Der Contdown zu NIS-2: Eine Chronologie für den Juni
Das Warten auf eine Umsetzung der NIS-2-Richtlinie in ein nationales Gesetz zieht sich nach wie vor in die Länge. Jedoch liegt dies nicht daran, dass wir hier einen Stillstand erleben, sondern vielmehr an vielen politischen Stellschrauben, die unter anderem wegen des vorgezogenen Regierungswechsels neu justiert werden müssen, um das Gesetz auf den Weg zu bringen.
Seit Mai erstellen wir daher auf Basis unserer Recherche-Materialen monatliche Chronologien zu den aktuellen Entwicklungen um genauer einschätzen zu können, wann die nationale Richtlinie kommt und wie nahe diese am europäischen Original sein wird.
In diesem Blogartikel finden Sie den Rückblick auf den Juni.
Die NIS-2 Juni Chronologie
Monatsanfang
Die Bundesregierung betont abermals, das Umsetzungsgesetz zur NIS2-Richtlinie „zügig“ vorantreiben zu wollen. Bei der Vorstellung des BKA-Cybercrime-Lageberichts kündigt Bundesinnenministerin Nancy Faeser an, noch im Juni den Gesetzgebungsprozess konkret anzuschieben. Auf einer Public-IT-Security-Konferenz bestätigt ein BMI-Abteilungsleiter, dass der Gesetzentwurf idealerweise im Herbst 2025 in den Bundestag eingebracht und bis Jahresende verkündet werden soll.
5. Juni 2025
Für erste Bewegung sorgt die Veröffentlichung eines geleakten Referentenentwurfs durch die unabhängige Arbeitsgruppe KRITIS. Der Entwurf des BMI vom 26. Mai 2025 trägt den offiziellen Titel
„Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“.
Damit erhalten Fachverbände, Wirtschaft und Öffentlichkeit vorab Einblick in geplante Inhalte, lange bevor eine offizielle Veröffentlichung erfolgt.
21. Juni 2025
Fachmedien berichten von einer überarbeiteten Version des Entwurfs (Stand 2. Juni 2025), die zwischen den Bundesministerien abgestimmt wird. Bemerkenswert ist hier insbesondere die geplante Regelung zu „vernachlässigbaren Geschäftstätigkeiten“. Damit soll etwa verhindert werden, dass Kleinstbereiche von Unternehmen unnötig in den Anwendungsbereich fallen. Allerdings weist die juristische Fachwelt auf die fehlende Definition des Begriffs „vernachlässigbar“ hin, was Interpretationsspielräume und Unsicherheit schafft.
23. Juni 2025
Das BMI veröffentlicht offiziell den überarbeiteten Referentenentwurf (NIS2UmsuCG). Parallel geht der Entwurf in die Ressortabstimmung und wird mit einer Einladung an Wirtschafts- und Branchenverbände zur Stellungnahme verschickt. Eine Verbändeanhörung ist für den 4. Juli angesetzt. Die Änderungen zum ersten Entwurf bleiben überschaubar, die geplanten Regeln festigen sich damit.
24. Juni 2025
Das BSI organisiert einen öffentlichen „Cyber-Sicherheits-Webtalk“ (#nis2know), in dem Expert:innen Fragen rund um die Umsetzung beantworten. Ziel ist, Unternehmen frühzeitig über ihre künftigen Pflichten zu informieren und ihnen Orientierung zu geben.
30. Juni 2025
Die Verbändeanhörung endet. Bis zu diesem Datum konnten Verbände und Experten ihre schriftlichen Stellungnahmen einreichen. Gleichzeitig veröffentlicht das BSI zwei neue Infopakete speziell zur Risikoanalyse und zu Meldepflichten unter NIS-2, die Unternehmen bei der praktischen Umsetzung unterstützen sollen.
Fazit
Die Ereignisse im Juni zeigen, dass die deutsche Umsetzung der NIS2-Richtlinie konkrete Formen annimmt. Mit einem Regierungsentwurf ist noch vor der Sommerpause 2025 zu rechnen, sodass die parlamentarischen Beratungen im Herbst beginnen können. Vorbehaltlich dieser Beratungen ist ein Inkrafttreten Ende 2025 oder Anfang 2026 realistisch.
Damit sind die rechtlichen Rahmenbedingungen weitgehend absehbar. Unternehmen können und sollten daher - falls immer noch nicht geschehen - unbedingt zeitnah mit ihren
NIS-2-Projekten beginnen, um zeitliche Engpässe zu vermeiden. Die veröffentlichten Entwürfe und Informationspakete geben dabei nicht nur eine solide Grundlage, sondern bieten auch wenig Überraschendes im Abgleich mit der europäischen NIS-2-Richtline, welche ebenfalls zu Rate gezogen werden kann.
Es liegen also bereits genügend Informationen vor um die Vorbereitungen zur NIS-2-Konformität zu beginnen. Gerne unterstützen wir Sie dabei mit unseren externen Experten: Ob IT-Security-Experten, Projektleiter oder Berater: Diese stellen wir sicher, dass Ihr Unternehmen nicht nur gesetzeskonform aufgestellt ist, sondern auch die richtigen Maßnahmen effizient und praxisnah umsetzt.