Für 30.000 Unternehmen beginnt der Countdown zum NIS2-UmsetzungsgesetzNIS2 umsetzen – und zwar schnell
5. Dezember 2025
Bundestag und Bundesrat haben das NIS2-Umsetzungsgesetz verabschiedet. Damit startet für rund 30.000 Unternehmen in Deutschland eine verpflichtende Umsetzungsphase, die keine Verzögerungen zulässt. Die Vorgaben gelten für viele Organisationen in wichtigen und kritischen Sektoren und reichen deutlich weiter als bisherige KRITIS-Regelungen. Ob ein Unternehmen betroffen ist, hängt von seiner Rolle und Tätigkeit im jeweiligen Bereich ab.
Unternehmen müssen sich innerhalb von drei Monaten nach den gesetzlichen Vorgaben registrieren. Die Umsetzungspflichten gelten sofort, es gibt keinen Aufschub und keine Schonfrist. Sie umfassen eine klare Scope-Definition, ein wirksames Risikomanagement, feste Meldewege und umfassende Cybersecurity-Maßnahmen. Die Anforderungen sollen die Resilienz der Unternehmen erhöhen und die Sicherheit zentraler Dienstleistungen stärken.
Parallel laufen weitere regulatorische Prozesse an. Das KRITIS-Dachgesetz befindet sich in Vorbereitung und sieht verschärfte physische und digitale Schutzmaßnahmen vor. Es bringt neue Meldepflichten und eine zusätzliche Aufsicht durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Im Energiesektor werden neue IT-Sicherheitskataloge der Bundesnetzagentur erwartet. Sie sollen NIS2 und das KRITIS-Dachgesetz zusammenführen und Nachweispflichten aus dem Energiewirtschaftsgesetz einbinden. Cloud- und IT-Dienstleister müssen zudem den EU Implementing Act erfüllen. Die Vorgaben aus §30 BSIG-E decken diese Anforderungen nicht ab. Auch die KRITIS-Verordnung wird überarbeitet. Welche Sektoren und Schwellenwerte künftig gelten, ist aktuell noch offen.
Die EU beobachtet die Entwicklung genau. Wegen der verspäteten Umsetzung läuft ein Vertragsverletzungsverfahren gegen Deutschland. Andere Mitgliedstaaten warten auf ein deutsches Gesetz, das als Orientierung dienen kann.
Relevanz für die Unternehmensstrategie
Die regulatorische Welle nimmt Tempo auf. Für Unternehmen zählt jetzt nicht mehr, ob sie handeln, sondern wie schnell und wie wirksam. Cybersecurity und Resilienz sind keine reine Compliance-Aufgabe.
Sie werden zum festen Bestandteil der Geschäftsstrategie und zum Wettbewerbsfaktor. Experten empfehlen, die neuen Vorgaben frühzeitig in eine übergreifende Sicherheits- und Datenstrategie einzubetten. Unternehmen, die früh planen, sichern sich klare Vorteile.
Roland Stritt ist Chief Regional Officer bei FAST LTA.
