Anlagen) werden zur besseren Übersichtlichkeit und zur Umsetzung der NIS-2-Richtlinie neu oder klarer definiert.
  • Risikomanagementpflichten: Besonders wichtige und wichtige Einrichtungen müssen umfassende technische und organisatorische Maßnahmen zum Risikomanagement ergreifen und dokumentieren, die alle von ihnen genutzten IT-Systeme betreffen.
  • Spezielle Anforderungen für Betreiber kritischer Anlagen: Diese Betreiber müssen ein noch höheres Sicherheitsniveau gewährleisten und verpflichtend Systeme zur Angriffserkennung einsetzen.
  • Meldepflichten: Einrichtungen müssen erhebliche Sicherheitsvorfälle unverzüglich melden; es gibt klare Vorgaben zu Inhalt, Fristen und Verfahren der Meldungen.
  • Vorgaben für die Informationssicherheit in der Bundesverwaltung: Die Leitung jeder Einrichtung ist für die Einhaltung der gesetzlichen und untergesetzlichen Vorgaben (u.a. IT-Grundschutz, Mindeststandards) verantwortlich.
  • Besondere Regelungen für Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes: Für große IT-Projekte und Infrastrukturen sind eigene ISB zu bestellen.

Sicherheit entsteht nicht aus punktuellen Entscheidungen, sondern aus geordneten Verfahren, die Risiken sichtbar machen und Reaktionen nachvollziehbar halten. Die Umsetzung der Richtlinie setzt deshalb auf organisatorische Klarheit statt auf technische Einzelvorgaben. Ohne verlässliche Prozesse entsteht kein konsistentes Bild über Bedrohungen, Vorfälle oder interne Zuständigkeiten.

Unternehmen richten ihre Abläufe nun an diesen Vorgaben aus. Risikoanalyse, Meldekette, Dokumentation, Freigaben und Kontrollschritte bilden ein zusammenhängendes System, das ein belastbares Sicherheitsniveau ermöglicht. Strukturen dieser Art bilden zugleich die Grundlage für ein ISMS nach BSI-Standard oder ISO 27001. Ein solches System ergibt Sinn, sobald klare Rollenmodelle, nachvollziehbare Informationswege und verbindliche Entscheidungsprozesse im Alltag verankert sind.

Wir unterstützen Organisationen in diesem Rahmen mit Erfahrung aus der Prozessberatung und fachlicher Vertiefung im Bereich Informationssicherheit. Die Arbeit zertifizierter externer ISB sorgt für Orientierung bei der Auslegung der Vorgaben und schafft Sicherheit bei der Umsetzung. Ziel ist ein ISMS, das die Anforderungen aus der Umsetzung der NIS-2-Richtlinie erfüllt und gleichzeitig praktikable Strukturen für den täglichen Betrieb bietet.

Ein neuer Rahmen für digitale Stabilität

Mit dem Beschluss des Bundestags rückt Deutschland erheblich näher an den europäischen Sicherheitsrahmen heran. Die digitale Infrastruktur von Staat und Wirtschaft ordnet sich neu. Energie, Gesundheit, Verkehr, Kommunikation und Verwaltung richten Abläufe, Rollenmodelle und Meldeketten aus. Der Gesetzgeber setzt auf eine geschlossene Struktur, die sowohl föderale als auch europäische Ebenen berücksichtigt.

Der Staat definiert klare Vorgaben, strukturiert Zuständigkeiten neu und stärkt die Aufsicht. Unternehmen ordnen interne Abläufe, dokumentieren Risiken und sichern Kommunikationswege. Die digitale Infrastruktur des Landes erhält damit ein Fundament, das den Anforderungen einer angespannten geopolitischen Lage entspricht.

Der politische Prozess erreicht bezüglich der Umsetzung der NIS 2 Richtlinie mit dem Beschluss des Bundestags seinen Kernpunkt. Nach der Unterzeichnung durch den Bundespräsidenten folgt die Veröffentlichung im Bundesgesetzblatt. Ab diesem Moment gilt ein Rechtsrahmen, der die Richtung der kommenden Jahre festlegt.

Autor: Thore Severin

Thore Severin
Thore hat Wirtschaftsrecht studiert und verfügt dadurch über ein fundiertes Wissen im Verwaltungsrecht sowie in weiteren Bereichen wie dem Zivil- und Strafrecht. Durch seine bisherigen beruflichen Stationen konnte er zudem Erfahrung im Immobilienbereich und in steuerrechtlichen Themen sammeln. In seiner Freizeit ist Sport ein fester Bestandteil seines Alltags.
Archiv des Autors aufrufen