Der Deutsche Bundestag hat am 13. November 2025 das Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS2UmsuCG) in zweiter und dritter Lesung verabschiedet. Damit endet eine monatelange Phase der Unsicherheit für Unternehmen und Behörden. Noch ausstehend ist die Befassung des Bundesrates; mit der Verkündung im Bundesgesetzblatt und dem Inkrafttreten des Gesetzes ist spätestens Anfang 2026 zu rechnen. Übergangsfristen sind – nach aktuellem Stand – nicht vorgesehen.
Die NIS-2-Umsetzung führt zu einer umfassenden Überarbeitung des BSI-Gesetzes (BSIG) und markiert zugleich einen tiefgreifenden Paradigmenwechsel im deutschen IT-Sicherheitsrecht. Künftig werden deutlich mehr Einrichtungen verpflichtet sein, Mindeststandards der Informationssicherheit einzuhalten, Vorfälle zu melden und Risikomanagementmaßnahmen umzusetzen.
Erhebliche Ausweitung des Anwendungsbereichs
Mit dem neuen BSIG-Regime wird der Kreis der regulierten Unternehmen drastisch ausgeweitet:
Erfasst sind künftig nicht nur Betreiber Kritischer Infrastrukturen, Unternehmen im besonderen öffentlichen Interesse und Anbieter digitaler Dienste, sondern zusätzlich die neuen Kategorien:
- „wichtige Einrichtungen“ und
- „besonders wichtige Einrichtungen“
Damit steigt der Kreis der beaufsichtigten Einrichtungen von bislang rund 4.500 auf künftig ca. 29.500 Unternehmen.
Diese Unternehmen müssen sich beim BSI registrieren, ein Informationssicherheits-Risikomanagement einführen und erhebliche Sicherheitsvorfälle melden.
Pflichten für Unternehmen
Die NIS-2-Regulierung schreibt ein breites Spektrum technischer und organisatorischer Maßnahmen vor, u. a.:
- Risikoanalysen und Sicherheitskonzepte
- Notfall- und Wiederanlaufpläne
- Backup- und Verschlüsselungslösungen
- Sicherheitsüberprüfungen der Lieferkette
- Schulungen für Mitarbeitende
Kommt es zu einem IT-Sicherheitsvorfall, gelten gestaffelte Meldepflichten:
- Erstmeldung binnen 24 Stunden,
- Zwischenbericht nach 72 Stunden,
- Abschlussbericht innerhalb eines Monats.
Bundesverwaltung erstmals vollumfänglich einbezogen
Ein wesentlicher Kritikpunkt im Gesetzgebungsverfahren war die ursprünglich vorgesehene Nicht-Erfassung der Bundesverwaltung. Diese Lücke wurde geschlossen:
Die Bundesministerien, Behörden und sonstigen Einrichtungen des Bundes unterliegen nun ebenfalls dem BSIG und müssen die Mindestanforderungen der Informationssicherheit erfüllen. Koordiniert wird dies künftig zentral durch das BSI in seiner neuen Rolle als CISO Bund.
Erweiterte Befugnisse des BSI
Das BSI erhält umfangreiche Aufsichtsbefugnisse gegenüber allen regulierten Einrichtungen und kann bei schwerwiegenden Verstößen Bußgelder verhängen. Zudem wird es künftig eine stärkere Rolle in der Bewertung und möglichen Untersagung „kritischer Komponenten“ spielen – etwa beim Einsatz sicherheitsrelevanter Hard- oder Software aus Drittstaaten.
Was Unternehmen jetzt tun müssen
Da keine Übergangsfristen vorgesehen sind und mit zeitnaher Verkündung zu rechnen ist, besteht dringender Handlungsbedarf. Unternehmen sollten:
- umgehend eine Betroffenheitsprüfung durchführen,
- bestehende Sicherheitsmaßnahmen anhand der NIS-2-Vorgaben evaluieren,
- Registrierungs- und Meldeprozesse vorbereiten,
- Risikomanagement, Governance und Lieferkettenprozesse anpassen.
Wenn Sie Unterstützung bei der Prüfung der Betroffenheit oder der Umsetzung der neuen Vorgaben benötigen, beraten wir Sie gerne.
Ansprechpartner: RA Dr. Stefan Bischoff & RA Markus Heinrich
