teamleiter-zeigt-dem-auszubildenden-wie-maschinelles-lernen-zur-optimierung-des-rechenzentrums-verwend

Cybersicherheit als Staatsziel: Das NIS2-Umsetzungsgesetz beschlossen

VonJanko Williams

Was Sie in diesem Artikel erfahren

In diesem Artikel erhalten Sie eine umfassende Analyse des vom Bundeskabinett beschlossenen Gesetzes zur Umsetzung der EU-Richtlinie NIS2. Wir beleuchten die Hintergründe, warum dieses Gesetz von entscheidender Bedeutung für die Cybersicherheit in Deutschland ist und welche konkreten Verpflichtungen auf rund 29.500 Unternehmen zukommen. Zudem erfahren Sie, wie sich die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) wandelt, welche Fristen gelten und warum die persönliche Haftung von Führungskräften einen Paradigmenwechsel darstellt. Abschließend geben wir einen Ausblick auf die weiteren Schritte im Gesetzgebungsverfahren und fassen die wichtigsten Punkte zusammen.

Die Notwendigkeit der NIS2-Richtlinie: Eine Antwort auf die wachsende Bedrohungslage

Die digitale Welt ist heute mehr denn je von einer stetig wachsenden Anzahl und Komplexität von Cyberangriffen bedroht. Staatlich gesteuerte Attacken, Ransomware-Angriffe und die ständige Suche nach Schwachstellen in kritischen Infrastrukturen sind zu einer allgegenwärtigen Gefahr geworden. Die bisherigen gesetzlichen Regelungen, wie das IT-Sicherheitsgesetz 2.0, reichen angesichts dieser dynamischen Bedrohungslage nicht mehr aus. Die EU hat daher mit der NIS2-Richtlinie (Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union) eine umfassende Modernisierung und Erweiterung der bisherigen Cybersicherheitsstandards initiiert.

Deutschland, als eine der führenden Wirtschaftsnationen, ist besonders auf eine widerstandsfähige digitale Infrastruktur angewiesen. Das Bundesministerium des Innern und für Heimat (BMI) hat daher den Entwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2UmsuCG) vorgelegt. Der Kabinettsbeschluss vom 30. Juli 2025 markiert einen entscheidenden Schritt auf dem Weg zu einer stärkeren und besser geschützten digitalen Infrastruktur. Bundesinnenminister Alexander Dobrindt betonte in der Pressemitteilung die Dringlichkeit der Maßnahme: “Mit dem neuen Gesetz schaffen wir ein deutlich höheres Sicherheitsniveau für unsere Wirtschaft und Verwaltung. Unternehmen und Behörden werden widerstandsfähiger gegen Cyberangriffe.”

Wer ist betroffen? Eine massive Ausweitung des Anwendungsbereichs

Einer der markantesten Unterschiede zu den bisherigen Gesetzen ist die massive Ausweitung des Anwendungsbereichs. Während sich die bisherigen Regelungen vornehmlich auf Betreiber kritischer Infrastrukturen (KRITIS) konzentrierten, erfasst die NIS2-Richtlinie nun auch eine Vielzahl von sogenannten “wichtigen” und “besonders wichtigen” Einrichtungen. Die Anzahl der betroffenen Unternehmen steigt damit von wenigen hundert auf rund 29.500 in Deutschland.

Zu den Sektoren, die nun in den Fokus rücken, gehören unter anderem:

  • Energie: Strom, Gas, Fernwärme und Öl.
  • Transport und Verkehr: Luft-, Schienen-, Wasser- und Straßenverkehr.
  • Finanzwesen: Kreditinstitute, Börsen, zentrale Gegenparteien.
  • Gesundheitswesen: Krankenhäuser, Pharmaunternehmen, Labore.
  • Digitale Infrastrukturen: Cloud-Computing-Anbieter, Rechenzentren, DNS-Dienste.
  • Öffentliche Verwaltung: Regierung und Bundesbehörden.
  • Produzierendes Gewerbe: Bestimmte Sektoren wie Chemie, Lebensmittel und die Herstellung von Medizinprodukten.

Die Einstufung als “wichtige” oder “besonders wichtige” Einrichtung hängt dabei von der Größe des Unternehmens (Mitarbeiterzahl und Umsatz) sowie von der Bedeutung der erbrachten Dienstleistung für die Gesellschaft ab. Kleinere und mittlere Unternehmen (KMU) können unter Umständen ebenfalls betroffen sein, insbesondere wenn sie als einzigartiger Anbieter in einem bestimmten Sektor fungieren. Die detaillierte Ausgestaltung dieser Kriterien wird in den kommenden Monaten für viele Unternehmen eine zentrale Frage sein.

Kernpunkte der neuen Cybersicherheitsmaßnahmen

Das NIS2-Umsetzungsgesetz schreibt eine Reihe konkreter Maßnahmen vor, die alle betroffenen Unternehmen umsetzen müssen. Diese gehen über rein technische Vorkehrungen hinaus und erfordern eine ganzheitliche Betrachtung der Cybersicherheit.

