Zum Inhalt springen

Neue Cybersecurity-Pflichten für Unternehmen: Was das NIS2-Gesetz bedeutet

In diesem Jahr kommt auf viele Unternehmen in Deutschland eine große Veränderung zu: Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) tritt in Kraft. Es setzt die europäische NIS2-Richtlinie in deutsches Recht um und soll die Cybersicherheit in Wirtschaft und Verwaltung deutlich verbessern.
25. Juni 2025 durch
Neue Cybersecurity-Pflichten für Unternehmen: Was das NIS2-Gesetz bedeutet
Jonas Dallmann

Abwehr im digitalen Raum: NIS2 macht IT-Sicherheit zur Pflicht. (Foto: Adobe Stock)

Was ist NIS2?

NIS2 steht für „Network and Information Security Directive 2“ – eine EU-Richtlinie, die Mindeststandards für IT-Sicherheit festlegt. Ziel ist es, kritische Dienste und Infrastrukturen besser gegen Cyberangriffe zu schützen.

Wer ist betroffen?

Über 30.000 Unternehmen in Deutschland fallen unter die neuen Regeln. Dazu gehören:

  • Betreiber kritischer Anlagen (z. B. Strom- und Wasserversorgung)
  • Große Unternehmen mit über 250 Mitarbeitenden oder mehr als 50 Mio. € Umsatz
  • Mittlere Unternehmen in wichtigen Sektoren (z. B. Transport, Gesundheit, Chemie)
  • Öffentliche Einrichtungen und Bundesbehörden

Was ändert sich konkret?

Unternehmen müssen umfangreiche IT-Sicherheitsmaßnahmen umsetzen. Dazu gehören unter anderem:

  • Risikomanagement: IT-Risiken müssen systematisch erkannt und behandelt werden.
  • Vorfallmeldungen: Sicherheitsvorfälle müssen gemeldet werden – teilweise innerhalb von 24 Stunden.
  • Technische Schutzmaßnahmen: z. B. Firewalls, Angriffserkennung, Zugangskontrollen.
  • Governance & Verantwortlichkeit: Geschäftsleitungen sind für die Umsetzung verantwortlich.
  • Nachweise und Audits: Kritische Betreiber müssen alle 3 Jahre ihre Sicherheitsvorkehrungen prüfen lassen.

Strenge Aufsicht und Sanktionen

Die Aufsicht wird verschärft: Behörden wie das BSI erhalten mehr Befugnisse, z. B. zur Registrierung und Prüfung. Bei Verstößen drohen hohe Bußgelder – bis zu 20 Millionen Euro oder 2 % des weltweiten Umsatzes.

Wann tritt NIS2 in Kraft?

Entgegen allen Hoffnungen auf rasche Klarheit kommt es bei der Umsetzung der NIS-2-Richtlinie zu Verzögerungen. Die Umsetzung, die ursprünglich bereits bis Oktober 2024 hätte erfolgen müssen, steht infolge des Bruchs der Koalition weiter aus. Das Gesetz kann final erst von der neuen Regierung verabschiedet werden.

Gibt es Ausnahmen?

Ja. Unternehmen aus bestimmten Bereichen (z. B. Telekommunikation oder Finanzsektor) fallen unter eigene Regelungen wie das Telekommunikationsgesetz (TKG) oder die EU-Finanzregulierung DORA.

Was Unternehmen jetzt tun sollten

Auch wenn das Gesetz noch nicht in Kraft getreten ist, sollten Unternehmen schon jetzt mit der Vorbereitung beginnen:

  • Prüfen, ob sie betroffen sind
  • Zuständigkeiten im Unternehmen klären
  • Sicherheitsmaßnahmen nach NIS2 planen
  • Gegebenenfalls bestehende ISO-27001-Zertifizierungen erweitern

Fazit

Das neue NIS2-Gesetz ist ein Gamechanger für die Cybersicherheit in Deutschland. Es bringt mehr Pflichten, aber auch mehr Klarheit und Standards. Unternehmen, die sich frühzeitig vorbereiten, sind klar im Vorteil – technisch, rechtlich und im Vertrauen ihrer Kunden. Hast Du noch Fragen oder brauchst Hilfe bei der Umsetzung? ITnavigator unterstützt Dich und Dein Unternehmen gerne. Sprich uns gerne einfach an.

 

---------------

(Quelle: Das NIS2-Umsetzungsgesetz NIS2UmsuCG – OpenKRITIS)

Unsere Blogs