Das NIS-2-Umsetzungsgesetz hat am 30. Juli 2025 das Kabinett passiert und soll noch 2025 in Kraft treten. Für rund 29.000 Unternehmen in Deutschland gelten damit neue, erweiterte Pflichten zum Risikomanagement, die sofort nach Verkündung des Gesetzes wirksam werden. Unsere Analyse beleuchtet die konkreten Anforderungen an Unternehmen und den engen Zeitplan.
Am 30. Juli 2025 hat das Bundeskabinett den Referentenentwurf für das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) beschlossen. Damit beginnt erneut das parlamentarische Verfahren zur Umsetzung der EU-Richtlinie 2022/2555 (NIS 2). Das Gesetz stellt eine Zäsur für die deutsche Unternehmenslandschaft dar: Statt wenigen hundert Betreibern Kritischer Infrastrukturen (KRITIS) werden künftig schätzungsweise 29.000 Unternehmen zu Cybersicherheitsmaßnahmen im Betrieb verpflichtet. Zudem definiert es Cybersicherheit neu – als eine strategische Kernaufgabe der Unternehmensführung. Dieser Beitrag analysiert die zentralen Inhalte des Entwurfs und Unterschiede zum gescheiterten Entwurf der Ampelkoalition, den Zeitplan für das Inkrafttreten und die im parlamentarischen Verfahren zu erwartenden Anpassungen.
Der Entwurf im Überblick
Im Wesentlichen wird der letzte Entwurf der Ampelregierung aus 2024 übernommen.
Änderungen gibt es nur an wenigen Stellen.
Erweiterter Anwendungsbereich - neu: "Vernachlässigbarkeitsklausel"
Die fundamentalste Änderung zur bisherigen Rechtslage - die allerdings schon 2024 geplant war - ist die Einführung der neuen regulierten Einrichtungskategorien "besonders wichtige" und "wichtige Einrichtungen".
Während die bisherige Regulierung primär auf wenige hundert Betreiber Kritischer Infrastrukturen abzielte, erfasst das neue Gesetz nun schätzungsweise 29.000 Unternehmen in Deutschland. Der Gesetzgeber unterscheidet dabei zwischen zwei neuen Kategorien: "besonders wichtige Einrichtungen" und "wichtige Einrichtungen". Die Zuordnung erfolgt anhand der Unternehmensgröße und der Sektorzugehörigkeit gemäß den Anlagen 1 und 2 zum BSIG-E.
- Besonders wichtige Einrichtungen (Anlage 1) umfassen u.a. große Unternehmen aus Sektoren wie Energie, Verkehr, Bankwesen, Gesundheit, digitale Infrastruktur (Cloud-Anbieter, Rechenzentren) und öffentliche Verwaltung.
- Wichtige Einrichtungen (Anlagen 1 und 2) sind typischerweise mittlere Unternehmen aus den bereits genannten Sektoren sowie aus Bereichen wie Postdienste, Abfallbewirtschaftung, Chemie, Lebensmittel und verarbeitendes Gewerbe.
Diese Einteilung ist relevant, da an sie unterschiedliche Aufsichts- und Sanktionsregime geknüpft sind. An die Stelle der bisherigen Kategorien (Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste etc.) treten die neuen, EU-weit einheitlichen Einrichtungskategorien "besonders wichtige" und "wichtige Einrichtungen".
Eine für die Praxis entscheidende Neuerung im Vergleich zu 2024 findet sich jedoch in § 28 Abs. 3 BSIG-E: Demnach können bei der Zuordnung solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit "vernachlässigbar" sind. Diese Klausel ist zunächst sehr gut für viele Unternehmen, deren Kerntätigkeiten nicht von NIS2 erfasst werden und die nur durch Nebentätigkeiten in den Anwendungsbereich von NIS2 gelangen würden. Sie birgt jedoch erhebliche Rechtsunsicherheit, da der Entwurf den unbestimmten Rechtsbegriff "vernachlässigbar" nicht legaldefiniert. Auch die Gesetzesbegründung schafft keine Abhilfe, indem sie neben quantitativen (Umsatz, Mitarbeiter) und qualitativen Indizien (Satzungszweck) letztlich auf ein nicht näher konkretisiertes „Gesamtbild“ abstellt. Dies zwingt Unternehmen zu einer eigenständigen, sorgfältig dokumentierten und idealerweise rechtlich abgesicherten Risikobewertung, um das Risiko einer abweichenden Einschätzung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu minimieren. Es ist somit eine Gratwanderung zwischen der legitimen Anwendung einer Ausnahmeregelung und dem Risiko einer Fehleinschätzung. Zudem ist fraglich, ob die geplante Vorschrift mit der NIS-2-Richtlinie überhaupt vereinbar wäre.
