NIS 2 ist nun da

NIS 2 ist nun da: Was das neue Umsetzungsgesetz jetzt wirklich bedeutet

NIS 2 ist kein vollkommen neues Regelwerk, sondern eine konsequente Weiterentwicklung des bestehenden deutschen IT-Sicherheitsrechts. Mit dem am 05.12.2025 im Bundesgesetzblatt verkündeten und am 06.12.2025 in Kraft getretenen nationalen Umsetzungsgesetz wird das bisherige BSI-Gesetz deutlich erweitert und inhaltlich geschärft. Für Unternehmen bedeutet das vor allem eines: Die bekannten Anforderungen an Informationssicherheit bleiben bestehen, werden aber auf Lieferketten kritischer Betreiber ausgedehnt und verbindlicher durchgesetzt.

Image

Quelle: KI generiert

Die europäische NIS-2-Richtlinie verfolgt das Ziel, die Cybersicherheit in der gesamten EU auf ein vergleichbares und belastbares Niveau zu heben. Da es sich um eine Richtlinie handelt, musste sie zunächst in nationales Recht überführt werden. Der Zeitstrahl  zeigt eindrücklich, dass dieser Prozess mehrere Jahre in Anspruch genommen hat. Zwischen der Verabschiedung der Richtlinie Ende 2022 und dem Inkrafttreten des deutschen Gesetzes Ende 2025 liegen umfangreiche Abstimmungs-, Gesetzgebungs- und Prüfverfahren. Diese Dauer ist kein Sonderfall, sondern typisch für Richtlinienumsetzungen im Europarecht. Der Umsetzungszeitraum war eine Chance für Unternehmen, sich auf die neuen bzw. erweiterten Regleungen vorzubereiten.

NIS 2 Gesetzgebungszeitstrahl * cheyenne-Blog

Mit dem Umsetzungsgesetz wird das BSI-Gesetz nicht ersetzt, sondern ausgebaut. Das Bundesamt für Sicherheit in der Informationstechnik bleibt die zentrale nationale Aufsichtsbehörde. Es ist weiterhin zuständig für Aufsicht, Beratung, Kontrolle und Durchsetzung der gesetzlichen Anforderungen. Unternehmen, die bereits Berührungspunkte mit dem BSI hatten, werden viele Strukturen wiedererkennen, müssen sich aber auf erweiterte Pflichten einstellen.

Adressiert werden nun nicht mehr nur klassische KRITIS-Betreiber. Der Anwendungsbereich wurde deutlich ausgeweitet. Besonders wichtige und wichtige Einrichtungen werden anhand von Sektorzugehörigkeit und Unternehmensgröße bestimmt. Maßgeblich sind unter anderem Energie, Verkehr, Gesundheit, digitale Infrastruktur, Abfallwirtschaft, Lebensmittelproduktion, IT-Dienstleistungen und zahlreiche weitere Bereiche. Auch mittlere Unternehmen können erstmals erfasst sein. Die Erweiterung resultiert aus der Idee, dass IT-Sicherheit für kritische Infrastruktur nur sinnvoll umgesetzt werden kann, wenn die Lieferketten daran beteiligt werden.

Fällt Ihr Unternehmen unter NIS2?

Hier eine vereinfachte Checkliste zur ersten Einordnung:

  • Sie erbringen Ihre Dienstleistungen in einem der in der Anlage der Verordnung genannten kritischen oder wichtigen Sektoren.
  • Ihr Unternehmen beschäftigt mindestens 50 Mitarbeiter oder überschreitet die relevanten Umsatz- oder Bilanzsummenschwellen.
  • Sie betreiben IT-Systeme, Netzwerke oder digitale Dienste, deren Ausfall erhebliche Auswirkungen auf Wirtschaft oder Gesellschaft haben kann.
  • Sie waren bisher kein KRITIS-Betreiber, fallen aber aufgrund der abgesenkten Schwellenwerte erstmals unter das Gesetz.

Treffen mehrere Punkte zu, ist eine vertiefte Prüfung dringend zu empfehlen.

Inhaltlich verlangt NIS 2 keine exotischen oder realitätsfernen Maßnahmen. Gefordert wird ein systematisches, dokumentiertes und wirksames Informationssicherheitsmanagement. Dazu gehören Risikoanalysen, Notfall- und Incident-Response-Konzepte, Lieferkettensicherheit, Schulungen für Geschäftsleitungen und Mitarbeiter sowie klare Meldeprozesse bei Sicherheitsvorfällen. Neu ist vor allem die Verbindlichkeit und die persönliche Verantwortung der Geschäftsleitung.

Das BSI orientiert sich bei der Bewertung der Maßnahmen weiterhin am Stand der Technik. In der Praxis bietet sich eine Umsetzung der IT-Sicherheit nach BSI-Grundschutz bzw. ISO 27001 an. Wer bereits nach diesen Standards arbeitet, hat eine solide Ausgangsbasis. Wer noch keine strukturierte Sicherheitsarchitektur etabliert hat, sollte jetzt handeln.

NIS 2 schafft damit weniger neue Pflichten als vielmehr Klarheit. Unternehmen wissen nun, wer zuständig ist, welche Anforderungen gelten und welche Konsequenzen drohen, wenn sie ignoriert werden. Gleichzeitig bietet das Gesetz einen Rahmen, um Informationssicherheit strategisch und planbar umzusetzen.

Und jetzt? Ichhelfe Ihnen gerne

Sie sind unsicher, ob Ihr Unternehmen unter NIS 2 fällt oder welche Rolle Sie als Geschäftsleitung konkret haben?
Sprechen Sie mich gerne an. Eine kurze Einordnung schafft oft bereits Klarheit über Handlungsbedarf und Prioritäten.

Wenn Sie als Geschäftsführer wissen möchten, was NIS 2 praktisch für Sie bedeutet, bietet mein Seminar NIS 2 für Entscheider eine kompakte und verständliche Übersicht. Es geht um Verantwortlichkeiten, typische Fallstricke und darum, wie Informationssicherheit wirtschaftlich sinnvoll organisiert werden kann.

Wenn Sie vor allem an der strukturierten Umsetzung interessiert sind, ist IT-Sicherheit nach BSI-Grundschutz ein bewährter Ansatz. In meinen BSI-Seminaren zeige ich, wie sich gesetzliche Anforderungen systematisch und praxisnah abbilden lassen.

Hier geht es zu meinen Seminaren:  cheyenne-IT.de/seminare

Auch für eine allgemeine Strategieberatung stehe ich Ihnen gerne zur Verfügung.