NIS2-Gesetz verabschiedet: Neue Cybersicherheitspflichten für 30.000 Unternehmen

Der Bundestag hat gestern das NIS2-Umsetzungsgesetz beschlossen – mit erheblicher Verspätung, aber weitreichenden Folgen. Zehntausende Unternehmen in Deutschland müssen sich nun auf verschärfte Sicherheitsanforderungen, Meldepflichten und empfindliche Bußgelder einstellen. Die EU-Richtlinie hätte eigentlich bereits im Oktober 2024 umgesetzt werden müssen. Doch was bedeutet das Gesetz konkret für betroffene Betriebe?

Mit den Stimmen von Union, SPD und AfD wurde am Donnerstag ein Regelwerk verabschiedet, das Deutschlands digitalen Schutzschild grundlegend erneuert. Das Ziel: ein einheitlich hohes Sicherheitsniveau gegen die wachsende Bedrohung durch Cyberangriffe – nicht nur national, sondern EU-weit. Die Tragweite wird erst auf den zweiten Blick deutlich: Statt bisher 4.500 Einrichtungen fallen künftig bis zu 30.000 Organisationen unter die strengen Auflagen.

Vom Nischenthema zur Pflicht für den Mittelstand

Bisher richteten sich die Vorgaben des BSI-Gesetzes primär an Betreiber Kritischer Infrastrukturen – Energieversorger, Krankenhäuser, Telekommunikationsunternehmen. Das ändert sich jetzt grundlegend. Das neue Gesetz erfasst auch Branchen, die bislang kaum im Fokus standen: Abfallwirtschaft, produzierendes Gewerbe, Chemie, Lebensmittelindustrie und digitale Dienste.

Die Schwellenwerte sind bewusst niedrig angesetzt. Bereits Unternehmen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro müssen sich registrieren lassen. Unterschieden wird zwischen „wichtigen” und „besonders wichtigen” Einrichtungen – je nach Einstufung variieren die Anforderungen und möglichen Sanktionen. Was alle gemeinsam haben: Sie müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig Rechenschaft ablegen.

Viele Unternehmen werden von den Anforderungen der NIS2-Richtlinie überrascht – bis zu 30.000 Organisationen, 24‑Stunden-Meldepflichten und hohe Bußgelder drohen. Unser kostenloser Cyber‑Security‑Leitfaden erklärt praxisnah, welche technischen Sofortmaßnahmen (Risikomanagement, Verschlüsselung, Multi‑Faktor‑Authentifizierung) und organisatorischen Abläufe Sie jetzt einführen sollten, wie Sie Meldeprozesse strukturieren und die Geschäftsführung schlagkräftig einbinden. Für Mittelstand und Behörden. Mit Checklisten für die 24‑Stunden-Erstmeldung und Prioritätslisten für Budget und Personal. Jetzt kostenlosen Cyber‑Security‑Leitfaden sichern

Konkret bedeutet das: Risikomanagement-Konzepte nach aktuellem Stand der Technik, Pläne zur Bewältigung von Sicherheitsvorfällen, Business-Continuity-Strategien und Maßnahmen zur Lieferkettensicherheit. Verschlüsselung und Multi-Faktor-Authentifizierung werden zum Standard. Für viele mittelständische Betriebe, die bisher wenig in IT-Sicherheit investiert haben, dürfte das eine Herausforderung werden.

24 Stunden Zeit für die Erstmeldung

Das neue dreistufige Meldesystem verschärft den Druck zusätzlich. Wer einen erheblichen Sicherheitsvorfall entdeckt, hat nur noch 24 Stunden Zeit für eine Erstmeldung an das BSI. Nach 72 Stunden folgt eine detaillierte Bewertung, spätestens einen Monat später ein Abschlussbericht. Das bisherige einstufige Verfahren wird damit Geschichte.

Kann ein Unternehmen diese Fristen einhalten, wenn es gerade mit den Folgen eines Cyberangriffs kämpft? Die Behörden setzen auf schnelle Reaktionsfähigkeit und Informationsaustausch. Nur so lasse sich die Ausbreitung von Bedrohungen eindämmen und anderen Organisationen rechtzeitig warnen, heißt es aus dem BSI.