Erweiterte Aufsichtsbefugnisse für das BSI und höhere Bußgelder
Das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird im Einklang mit den NIS-2-Vorgaben deutlich ausgeweitet, §§ 61, 62 BSIG-E. Dies umfasst erweiterte Prüfungs-, Anordnungs- und Sanktionsmöglichkeiten. Flankiert wird dies durch eine umfassende Dokumentationspflicht der getroffenen Cybersicherheitsmaßnahmen und ein signifikant verschärftes Sanktionsregime (§ 65 BSIG-E): Für "besonders wichtige Einrichtungen" können Bußgelder bis zu 20 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes verhängt werden; für "wichtige Einrichtungen" bis zu 10 Mio. Euro oder 1,4 % des Umsatzes (§ 65 Abs. 5-7 BSIG-E).
Persönliche Haftung der Geschäftsleitung
Ein Paradigmenwechsel ist die weiter geplante explizite Verankerung der persönlichen Haftung für Mitglieder der Leitungsorgane (§ 38 Abs. 2 BSIG-E). Geschäftsführung und Vorstand haften für die Verletzung ihrer Pflichten bei der Umsetzung und Überwachung der Risikomanagementmaßnahmen (§ 38 Abs. 1 BSIG-E).
Verschärfte Anforderungen an die Lieferkettensicherheit
Die Sicherheit der Lieferkette rückt in den Fokus. § 30 Abs. 2 Nr. 4 BSIG-E fordert explizit Maßnahmen zur "Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern". Dies impliziert eine Verpflichtung zur proaktiven Due-Diligence.
Neues Melderegime
Die bisherige einstufige Meldepflicht wird durch ein dreistufiges System ersetzt (§ 32 BSIG-E): Erstmeldung binnen 24 Stunden, Detailmeldung binnen 72 Stunden und Abschlussbericht nach einem Monat. Das BSI bietet hier aber Hilfestellung und hat insbesondere angekündigt, rechtzeitig einen digitalen Meldeweg bereit zu stellen - die Beobachtung der entsprechenden Webseite ist daher ratsam.
Quantifizierter Nutzen der Regulierung
Der Referentenentwurf beziffert den erwarteten volkswirtschaftlichen Nutzen. Durch die neuen Sicherheitsstandards soll ein jährlicher Schaden in Höhe von ca. 3,6 Milliarden Euro für die deutsche Wirtschaft abgewendet werden - pro betroffenem Unternehmen immerhin 250.000 Euro.
Der Zeitplan und die Übergangsfristen
Der Druck aus Brüssel ist hoch, da ein Vertragsverletzungsverfahren läuft. Der Zeitplan ist daher eng getaktet:
- 30. Juli 2025: Verabschiedung des Entwurfs durch das Bundeskabinett.
- 15. August 2025: Zuleitung an den Bundesrat.
- Herbst 2025: Erste Lesung im Bundestag.
- Vor Jahresende 2025: Geplanter Gesetzesbeschluss.
Der Gesetzesentwurf sieht keine allgemeine, lange Übergangsfrist vor. Gemäß Artikel 30 des Entwurfs tritt das Gesetz am Tag nach seiner Verkündung in Kraft. Die neuen Pflichten gelten für betroffene Unternehmen grundsätzlich ab diesem Zeitpunkt, wobei eine konkrete Frist lediglich für die erstmalige Registrierung beim BSI vorgesehen ist, die spätestens drei Monate nach Inkrafttreten erfolgen muss (§ 33 Abs. 1 BSIG-E). Eine wichtige Ausnahme wurde jedoch für Betreiber kritischer Anlagen geschaffen, die bereits nach altem Recht nachweispflichtig waren: Läuft deren Nachweisfrist innerhalb von zwölf Monaten nach Inkrafttreten ab, können sie ihren Nachweis einmalig noch nach den bisherigen Vorgaben erbringen (§ 39 Abs. 3 BSIG-E).
Parlamentarische Nachbesserungen: Wo der Bundestag den Entwurf schärfen will
Die inhaltliche Auseinandersetzung im Bundestag beginnt im Herbst 2025. Parteiübergreifend herrscht Einigkeit, dass der aktuelle Text ein Kompromiss ist, der kontroverse Punkte ausklammert. Diskussionen wird es insbesondere um diese Punkte geben:
- Umgang mit nicht vertrauenswürdigen Herstellern
- Ausweitung auf die gesamte Bundesverwaltung
- Staatliches Schwachstellenmanagement
- Rolle und Unabhängigkeit des BSI
Warum die NIS-2-Umsetzung jetzt erfolgen muss
Die Umsetzung der NIS-2-Richtlinie ist nicht nur eine unabweisbare rechtliche Verpflichtung, sondern für Unternehmen im europäischen Binnenmarkt wirtschaftlich alternativlos. Während das deutsche Gesetzgebungsverfahren noch andauert, haben über 16 andere EU-Staaten bereits Fakten geschaffen – und ihre nationalen Gesetze in Kraft gesetzt. Der Markt für qualifizierte Cybersicherheits-Fachkräfte und spezialisierte Dienstleister ist europaweit bereits jetzt überlastet. Wenn das deutsche Gesetz in Kraft tritt, wird ein Nachfrageschock von Zehntausenden Unternehmen die verfügbaren Ressourcen weiter verknappen und die Kosten zur Schaffung der NIS2-Compliance in die Höhe treiben.
