Blog

NIS-2 durch Bundestag beschlossen

Geschrieben von Christian Grimm | 28.11.2025 13:37:20

Akuter Handlungsbedarf statt Übergangsfristen.

Mit der Verabschiedung des NIS-2-Umsetzungsgesetzes (NIS2UmsuCG) durch den Bundestag 13. November und den Bundesrat am 21. November 2025  wurden zwei zentrale Meilensteine erreicht. 

Das deutsche Gesetz schafft den Rahmen, mit dem die europäische NIS-2-Richtlinie verbindlich in nationales Recht überführt wird, inklusive Pflichten, Sanktionen und Kontrollmechanismen.

Was jetzt noch folgt, sind Formalien, keine politischen Entscheidungen mehr. Unternehmen müssen daher davon ausgehen, dass die Verordnung spätestens Anfang 2026 ohne Übergangsfrist wirksam wird. 

Lesen Sie jetzt alle wichtigen Informationen zum aktuellen Stand der NIS-2 Einführung:

Was fehlt noch für das Inkrafttreten?
Keine Übergangsfrist
Warum externe Experten entscheidend sind
Wie Etengo Ihnen helfen kann compliant zu werden
Weitere Inhalte und Informationen rund um NIS-2

 

Was fehlt noch für das Inkrafttreten?

Bildlich gesprochen befindet sich NIS-2 nun auf der Zielgeraden. Der Beschluss im Bundestag war die letzte große inhaltliche Hürde. Die verbleibenden Schritte sind rein formaler Natur:

  • Ausfertigung durch den Bundespräsidenten
  • Veröffentlichung im Bundesgesetzblatt
  • Einen Tag nach der Veröffentlichung tritt das Gesetz in Kraft.

Obwohl noch keine verbindlichen Termine kommuniziert wurden, spricht alles dafür, dass dieser Schritt sehr bald - eventuell noch im Dezember - erfolgen wird. Entsprechend ist die Zeit für Planung und Vorbereitung faktisch abgelaufen.

Keine Übergangsfrist, Sie haben jetzt akuten Handlungsbedarf

Wie bereits mehrfach angekündigt wurde, enthält das Gesetz keine allgemeine Übergangsfrist. Die Pflichten gelten ab dem ersten Tag der Wirksamkeit. Unternehmen können ab diesem Zeitpunkt adressiert, geprüft und sanktioniert werden.

Einzige Ausnahme: punktuelle Fristen, zu denen bestimmte Formalitäten wie die Registrierung einer Einrichtung nachzuholen sind. Diese ersetzen jedoch keine echte Schonzeit.

Das bedeutet in aller Klarheit:

  • Sicherheitsmaßnahmen, Governance und Prozesse müssen vor Inkrafttreten stehen
  • Unternehmen, die jetzt noch nicht begonnen haben, laufen sofort in ein Compliance- und Sanktionsrisiko
  • Wer erst bei Veröffentlichung aktiv wird, ist de facto bereits zu spät

Wenn Sie wissen wollen ob Sie bereit für NIS-2 sind und wo ggf. noch Handlungsbedarfe bestehen, dann downloaden Sie jetzt unsere kostenlose NIS-2 Readiness Checkliste.

Warum externe Experten jetzt entscheidend sind 

Eine vollständige Umsetzung von NIS-2 ist eine interdisziplinäre Aufgabe. Sie umfasst:

  • Technische IT-Security & Architektur
  • Governance & Policy-Design
  • Risk- und Business-Impact-Analysen
  • Incident-Response-Prozesse und Meldewege
  • Lieferkettenprüfung und Auditvorbereitung

Viele Unternehmen verfügen intern weder über die notwendige Tiefe noch über ausreichend Kapazität, um all diese Maßnahmen gleichzeitig umzusetzen. Externe Experten können diesen Engpass unmittelbar entschärfen:

  • Sofort verfügbare Kompetenz
  • Wissen um Best-Practices und Benchmarks aus vergleichbaren Projekten
  • Umsetzung ohne langwierige Personalbeschaffung
  • Hohe Umsetzungsgeschwindigkeit trotz laufender IT-Operation
  • Absicherung gegen Prüf- und Meldepflichten

Der Engpass externer Ressourcen kommt

Die Erfahrung aus DSGVO, KRITIS und anderen Regulierungswellen zeigt ein immer gleiches Muster.

Vor Inkrafttreten:

  • Viele Unternehmen beobachten noch, intern laufen Abstimmungen, erste Projekte starten: externe Ressourcen sind verfügbar, die Nachfrage ist darstellbar.

Nach Inkrafttreten:

  • Mit dem Stichtag steigt die Nachfrage nach qualifizierten Security-Experten sprunghaft an.
  • Knappheit, Projektverzögerungen und steigende Tagessätze sind die Folge.

Wer sich heute noch in Ruhe entscheiden könnte, wird morgen in einem Wettbewerb um dieselben endlichen externen Ressourcen stehen.

 

Handeln Sie jetzt

Etengo unterstützt Unternehmen bereits heute aktiv bei der Umsetzung von NIS-2. Als führender Spezialist für projektbasierte IT-Experten-Besetzung verfügen wir über ein breites Netzwerk erfahrener Spezialisten, darunter:

  • ISMS-Spezialisten (ISO 27001 / BSI-Grundschutz)
  • Cybersecurity Consultants & Architects
  • Incident-Response-Manager
  • Third-Party-Risk-Auditors
  • Governance- & Compliance-Experten
  • Technical Security Engineers

Wenn Sie mit NIS-2 konfrontiert sind, aber noch keine ausreichenden internen Ressourcen haben, ist jetzt der Zeitpunkt zu handeln, nicht erst nach der Veröffentlichung im Gesetzblatt.

Jetzt tiefergehend informieren mit unseren hilfreichen NIS-2 Inhalten: 
Vollständigen Beitrag anzeigen