Mit deutlicher Verzögerung beginnt im Juli 2025 die heiße Phase der nationalen Umsetzung der EU-NIS-2-Richtlinie. Was lange diskutiert wurde, mündet nun in konkrete politische Entscheidungen, begleitet von intensiver Kritik und klaren Forderungen aus Wirtschaft und Zivilgesellschaft. Der Monat markiert damit eine wichtige Etappe zwischen Einspruch, Einigung, und praxisnaher Anpassung.

4. Juli 2025: Verbändeanhörung: Kritik an Systematik und Wirkung

Im BMI findet die offizielle Anhörung zum Referentenentwurf statt. Vertreter u. a. vom Cyber Intelligence Institute (CII) legen in einer 32-seitigen Stellungnahme zahlreiche Mängel offen:

• unklare Begrifflichkeiten,
• fehlende Kohärenz der Systematik,
• zu weit gefasste Pflichten,
• eine überstarke Rolle des BSI

Der Entwurf sei in dieser Form nicht geeignet, das beabsichtigte Cybersicherheitsniveau zu erreichen. Auch an der Praktikabilität für Unternehmen wird deutliche Kritik geübt.

6. Juli 2025: Datenschutz und Cloud rücken in den Fokus

Die Datenschutzkonferenz der Länder fordert eine einheitliche Meldestruktur für IT-Sicherheits- und Datenschutzvorfälle als Entlastung für Unternehmen und zur Vermeidung redundanter Prozesse. Parallel meldet sich der Deutsche Anwaltverein mit einem Appell: Cloud-Anbieter müssen stärker reguliert werden, da sie zentrale Knotenpunkte der digitalen Infrastruktur darstellen.

8. Juli 2025: VKU warnt vor Überforderung der Stadtwerke

Der Verband kommunaler Unternehmen (VKU) sieht insbesondere Mehrsparten-Stadtwerke durch den Gesetzentwurf überproportional belastet. Er fordert praxistaugliche Korrekturen, eine differenzierte Einstufung von Pflichten sowie die konsistente Überführung der neuen Anforderungen in bestehende sektorale Regelwerke wie das EnWG.

18. Juli 2025: Stellungnahmen zeigen breite Kritik

Das BMI veröffentlicht alle 65(!) eingegangenen Stellungnahmen. Zwar wird der europäische Rahmen grundsätzlich begrüßt, doch dominieren kritische Rückmeldungen:

• Uneinheitliche Begriffe,
• fragwürdige Ausnahmen für die Bundesverwaltung,
• nicht abgestimmte Überschneidungen mit der geplanten EU-CER-Richtlinie.

Das gefährde sowohl die Klarheit als auch die Wirksamkeit des Gesetzes und insbesondere die Ausnahmen für die Bundesverwaltung irritieren stark.

30. Juli 2025: Kabinettsbeschluss über den Regierungsentwurf

Ein deutlich verspäteter Meilenstein wird nun endlich erreicht. Das Bundeskabinett beschließt den Regierungsentwurf des NIS-2-Umsetzungsgesetzes. Der Entwurf sieht tiefgreifende Änderungen im BSI-Gesetz vor, die künftig rund 29.500 Unternehmen und Einrichtungen betreffen. Diese werden konfrontiert mit

• neuen Pflichten zu Risikomanagement,
• Meldewesen und
• technischer Absicherung.

Also erwartbar genau das, was wir unseren Kunden seit Mitte des letzten Jahres raten zu etablieren.