  1. Risikomanagementpflichten: Unternehmen sind verpflichtet, ein angemessenes und verhältnismäßiges Risikomanagement einzuführen. Dazu gehören die Identifizierung von Risiken, der Schutz von Daten und Systemen sowie die Wiederherstellung nach einem Vorfall. Beispiele für erforderliche Maßnahmen sind:
    • Sicherheit von Systemen und deren Beschaffung.
    • Incident-Response-Management zur Reaktion auf Sicherheitsvorfälle.
    • Business Continuity Management und Notfallpläne, um den Geschäftsbetrieb aufrechtzuerhalten.
    • Sicherheit in der Lieferkette, inklusive der Überprüfung von Dienstleistern und Zulieferern.
  2. Meldepflichten: Die Meldung von Sicherheitsvorfällen wird gestrafft und verschärft. Es wird ein gestuftes Meldeverfahren eingeführt:
    • Frühmeldung (innerhalb von 24 Stunden): Nach dem Bekanntwerden eines Vorfalls muss eine erste Meldung an das BSI erfolgen.
    • Zwischenmeldung (innerhalb von 72 Stunden): Eine detailliertere Analyse des Vorfalls und der ergriffenen Maßnahmen ist erforderlich.
    • Abschlussbericht (innerhalb von einem Monat): Ein umfassender Bericht über den Vorfall, die Ursachen und die finalen Gegenmaßnahmen muss vorgelegt werden.
  3. Persönliche Haftung von Führungskräften: Ein Novum des Gesetzes ist die Verankerung der persönlichen Haftung für Mitglieder der Leitungsorgane. Das bedeutet, dass Geschäftsführung und Vorstandsmitglieder nicht nur eine finanzielle, sondern auch eine persönliche Verantwortung für die Umsetzung der Cybersicherheitsmaßnahmen tragen. Sie müssen die Risikomanagementmaßnahmen nicht nur festlegen, sondern auch aktiv überwachen. Bei Versäumnissen drohen nicht nur Bußgelder für das Unternehmen, sondern auch persönliche Sanktionen. Dieser Paradigmenwechsel unterstreicht die Wichtigkeit, die Cybersicherheit nicht als reine IT-Aufgabe, sondern als Top-Management-Thema zu begreifen.

Die Rolle des BSI: Vom Berater zum strengen Aufseher

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird mit der Umsetzung der NIS2-Richtlinie eine deutlich stärkere Rolle einnehmen. Es entwickelt sich vom primären Berater und Koordinator zu einer aktiven Aufsichtsbehörde. Es erhält erweiterte Befugnisse, um die Einhaltung der gesetzlichen Vorgaben zu überprüfen. Dies beinhaltet die Durchführung von Audits, die Anforderung von Informationen und die Verhängung von Sanktionen bei Verstößen. Die Zusammenarbeit mit den betroffenen Unternehmen soll weiterhin im Vordergrund stehen, doch die Kontrollfunktion wird deutlich gestärkt, um ein hohes Maß an Verbindlichkeit zu gewährleisten.

Fahrplan und Ausblick

Nach dem Kabinettsbeschluss beginnt nun der parlamentarische Prozess. Der Gesetzentwurf wird dem Bundesrat zugeleitet und anschließend im Bundestag behandelt. Der Zeitplan ist ambitioniert, da Deutschland die EU-Vorgaben fristgerecht umsetzen muss, um ein Vertragsverletzungsverfahren zu vermeiden.

  • Juli 2025: Kabinettsbeschluss.
  • August 2025: Zuleitung an den Bundesrat.
  • Herbst 2025: Erste Lesung im Bundestag und Beginn der parlamentarischen Debatte.
  • Ende 2025: Geplanter Gesetzesbeschluss und Inkrafttreten.

Die genauen Details der Umsetzung, insbesondere die Schwellenwerte für die Betroffenheit und die praktischen Anforderungen an das Risikomanagement, werden in den kommenden Monaten präzisiert. Es ist zu erwarten, dass das BSI hierfür weitere Leitfäden und Empfehlungen herausgeben wird, um den Unternehmen die Umsetzung zu erleichtern.

Quelle: Bundesministerium des Innern und für Heimat, Pressemitteilung vom 30.07.2025: „Wirtschaft und Staat vor Cyberattacken schützen: Bundesregierung beschließt umfassende Änderung des IT-Sicherheitsrechts.“

Fazit

Der Kabinettsbeschluss zum NIS2-Umsetzungsgesetz ist ein wichtiger und notwendiger Schritt, um Deutschland besser vor den wachsenden Cyberbedrohungen zu schützen. Die Ausweitung des Anwendungsbereichs auf eine Vielzahl von Unternehmen, die Einführung strenger Risikomanagement- und Meldepflichten sowie die persönliche Haftung von Führungskräften markieren einen fundamentalen Wandel in der deutschen Cybersicherheitspolitik. Die Verantwortung für die digitale Sicherheit liegt nicht mehr allein bei IT-Abteilungen, sondern wird zur Chefsache. Die kommenden Monate werden von entscheidender Bedeutung sein, um die Details des Gesetzes zu klären und die betroffenen Unternehmen bei der Umsetzung der neuen Anforderungen zu unterstützen. Das Ziel ist klar: Eine widerstandsfähigere und sichere digitale Infrastruktur für die deutsche Wirtschaft und Gesellschaft zu schaffen.

Ähnliche Beiträge