August und September verfestigen eine Einführung von NIS-2 im ersten Quartal 20206

Auch im August und September hat sich bei der Umsetzung der europäischen NIS-2-Richtlinie in Deutschland einiges bewegt.

Das geplante NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) durchläuft derzeit den formalen Gesetzgebungsprozess zwischen Bundestag und Bundesrat, begleitet von einer Vielzahl an Kommentaren und Kritik seitens der Wirtschaft und ihrer Verbände.

Erfahren Sie in diesem Artikel:

• welche formalen Meilensteine in Berlin erreicht wurden,
• wie Wirtschaft und Verbände zu den Gesetzesentwürfen Stellung nehmen,
• was Sie als mittelständisches Unternehmen jetzt tun können und
• wie wir Ihnen dabei helfen können.

Formale Meilensteine im Gesetzgebungsverfahren

Im zurückliegenden Zeitraum wurden zwei wichtige Etappen auf dem Weg zur nationalen Einführung erreicht:

• 15. August 2025:
  Der von der Bundesregierung beschlossene Gesetzentwurf wurde an den Bundesrat übermittelt. Dieser hat nun sechs Wochen Zeit, eine Stellungnahme abzugeben, während parallel die Beratungen im Bundestag voranschreiten. Stimmen aus Wirtschaft und Verbänden begleiten den Prozess erwartbar mit Kritik, insbesondere in Bezug auf Umsetzbarkeit und Abgrenzung des Geltungsbereichs.
• 10. September 2025:
  Das Bundeskabinett hat außerdem den Regierungsentwurf zum KRITIS-Dachgesetz verabschiedet. Damit verlaufen beide Verfahren weitgehend parallel. Ein wichtiger Schritt, um die künftigen Regelwerke harmonisiert und widerspruchsfrei zu gestalten.
• 11. September 2025:
  Die erste von drei Lesungen im Bundestag hat stattgefunden. Nach der Beratung wurde der Entwurf an die zuständigen Ausschüsse, federführend den Innenausschuss, überwiesen. Formell stehen damit noch zwei Lesungen im Bundestag und eine abschließende Befassung im Bundesrat aus.

Bleibt das Verfahren ohne größere politische Widerstände, ist eine Verabschiedung und Einführung im Januar oder Februar 2026 weiterhin realistisch.

Stimmen aus Wirtschaft und Verbänden

Die Reaktionen aus der Wirtschaft fallen differenziert aus, zwar wird die Notwendigkeit und Zielrichtung der NIS-2-Umsetzung grundsätzlich begrüßt, gleichzeitig warnen Verbände vor Überregulierung und fehlender Praxistauglichkeit.

Der Bitkom mahnt eine klare, praxisnahe Umsetzung ohne sogenanntes „Goldplating“ an, also ohne über die EU-Vorgaben hinausgehende nationale Verschärfungen.

Zudem fordert der Verband eine saubere Abgrenzung der betroffenen Unternehmen und eine enge Harmonisierung mit dem parallel laufenden KRITIS-Dachgesetz, um Doppelpflichten zu vermeiden.

Der Bundesverband mittelständische Wirtschaft (BVMW) sieht sowohl Chancen als auch Herausforderungen.

Einerseits erkennt er die Sinnhaftigkeit einheitlicher IT-Sicherheitsstandards an, andererseits warnt er vor einer Überforderung mittelständischer Unternehmen, die im Gegensatz zu Großkonzernen über begrenzte personelle und finanzielle Ressourcen verfügen.

Gerade für kleine und mittlere Betriebe kann ein erfolgreicher Cyberangriff existenzbedrohend sein, gleichzeitig bedeuten umfassende NIS-2-Pflichten erhebliche Zusatzaufwände.

Der Verband fordert daher realistische Fristen und Übergangszeiten für die Umsetzung. Diese sind bislang jedoch nicht gesichert. Es bleibt im Bereich des Möglichen, dass das Gesetz ohne längere Karenzzeit unmittelbar nach seiner Verabschiedung wirksam wird.

Handlungsempfehlung für Unternehmen

Der BVMW und zahlreiche Sicherheitsverbände empfehlen daher ausdrücklich, nicht bis zur Einführung zu warten, sondern jetzt aktiv zu werden.

Dies deckt sich mit den Empfehlungen, die auch wir bei Etengo seit Monaten an unsere Kunden weitergeben:

• Verschaffen Sie sich ein klares Bild Ihrer aktuellen Sicherheitsarchitektur und bewerten Sie, inwieweit diese bereits den Anforderungen der NIS-2-Richtlinie entspricht.
• Leiten Sie daraus einen strukturierten Fahrplan zur Umsetzung ab, mit priorisierten Maßnahmen, Zuständigkeiten und Zeitplan.
• Dokumentieren Sie Ihre Aktivitäten. Eine nachvollziehbare Belegkette über laufende oder geplante Schritte kann im Falle einer Prüfung oder eines Audits entscheidend sein, insbesondere dann, wenn noch keine vollständige Compliance erreicht wurde.

Fazit: Frühjahr 2026 bleibt realistisch, der Handlungsdruck steigt

Die Einführung der NIS-2-Regelungen in Deutschland ist für das erste Quartal 2026 weiterhin wahrscheinlich. Übergangsfristen sind bislang nicht verbindlich vorgesehen.

Angesichts des anhaltenden Fachkräftemangels im Bereich Cybersecurity sollten Unternehmen die verbleibenden Monate nutzen, um sich rechtzeitig die notwendigen personellen und fachlichen Ressourcen zu sichern, bevor die Nachfrage am Markt weiter anzieht.

Dabei unterstützen wir Sie gerne:

Mit einem Netzwerk aus über 40.000 freiberuflichen IT-Experten und externen Dienstleistern begleiten wir Unternehmen von der frühen Beratung und Konzeption über die technische Umsetzung bis hin zu Rollout- und Hypercare-Phasen. Flexibel, skalierbar und mit Fokus auf IT-Security-Exzellenz.