30. Juli 2025: Wirtschaft mahnt Nachbesserungen an

Noch am gleichen Tag kommt es zu entsprechenden Reaktionen führender Branchenstimmen:

• Bitkom begrüßt die Richtung, fordert aber klare Formulierungen und keine nationalen Sonderwege. Insbesondere die Selbstausnahme der Bundesverwaltung steht in der Kritik. Hier sei Vorbildfunktion gefragt.
• BEE lobt die geplante Zentralisierung der Zuständigkeiten im Energiesektor bei der BNetzA, fordert aber bessere Unterstützung bei der Einstufungspflicht betroffener Unternehmen sowie mehr Transparenz über konkrete Anforderungen.
• eco warnt vor unklaren Ausnahmeregelungen, z.  für vermeintlich „vernachlässigbare“ Tätigkeiten. Diese seien potenziell europarechtswidrig und könnten neue Verfahren vor dem EuGH nach sich ziehen. Gleichzeitig sieht man positiv, dass mit dem Kabinettsbeschluss nun endlich ein belastbarer Rahmen geschaffen werde, um IT-Sicherheitsstrukturen gezielt auszubauen.

Fazit: Darauf kommt es jetzt an.

Mit dem Kabinettsentwurf liegt nun ein belastbarer, wenngleich weiterhin diskussionswürdiger Vorschlag zur Umsetzung der NIS-2-Richtlinie auf dem Tisch. Die wichtigsten Konfliktlinien sind klar:

1. Ausnahmen für die Bundesverwaltung untergraben Vertrauen und Vorbildfunktion.
2. Zuständigkeitsabgrenzung zwischen BSI, BNetzA und Landesbehörden bleibt unklar.
3. Die Definition „vernachlässigbarer Tätigkeiten“ ist rechtlich wie operativ riskant.
4. Viele Rückmeldungen fordern EU-konforme Klarheit ohne deutsche Sonderregelungen.
5. Kleine und mittlere Unternehmen fühlen sich unterstützungslos mit Pflichten konfrontiert.

Was Unternehmen jetzt tun sollten

Nach wie vor steht unser Aufruf zum rechtzeitigen Handeln auch inhaltlich wenig verändert:

• Risikomanagement und ISMS prüfen oder aufbauen, idealerweise mit Blick auf ISO 27001 oder branchenspezifische IT-Sicherheitskataloge.
• Verantwortlichkeiten für Meldepflichten klären und Schnittstellen zwischen Datenschutz und IT-Security definieren.
• Kategorisierung als „kritisch“, „besonders wichtig“ oder „wichtig“ selbstständig evaluieren, um nicht im Blindflug zu bleiben.
• IT-Dienstleister und Cloud-Infrastrukturen in Sicherheitsbewertungen einbeziehen. Auch hier werden viele Regulierungen relevant.

Die Rolle von Freelancern: Expertenwissen auf Abruf

Gerade in der Übergangszeit können freiberufliche Expert:innen für IT-Security, Compliance und Risk Management entscheidende Unterstützung leisten. Sie helfen u. a.:

• bei der Initialisierung von ISMS-Projekten,
• bei der Gap-Analyse bestehender Sicherheitsmaßnahmen,
• bei der Auslegung von Meldepflichten und EU-Vorgaben,
• oder bei der Übersetzung regulatorischer Anforderungen in operative Prozesse.

Angesichts des laufenden EU-Vertragsverletzungsverfahrens (wir berichteten im Mai) ist der politische Druck hoch. Der Gesetzgeber will das Verfahren im Herbst zügig abschließen. Spätestens Anfang 2026 könnte NIS-2 als nationales Gesetz in Kraft treten. Wer dann noch nicht vorbereitet ist, läuft Gefahr, Bußgelder, Reputationsverluste oder operative Hürden in Kauf nehmen zu müssen.

Kurz gesagt:

Wer vorbereitet sein will, muss spätestens jetzt starten.

Und wer keine internen Ressourcen hat, kann auf externe Expertise setzen. Zielgerichtet. Mit uns.

Setzen Sie daher auf Etengo als Partner an Ihrer Seite! Wir unterstützen Sie maßgeschneidert mit den passenden Expert:innen und externen Dienstleistern, die Sie optimal bei der Vorbereitung auf die NIS-2-Anforderungen unterstützen. Unsere Erfahrung und unser Netzwerk ermöglichen es Ihnen, Ihre Sicherheitsstrategie zukunftssicher und rechtssicher zu gestalten.