NIS-2-Gesetz, Bundesrat

NIS-2-Gesetz: Bundesrat genehmigt Cybersecurity-Wende für 30.000 Unternehmen

22.11.2025 - 05:50:12

NIS-2-Gesetz: Bundesrat genehmigt Cybersecurity-Wende für 30.000 Unternehmen - Foto: über boerse-global.de
NIS-2-Gesetz: Bundesrat genehmigt Cybersecurity-Wende für 30.000 Unternehmen - Foto: über boerse-global.de

Deutschland verschärft seinen Cyberschutz drastisch. Am Freitag hat der Bundesrat das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in seiner 1.059. Sitzung offiziell gebilligt. Damit steht der finalen Inkraftsetzung nichts mehr im Weg – und ab Anfang 2026 müssen sich rund 30.000 Unternehmen in Deutschland auf deutlich strengere Cybersecurity-Regeln einstellen.

Die Entscheidung der Länderkammer folgt auf die Verabschiedung durch den Bundestag am 13. November. Nach monatelangen Debatten über bürokratische Belastungen ist damit ein entscheidender Meilenstein erreicht: Deutschland setzt die EU-Richtlinie zur Cybersicherheit um und erweitert den Kreis regulierter Branchen massiv.

Der Freitag markierte das Ende eines zähen Gesetzgebungsverfahrens. Als Tagesordnungspunkt 78 behandelte die Länderkammer das Gesetz am Vormittag – und stimmte dem Regierungsentwurf zu. Die Zustimmung erfolgte gut eine Woche nach der Bundestags-Abstimmung, bei der die Regierungskoalition zusammen mit der CDU/CSU-Fraktion grünes Licht gegeben hatte.

„Der Bundesrat hat dem Gesetzentwurf der Bundesregierung zugestimmt”, bestätigte die Bundesregierung in einer Stellungnahme nach der Sitzung. Das Gesetz überträgt die EU-Richtlinie NIS-2 in nationales Recht – ein Schritt, der eigentlich bereits im Oktober 2024 hätte erfolgen sollen. Die Verzögerung hatte Deutschland in Brüssel unter Druck gesetzt, weshalb die Abstimmung vom Freitag prozedural hochbrisant war.

Anzeige

Passend zum Thema Compliance und Cybersicherheit: Viele Unternehmen unterschätzen, wie schnell neue Vorgaben wie NIS‑2 handlungsfähig werden müssen – Studien zeigen, dass ein Großteil der Firmen nicht ausreichend vorbereitet ist. Unser kostenloses E‑Book “Cyber Security Awareness Trends” richtet sich an Geschäftsführer und IT‑Verantwortliche, gibt konkrete Prioritäten für KMU vor und erklärt pragmatische Schutzmaßnahmen, Meldeprozesse und Awareness-Maßnahmen. Kostenloses Cyber-Security-E-Book herunterladen

Rechtsexperten rechnen damit, dass das Gesetz in den kommenden Wochen vom Bundespräsidenten unterzeichnet und im Bundesgesetzblatt veröffentlicht wird. „Das Gesetz tritt unmittelbar mit seiner Verkündung in Kraft”, erklärten Juristen der Kanzlei Bird & Bird bereits am 19. November in einem Briefing. „Spätestens Anfang 2026 dürfte es wirksam werden.”

Radikaler Bruch mit bisherigen IT-Sicherheitsregeln

Was kommt da auf deutsche Unternehmen zu? Die neuen Vorschriften bedeuten einen Paradigmenwechsel. Bislang konzentrierten sich IT-Sicherheitsgesetze primär auf Betreiber kritischer Infrastrukturen (KRITIS) – Energie- und Wasserversorger etwa. NIS-2 geht weit darüber hinaus und erfasst „wichtige” und „wesentliche” Einrichtungen in 18 Branchen.

Die wichtigsten Änderungen im Überblick:

  • Deutlich größerer Anwendungsbereich: Nun fallen auch Abfallwirtschaft, Lebensmittelproduktion, verarbeitendes Gewerbe und digitale Anbieter unter die Regulierung. Die Plattform OpenKRITIS schätzt, dass über 30.000 Unternehmen in Deutschland künftig der Aufsicht des BSI unterliegen.

  • Verschärfte Meldepflichten: Betroffene Firmen müssen signifikante Cyber-Vorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) binnen strikter Fristen melden – eine „Frühwarnung” innerhalb von 24 Stunden, eine detaillierte Vorfallsmeldung binnen 72 Stunden.

  • Persönliche Haftung der Geschäftsführung: Einer der umstrittensten Punkte: Geschäftsführer können die Verantwortung für Cybersicherheit nicht mehr delegieren. Sie müssen Risikomanagement-Maßnahmen überwachen und verpflichtende Schulungen absolvieren.

  • Drakonische Bußgelder: Verstöße können mit Geldstrafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen geahndet werden.

„Unternehmen, die bisher darauf vertraut haben, dass der deutsche Gesetzgeber langsam vorgeht… sollten sich spätestens jetzt mit NIS-2 befassen”, warnten Rechtsberater der Kanzlei SKW Schwarz nach der Bundestags-Abstimmung. Die Kanzlei betonte, dass es „keine Übergangsphasen” gibt, sobald das Gesetz in Kraft tritt.

Kritik an Bürokratie und Umsetzung

Während die Sicherheitsziele breite Unterstützung finden, stößt die konkrete Umsetzung auf Widerstand. Unternehmensverbände und Oppositionsparteien kritisieren die administrative Belastung. Während des Gesetzgebungsverfahrens äußerten Industrievertreter die Sorge, dass der „Einheitsansatz” vor allem kleine und mittelständische Unternehmen (KMU) überfordern könnte, die nun als „wichtige Einrichtungen” klassifiziert werden.

Der Bundesrat selbst hatte zuvor Bedenken bezüglich der Integration von Landesverwaltungen und der Klarheit über die neuen BSI-Befugnisse angemeldet. In der Sitzung am Freitag verzichteten die Länder jedoch darauf, den Vermittlungsausschuss anzurufen – und akzeptierten damit den Kompromiss, der im Innenausschuss des Bundestags erarbeitet worden war.

Das BSI übernimmt als zentrale Aufsichtsbehörde erweiterte Befugnisse: Es kann Anordnungen erlassen und Audits durchführen. „Ziel ist es, wichtige Einrichtungen und den europäischen Binnenmarkt zu schützen und ihre Abwehrfähigkeiten zu stärken”, so die Bundesregierung. Um die gestiegene Arbeitslast zu bewältigen, wird das BSI zudem die Rolle des Chief Information Security Officer (CISO) für die Bundesverwaltung übernehmen.

Wettlauf gegen die Zeit

Deutschland hat die NIS-2-Umsetzung regelrecht gegen die Uhr durchgeboxt. Die EU-Richtlinie (2022/2555) trat offiziell im Januar 2023 in Kraft und gab den Mitgliedstaaten bis zum 17. Oktober 2024 Zeit für die nationale Umsetzung. Deutschland verpasste diese Frist – wie mehrere andere EU-Länder auch – und schuf damit Rechtsunsicherheit für grenzüberschreitend tätige Unternehmen.

Mit der Verabschiedung am 21. November wird diese Unsicherheit beseitigt. Allerdings bleibt betroffenen Firmen ein extrem kurzes Zeitfenster zur Vorbereitung. Anders als bei der Datenschutz-Grundverordnung (DSGVO), die eine zweijährige Übergangsfrist hatte, wird das NIS-2-Umsetzungsgesetz am Tag nach seiner Verkündung vollstreckbar sein.

Was jetzt auf Unternehmen zukommt

Mit dem abgeschlossenen Gesetzgebungsverfahren verlagert sich der Fokus auf die Compliance. Juristen erwarten die Unterzeichnung und Veröffentlichung des Gesetzes im Dezember 2025 oder Januar 2026.

Für die über 30.000 betroffenen Unternehmen beginnt nun der Countdown. Erste Priorität: herausfinden, ob man als „wesentliche” oder „wichtige” Einrichtung eingestuft wird – und anschließend eine Lückenanalyse der aktuellen IT-Sicherheitsmaßnahmen durchführen. Das BSI wird in den kommenden Monaten weitere Leitlinien und Durchführungsverordnungen veröffentlichen, um technische Standards und Meldeformate zu präzisieren.

„Cyber-Resilienz ist zu einem entscheidenden Wettbewerbs- und Stabilitätsfaktor geworden”, so Analysten. Angesichts der sich verschärfenden Bedrohungslage durch Ransomware und staatlich gesteuerte Angriffe soll das NIS-2-Rahmenwerk sicherstellen, dass Deutschlands Wirtschaftsmotor robust genug ist, um digitalen Stürmen standzuhalten.

Anzeige

PS: Geschäftsführer und IT-Verantwortliche, die sich jetzt konkret auf NIS‑2 vorbereiten möchten, finden in unserem kostenlosen Leitfaden praxiserprobte Checklisten, Vorfall-Reporting-Vorlagen und Sofort-Maßnahmen gegen Ransomware. Der Guide richtet sich speziell an mittelständische Unternehmen und zeigt, wie Sie Meldepflichten erfüllen und Haftungsrisiken minimieren. Jetzt kostenlosen NIS‑2-Cyber-Guide sichern

@ boerse-global.de
Die besten Black Friday Angebote für