Contents
Updates zur NIS-2 Umsetzung in Deutschland
Aktueller Stand und Zeitplan im Gesetzgebungsverfahren
Nach über einjähriger Verzögerung hat der Deutsche Bundestag am 13. November 2025 das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in zweiter und dritter Lesung verabschiedet. Der Bundesrat stimmte dem Gesetz am 21. November 2025 zu. Mit der Veröffentlichung im Bundesgesetzblatt wird das Inkrafttreten für Ende Dezember 2025 oder Anfang Januar 2026 erwartet.
Dieser Artikel dokumentiert die konkreten Entscheidungen und Änderungen aus der parlamentarischen Phase. Falls Sie noch nicht mit den grundlegenden Anforderungen der NIS-2-Richtlinie vertraut sind, empfehlen wir Ihnen zunächst unseren Basisartikel zu lesen. Dieser erläutert die konzeptionellen Anforderungen und den Aufbau der Richtlinie.
➤ Zum BasisartikelDie wesentlichen Etappen im Überblick
| Date | Meilenstein | Status |
| 24.06.2025 | Veröffentlichung des Referentenentwurfs | Abgeschlossen |
| 30.07.2025 | Verabschiedung des Regierungsentwurfs durch das Bundeskabinett | Abgeschlossen |
| 11.09.2025 | Erste Lesung im Bundestag | Abgeschlossen |
| 13.11.2025 | Zweite und dritte Lesung – Verabschiedung durch Bundestag | ✓ Beschlossen |
| 21.11.2025 | Zustimmung durch Bundesrat | ✓ Beschlossen |
| Dezember 2025 | Veröffentlichung im Bundesgesetzblatt | Ausstehend |
| Januar 2026 | Inkrafttreten des Gesetzes | Erwartet |
Unternehmen müssen sich darauf einstellen, dass ab Inkrafttreten konkrete Fristen zur Umsetzung der neuen Anforderungen beginnen – insbesondere die Registrierung beim BSI innerhalb von 3 Monaten und die Etablierung von Meldeverfahren mit strikten Zeitfristen (24 Stunden Erstmeldung, 72 Stunden Konkretisierung, 30 Tage Abschlussbericht).
Was ändert sich im Vergleich zum Regierungsentwurf?
Die zweite und dritte Lesung führte zu mehreren wichtigen Nachbesserungen gegenüber dem ursprünglichen Regierungsentwurf vom 30. Juli 2025:
1. Entfernung des TK-Schwellenwerts – Ausweitung auf alle Telekomdienstleister
- Im Gesetzesentwurf: Das BSI durfte gegenüber Telekommunikationsanbietern nur bei mehr als 100.000 Kunden handeln.
- Nach 2./3. Lesung: Der Schwellenwert wurde komplett gestrichen. Das BSI kann nunmehr auch Anordnungen gegenüber kleineren, regionalen Telekomanbietern treffen – was einen deutlich größeren Kreis von Betreibern unter Aufsicht stellt.
2. Kritische Komponenten: Drastisch erweiterte BMI-Befugnisse (§ 41 BSIG)
- Ursprüngliche Regelung: Das Bundesinnenministerium durfte kritische Komponenten nur verbieten, wenn bereits ein Sicherheitsvorfall gemeldet wurde.
- Neue Regelung: Das BMI erhält die eigenständige, präventive Befugnis, den Einsatz kritischer Komponenten zu untersagen – auch ohne vorherigen Vorfall. Die Entscheidung erfolgt im Benehmen mit anderen Bundesministerien und dem Auswärtigen Amt. Dies war eine der kontroversesten Änderungen und wurde von Bitkom und dem eco Verband kritisiert.
3. Massive Ausweitung der Bundesverwaltung
- Im Gesetzesentwurf: Viele Bundesbehörden (Auswärtiges Amt, Verteidigung, Nachrichtendienste, Polizei) waren ausgenommen.
- Nach 2./3. Lesung: Alle Bundesbehörden unterliegen nun den NIS-2-Anforderungen – mit Ausnahme nur einiger besonders sensibler Bereiche (Kernbereich BMVg, AA-Kernbereich, BND, BfV, Strafverfolgung). Dies folgte massiver Kritik von BSI-Präsidentin Claudia Plattner.
4. Anpassung der Ausnahmeregelungen bei Energieanlagen
- Präzisierung: Die Regelung für Ausnahmen bei Energieanlagen (§ 28 Abs. 5 BSIG) wurde konkretisiert. Sie dürfen nur als Nebentätigkeit ausfallen, um von NIS-2-Anforderungen befreit zu sein. Dies verhindert Umstrukturierungen zur künstlichen Ausnahmenutzung.
5. Neue Stelle: Koordinator für Informationssicherheit
- Neu hinzugefügt wurde die Errichtung eines Amts des Koordinators für Informationssicherheit (§ 48 BSIG) mit zentraler Koordinierungsfunktion für die Bundesverwaltung.
Noch nicht ausgenutzte Öffnungsklauseln der EU-Richtlinie
Zertifizierungspflichten (Artikel 24 Abs. 1 NIS-2)
Die EU-Richtlinie erlaubt Mitgliedsstaaten, verpflichtete Einrichtungen zur Nutzung von EU-zertifizierten IKT-Produkten und -Services zu verpflichten. Deutschland hat diese Öffnungsklausel bislang nicht konkretisiert. Das BMI könnte eine Verordnung erlassen, dies ist aber noch ausstehend. Experten warnen, dass eine solche Zertifizierungspflicht erhebliche Umsetzungshürden darstellt.
Massive Ausweitung des betroffenen Unternehmenskreises
Der Kreis der regulierten Einrichtungen wird von bisher ca. 4.500 auf rund 29.500 Unternehmen erweitert – eine nahezu siebenfache Steigerung. Neu einbezogen werden u.a.:
- Maschinenbau, Lebensmittelproduktion, Pharmazie, Logistik
- Post- und Lieferdienste, Abfallwirtschaft
- Digitale Dienste und digitale Infrastruktur
- Öffentliche Verwaltung (Bundesebene)
Schwellenwert: Unternehmen mit mehr als 50 Mitarbeitern oder über 10 Mio. € Jahresumsatz.
Kritische Meilensteine nach Inkrafttreten
| Frist nach Inkrafttreten | Maßnahme |
| 3 Monate | Registrierung beim BSI für alle betroffenen Einrichtungen |
| Laufend | 24-Stunden-Erstmeldung erheblicher Sicherheitsvorfälle |
| 72 Stunden | Vertieftes Zwischenmeldeverfahren |
| 30 Tage | Abschlussbericht zu Sicherheitsvorfällen |
| 12 Monate | KRITIS-Betreiber: Nachweise nach altem Recht noch möglich |
| 3 Jahre | BSI kann formale Nachweise verlangen |
| 5 Jahre | Bundesverwaltung: Vollständige Umsetzung Sicherheitsmaßnahmen |
| Jährlich | Aktualisierung Versorgungskennzahlen und Komponententypen |
Handlungsbedarf für betroffene Unternehmen
Da keine längeren Übergangsfristen vorgesehen sind (außer 12 Monate für bestehende KRITIS), sollten Unternehmen unmittelbar nach Inkrafttreten handeln:
- Betroffenheitsprüfung durchführen: BSI-Tool nutzen zur Bestimmung der genauen Einstufung
- Registrierung vorbereiten: Alle erforderlichen Daten (IP-Bereiche, kritische Komponenten, Kontaktstellen mit 24/7-Erreichbarkeit) zusammenstellen
- Meldeverfahren etablieren: 24/7-Erreichbarkeit für Sicherheitsvorfälle
- Geschäftsleitungspflichten verankern: Schulungen und regelmäßige Überwachung
- Gap-Analyse durchführen: Abgleich bestehender Maßnahmen mit § 30 BSIG-Anforderungen
- Lieferantenmanagement: Cybersicherheitsanforderungen in Verträge aufnehmen
Offizielle Quellen und weiterführende Informationen
- Bundesamt für Sicherheit in der Informationstechnik (BSI): NIS-2-Betroffenheitsprüfung (Online-Tool) – www.bsi.bund.de
- Bundesministerium des Innern (BMI): Pressemitteilung zur Verabschiedung des NIS2UmsuCG – www.bmi.bund.de
- Deutscher Bundestag: Drucksache 21/2782 – Beschlussempfehlung des Innenausschusses
- Bundesgesetzblatt: Veröffentlichung des NIS-2-Umsetzungsgesetzes (erwartet Dezember 2025)
- EU-NIS-2-Richtlinie: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates
- BSI-Grundschutz: Richtlinien zur Informationssicherheit – www.bsi.bund.de/grundschutz
Hinweis: Der Blog-Artikel wurde auf den neuesten Stand vom 24. November 2025 aktualisiert. Alle Informationen beziehen sich auf die Verabschiedung durch Bundestag (13.11.2025) und Bundesrat (21.11.2025).