Das Bundesamt selbst wird erheblich aufgewertet. Es erhält weitreichende Aufsichts- und Durchsetzungsbefugnisse, um die Einhaltung der Vorschriften zu kontrollieren. Parallel dazu wird die Position des Chief Information Security Officer des Bundes (CISO Bund) geschaffen – eine zentrale Instanz für die Informationssicherheit der gesamten Bundesverwaltung. Erstmals gelten damit auch für Behörden dieselben strengen Maßstäbe wie für private Unternehmen.

Geschäftsführung in der Pflicht

Eine besonders brisante Neuerung: Die Geschäftsleitung haftet persönlich. Die Verantwortung für Cybersicherheit kann nicht mehr einfach an die IT-Abteilung delegiert werden. Vorstände und Geschäftsführer müssen die Sicherheitsmaßnahmen billigen, überwachen – und sich künftig auch schulen lassen. Das Gesetz führt eine Fortbildungspflicht für Führungskräfte ein, um das Bewusstsein für Cyber-Risiken zu schärfen.

Bei Verstößen wird es teuer. Je nach Schwere und Einstufung der Einrichtung drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Zum Vergleich: Ein mittelständisches Unternehmen mit 200 Millionen Euro Umsatz könnte im Extremfall mit 4 Millionen Euro belangt werden. Diese Summen sollen abschreckend wirken – und zeigen, wie ernst es der Gesetzgeber meint.

Zwischen Sicherheitsgewinn und Bürokratiesorgen

Branchenverbände wie Bitkom begrüßten die Verabschiedung grundsätzlich. Nach monatelanger Unsicherheit herrsche nun endlich Rechtssicherheit. Positiv wird bewertet, dass auch die Bundesverwaltung in die Pflicht genommen wird – ein längst überfälliger Schritt, wie es heißt.

Doch es gibt auch kritische Stimmen. Kurzfristig in das Gesetz aufgenommene Regelungen zu „kritischen Komponenten” sorgen für Unmut. Das Bundesinnenministerium erhält die Befugnis, bestimmte IT-Komponenten zu definieren und deren Einsatz zu untersagen. Unternehmen befürchten, dass dies Investitionsentscheidungen hemmen und die Digitalisierung ausbremsen könnte. Welche Komponenten konkret gemeint sind und nach welchen Kriterien sie bewertet werden, bleibt vorerst unklar.

Sofort umsetzen – ohne Übergangsfristen

Nun beginnt der Wettlauf gegen die Zeit. Das Gesetz greift unmittelbar nach seiner Verkündung – Übergangsfristen sind nicht vorgesehen. Betroffene Unternehmen müssen sich innerhalb von drei Monaten nach ihrer Identifizierung beim BSI registrieren. Wer noch keine umfassenden Sicherheitskonzepte implementiert hat, steht unter akutem Handlungsdruck.

Die Nachfrage nach qualifizierten Cybersicherheits-Beratern dürfte sprunghaft ansteigen. Experten warnen bereits vor einem Engpass an Fachkräften und steigenden Kosten für externe Dienstleister. Parallel zur NIS2-Umsetzung steht zudem die Anpassung des KRITIS-Dachgesetzes an – ein weiteres Großprojekt, um die Resilienz kritischer Infrastrukturen ganzheitlich zu sichern.

Deutschland hat die EU-Vorgabe verspätet umgesetzt, dafür aber umfassend. Ob die ambitionierten Ziele erreicht werden und die Unternehmen die Herausforderung meistern, wird sich in den kommenden Monaten zeigen.

PS: Sie stehen unter Zeitdruck bei der NIS2‑Umsetzung? Der Gratis‑Report für Unternehmen zeigt, wie mittelständische Betriebe mit einfachen, budgetschonenden Maßnahmen Compliance erreichen, Lieferkettenrisiken mindern und interne Meldewege für Sicherheitsvorfälle implementieren. Enthalten sind Vorlagen für Erstmeldung (24 h), eine Prioritäten‑Checkliste und konkrete Handlungsschritte für Führungskräfte. Gratis‑Report zur NIS2‑Umsetzung herunterladen