NIS-2-Update: Wie geht es jetzt weiter?

Aktuelle Entwicklungen zur NIS-2-Richtlinie

Das zweite Quartal 2025 beginnt mit bedeutenden Neuigkeiten rund um die NIS-2-Richtlinie. Nachdem die Bundestagswahl vorgezogen wurde, konnte das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht abgeschlossen werden. Dies führte dazu, dass das NIS2UmsuCG nach dem Diskontinuitätsprinzip als erledigt gilt und somit nicht mehr weiterverfolgt wird. Nun wird das Gesetz in einem, nach dem Regierungswechsel neu zu besetzenden Gremium neu aufgesetzt. Diese Verzögerung hat weitreichende Folgen für Unternehmen in Deutschland, die sich auf eine baldige Umsetzung der NIS-2-Vorgaben eingestellt hatten. 

Aktueller Stand und gesetzliche Rahmenbedingungen

Die NIS-2-Richtlinie, welche auf europäischer Ebene bereits verabschiedet wurde, soll ein einheitliches Sicherheitsniveau in den EU-Mitgliedstaaten schaffen. Die Umsetzung in deutsches Recht wird dabei voraussichtlich durch eine Änderung des BSI-Gesetzes erfolgen. Allerdings hat die EU aufgrund der Verzögerung Vertragsverletzungsverfahren gegen Deutschland und 22 weitere EU-Mitgliedstaaten eingeleitet, was zusätzlichen Druck auf die deutsche Regierung ausübt. 

Es kann davon ausgegangen werden, dass NIS-2 nach der Regierungskonsolidierung als Mindestharmonisierung fortgeführt und umgesetzt wird. Dabei handelt es sich um eine Überführung in nationales Recht, die sich sehr stark am Wortlaut und den Anforderungen der europäischen NIS-2-Richtlinie orientiert. Das bedeutet, dass die zentralen Anforderungen zur Cybersicherheit (z.B. Risikomanagement, Meldepflichten, Kontaktstellen) grundsätzlich genauso umgesetzt werden sollen, wie sie auf EU-Ebene definiert wurden. 

Allerdings werden zusätzlich spezifische Bereiche durch nationale Regelungen ergänzt. Das betrifft vor allem Themen wie  

• sektorspezifische Anforderungen an kritische Infrastrukturen,  
• die Definition von Meldepflichten, Dokumentationsvorgaben und
• die Zuständigkeiten für Überwachungsmaßnahmen.

Für Unternehmen bedeutet dies konkret, dass sie sich nicht nur auf die EU-weiten Standards einstellen müssen, sondern auch mit zusätzlichen Anforderungen nach Branche und Einsatzgebiet rechnen sollten.

Wann das neue Gesetz in Kraft tritt, ist derzeit unklar. Eine Umsetzung könnte frühestens Ende 2025 erfolgen, allerdings ist eine Einführung in den ersten Quartalen 2026 realistischer. Dies ist jedoch nur eine vorsichtige Schätzung und sollte nicht als feststehender Termin betrachtet werden. 

Was können Unternehmen jetzt tun?

Obwohl die gesetzliche Umsetzung auf nationaler Ebene erneut gestartet werden muss, können Unternehmen bereits jetzt aktiv werden. Insbesondere sollten wesentliche und wichtige Einrichtungen einige Maßnahmen ergreifen, um sich auf die kommenden Anforderungen vorzubereiten. Hierzu empfehlen wir die Betroffenheitsprüfung des Bundesamts für Sicherheit in der Informationstechnik (BSI).  Zu den akuten Maßnahmen gehören:

1. Verantwortliche benennen: Es sollten mindestens zwei Personen als Ansprechstellen für IT-Sicherheit benannt werden. Dies umfasst die Koordination zwischen Geschäftsführung, Compliance und Informationssicherheitsbeauftragten. 
2. Risikomanagement umsetzen: Unternehmen sollten eine Risikoanalyse durchführen, Risikomanagementmaßnahmen implementieren und regelmäßig überprüfen. Hierfür sind Standards wie BSI IT-Grundschutz oder ISO 27001/2 geeignet. 
3. Kontaktstelle einrichten: Um den Meldepflichten nachzukommen, sollte eine technische Erreichbarkeit (z.B. ein 24/7 Funktionspostfach) sichergestellt werden. Die Kontaktstelle soll Informationen des BSI empfangen und intern weiterleiten können. 
4. Meldewege üben: Unternehmen sollten den Ernstfall regelmäßig simulieren und sicherstellen, dass alle relevanten Stellen wissen, wie sie auf Vorfälle reagieren und diese melden können. 

Warum sollten Unternehmen nicht warten?

Auch wenn eine nationale Gesetzgebung zu NIS-2 noch nicht in Kraft getreten ist, sollten Unternehmen bereits jetzt aktiv werden. Hier sind drei gewichtige Gründe dafür: 

• Vermeidung rechtlicher Risiken: Die NIS-2-Richtlinie kann unter Umständen bereits jetzt unmittelbare Wirkung entfalten. Das bedeutet, dass sich Geschädigte trotz noch nicht final definierter nationaler Gesetzgebung auf NIS-2-Pflichten berufen können, wenn ihnen durch IT-Ausfälle oder Sicherheitsvorfälle Schaden widerfährt. Besonders kritisch: Ein geschädigtes Unternehmen könnte auf Schadenersatz klagen, wenn ein Dienstleister seine Sorgfaltspflichten gemäß NIS-2 nicht erfüllt hat. Auch ohne nationale Umsetzung ist eine Klage vor Gericht möglich, sofern die Richtlinie als klar und präzise betrachtet wird. Unternehmen sollten sich dringend absichern, um solchen Szenarien vorzubeugen. 
• Schutz der eigenen Infrastruktur: Effektives Risikomanagement und verlässliche Meldewege bedeuten nicht nur erhöhte Sicherheit vor Cyberangriffen, sondern auch die schnelle Erkennung und Eindämmung potenzieller Schäden. Unternehmen, die ihre IT-Sicherheit umfassend stärken, profitieren dabei von: 
  • Verbesserter Betriebsstabilität
  • