NIS2-Gesetz: Bundesrat entscheidet heute über Cybersicherheit für 29.500 Unternehmen

Nach über einem Jahr Verzögerung steht Deutschland kurz vor einem Paradigmenwechsel in der IT-Sicherheit. Der Bundesrat stimmt heute über das NIS2-Umsetzungsgesetz ab – mit drastischen Folgen für Zehntausende Firmen.

Die Abstimmung im Bundesrat markiert das Ende eines turbulenten legislativen Marathons. Bereits am 13. November hatte der Bundestag grünes Licht für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz gegeben. Bei Zustimmung heute tritt das Gesetz voraussichtlich Anfang 2026 in Kraft und beendet damit eine regulatorische Hängepartie, die Deutschland europaweit in Erklärungsnot gebracht hatte.

Die Dimension des Vorhabens ist beispiellos: Während das bisherige IT-Sicherheitsgesetz 2.0 rund 4.500 Betreiber kritischer Infrastrukturen erfasste, weitet das neue Regelwerk den Anwendungsbereich auf geschätzt 29.500 „wesentliche” und „wichtige” Einrichtungen aus. Das entspricht einer Versechsfachung der betroffenen Unternehmen.

Viele Unternehmen sind auf die neuen NIS2-Anforderungen und die strengen Meldefristen (24/72 Stunden) noch nicht vorbereitet. Während Bund und BSI die Überwachung verschärfen und persönliche Haftungen drohen, hilft ein praxisorientierter Leitfaden, Prioritäten zu setzen: Incident-Response-Schritte, Risikomanagement-Checkliste und Sofortmaßnahmen für IT und Geschäftsführung. Der Guide richtet sich an Geschäftsführer, IT-Verantwortliche und Compliance-Teams und zeigt, wie Sie NIS2-konforme Prozesse schnell und kosteneffizient umsetzen. Jetzt kostenlosen Cyber-Security-Guide für Unternehmen herunterladen

Ein Gesetz mit Anlauf

Der Weg zur heutigen Entscheidung war steinig. Deutschland verpasste die EU-Umsetzungsfrist vom 17. Oktober 2024 – mit Folgen: Die EU-Kommission leitete am 28. November 2024 ein Vertragsverletzungsverfahren ein. Der Zusammenbruch der Ampelkoalition Ende 2024 und die Bundestagswahl im Februar 2025 warfen den Gesetzgebungsprozess zusätzlich zurück, da die ursprünglichen Entwürfe verfielen.

„Die Bedrohungen im Cyber-Raum nehmen nicht nur zu, sie verändern sich auch qualitativ und strategisch”, warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht während der parlamentarischen Debatten. Im Mai 2025 verschärfte Brüssel den Ton mit einer begründeten Stellungnahme – der Vorstufe zur Klage vor dem Europäischen Gerichtshof.

Meldepflicht im Eiltempo

Was kommt konkret auf die Unternehmen zu? Das Gesetz verpflichtet Firmen aus 18 Sektoren – darunter Energie, Verkehr, Gesundheit und digitale Infrastruktur – zu umfassenden technischen und organisatorischen Schutzmaßnahmen gegen Cyberrisiken.

Gestaffelte Meldekette: Bei erheblichen Sicherheitsvorfällen müssen Unternehmen binnen 24 Stunden eine Frühwarnung ans BSI absetzen, gefolgt von einer detaillierten Meldung nach 72 Stunden und einem Abschlussbericht innerhalb eines Monats.

Risikomanagement: Verpflichtende Einführung von Incident-Response-Prozessen, Business-Continuity-Plänen, Lieferkettensicherheit und Verschlüsselungsprotokollen.

Registrierungspflicht: Betroffene Unternehmen müssen sich proaktiv beim BSI registrieren.

Rechtsexperten von Rödl & Partner betonten in einer Analyse vom 19. November, dass das dreistufige Meldesystem eine erhebliche Verschärfung darstelle und IT-Abteilungen zu schnellen Reaktionsfähigkeiten zwinge.

Geschäftsführer in der Haftung

Besonders brisant: Die neue persönliche Haftung der Geschäftsführung. Das Gesetz schreibt vor, dass Führungsgremien Cybersicherheitsmaßnahmen genehmigen und deren Umsetzung überwachen müssen. Verstöße können Manager persönlich zur Verantwortung ziehen – ein bewusster Schachzug, um IT-Sicherheit zur Chefsache zu machen.

Die Strafen haben es in sich: Das BSI erhält erweiterte Aufsichts- und Ermittlungsbefugnisse. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes für „wesentliche Einrichtungen”. Für „wichtige Einrichtungen” liegt die Obergrenze bei sieben Millionen Euro oder 1,4 Prozent des Umsatzes.

BSI wird zum Cybersecurity-Zentrum

Das Gesetz definiert auch die Rolle des BSI neu. Neben der Aufsicht über die Privatwirtschaft übernimmt die Behörde künftig die Funktion des Chief Information Security Officer (CISO) für die gesamte Bundesverwaltung – eine Zentralisierung der IT-Sicherheitsgovernance über alle Ministerien hinweg.

In einer Stellungnahme nach der Bundestagsentscheidung vergangene Woche betonte das BSI, das Gesetz werde „das nationale IT-Sicherheitsrecht umfassend modernisieren” und die Behörde als zentrale Drehscheibe für zivile und staatliche Cyberabwehr positionieren.

Die Schonfrist läuft ab

Mit der heutigen Bundesratsabstimmung endet die regulatorische Unsicherheit, die seit einem Jahr über der deutschen Wirtschaft schwebt. Rechtsberater warnen eindringlich: Die Schonfrist ist vorbei.

„Die Zeit ‚vor dem Gesetz’ ist abgelaufen – die Inhalte sind politisch gesetzt”, konstatierten Analysten der Plattform OpenKRITIS am 14. November. Unternehmen, die ihre Vorbereitungen aufgrund der politischen Instabilität Ende 2024 verschoben haben, stehen nun unter Zeitdruck. Bis zum wahrscheinlichen Inkrafttreten Anfang 2026 bleiben nur wenige Monate, um konforme Prozesse zu etablieren.

Für die deutschen Firmen bedeutet das: Jetzt wird es ernst mit der Cybersicherheit – nicht als freiwillige Kür, sondern als rechtlich durchsetzbare Pflicht mit drakonischen Sanktionen bei Nichtbeachtung.

PS: Jetzt, wo die Schonfrist abläuft und Bußgelder sowie persönliche Haftungsrisiken drohen, sollten Unternehmen schnell handeln. Das kostenlose E-Book erklärt in vier sofort umsetzbaren Schritten, wie Sie Meldeketten, Business-Continuity und einfache Schutzmaßnahmen etablieren – ohne große IT-Investitionen. Inklusive Vorlagen für Incident-Response und Checklisten, die Geschäftsführer sofort nutzen können. Cyber-Security-Check in 4 Schritten gratis herunterladen