Das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie in deutsches Recht wurde im November 2025 verabschiedet und trat am 6. Dezember in Kraft. Damit startete für rund 30.000 Unternehmen in Deutschland eine verpflichtende Umsetzungsphase. Ob ein Unternehmen betroffen ist, hängt von seiner Rolle und Tätigkeit im jeweiligen Bereich ab.
Unternehmen müssen sich innerhalb von drei Monaten nach den gesetzlichen Vorgaben registrieren. Die Umsetzungspflichten gelten sofort, es gibt keinen Aufschub und keine Schonfrist. Sie umfassen eine klare Scope-Definition, ein wirksames Risikomanagement, feste Meldewege und umfassende Cybersecurity-Maßnahmen.
Hier eine Übersicht der wichtigsten ersten Schritte, die Unternehmen dringend angehen sollten:
- Die Durchführung einer Risikobewertung:
Von NI2 betroffene Firmen müssen jetzt ihre Netz- und Informationssysteme auf Schwachstellen und Bedrohungen hin analysieren sowie die bestehenden Risiken klassifizieren und bewerten. - Implementierung eines Sicherheitsplans:
Basierend auf den Ergebnissen dieser Analyse sollte ein Sicherheitsplan entwickelt werden, der spezifische NIS2-Maßnahmen zur Risikominimierung enthält. Dazu gehören technische und organisatorische Sicherheitsmaßnahmen (TOM), genauso wie die Schaffung von Sicherheitsprotokollen, der regelmäßigen Überprüfung und Aktualisierung der Systeme sowie kontinuierliche Mitarbeiterschulungen. - Etablierung von Meldeverfahren:
Ein nächster Schritt besteht darin, sicherzugehen, dass transparente und effiziente Meldeverfahren für den Fall eines Vorfalls bestehen. Dadurch werden Vorfälle schneller erkannt, gemeldet und Maßnahmen zur Eindämmung eingeleitet. - Zusammenarbeit mit Behörden und anderen Betrieben:
Unternehmen sind gut beraten, enge Beziehungen zu den zuständigen Behörden sowie anderen Einrichtungen in ihrer Branche aufzubauen und zu pflegen. Der Austausch, zum Beispiel bezüglich bewährter Verfahren und Prozesse, hilft, das allgemeine Cybersicherheitslevel zu steigern. - Regelmäßige Prüfung und Anpassung aller NIS2-Maßnahmen:
Generell gilt: die Schaffung einer guten Grundlage in Sachen IT-Sicherheit ist ein fortlaufender Prozess. Langfristig gesehen sollten Betriebe ihre Sicherheitsmaßnahmen regelmäßig überprüfen und an neue Bedrohungsszenarien sowie technologische Entwicklungen anpassen. Dazu gehört kontinuierliches Monitoring aller Prozesse und die Flexibilität, auf neue Herausforderungen schnell zu reagieren.
Die Anforderungen sollen die Resilienz der Unternehmen erhöhen und die Sicherheit zentraler Dienstleistungen stärken. Es bietet sich zudem die Etablierung eines spezialisierten Cybersicherheitsteams an, falls noch nicht vorhanden. Dies ist einer der wichtigsten Schritte, um schnell in die Handlung zu kommen. Auch sollten Betriebe über die Einführung eines Informationssicherheitsmanagementsystems (ISMS) nach aktuellen Standards wie ISO 27001 oder dem BSI-Grundschutz nachdenken. Im Idealfall hilft die Lösung bei der systematischen Verwaltung von Sicherheitsrisiken und kontinuierlichen Verbesserung der etablierten Maßnahmen.
Weitere Regulierung steht an
Parallel laufen weitere regulatorische Prozesse an. Das KRITIS-Dachgesetz befindet sich in Vorbereitung und sieht verschärfte physische und digitale Schutzmaßnahmen vor. Es bringt neue Meldepflichten und eine zusätzliche Aufsicht durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Im Energiesektor werden neue IT-Sicherheitskataloge der Bundesnetzagentur erwartet. Sie sollen NIS2 und das KRITIS-Dachgesetz zusammenführen und Nachweispflichten aus dem Energiewirtschaftsgesetz einbinden. Cloud- und IT-Dienstleister müssen zudem den EU Implementing Act erfüllen. Die Vorgaben aus § 30 BSIG-E decken diese Anforderungen nicht ab. Auch die KRITIS-Verordnung wird überarbeitet. Welche Sektoren und Schwellenwerte künftig gelten, ist aktuell noch offen.
Die EU beobachtet die Entwicklung genau. Wegen der verspäteten Umsetzung läuft ein Vertragsverletzungsverfahren gegen Deutschland. Andere Mitgliedstaaten warten auf ein deutsches Gesetz, das als Orientierung dienen kann.
Relevanz für die Unternehmensstrategie
„Die regulatorische Welle nimmt Tempo auf. Für Unternehmen zählt jetzt nicht mehr, ob sie handeln, sondern wie schnell und wie wirksam“, kommentierte Roland Stritt, CRO beim deutschen Hard- und Softwarehersteller FAST LTA. „Cybersecurity und Resilienz sind keine reine Compliance-Aufgabe. Sie werden zum festen Bestandteil der Geschäftsstrategie und zum Wettbewerbsfaktor. Wir empfehlen, die neuen Vorgaben frühzeitig in eine übergreifende Sicherheits- und Datenstrategie einzubetten. Unternehmen, die früh planen, sichern sich klare Vorteile.“
Weitere Artikel zum Schwerpunkt „Fabrik der Zukunft“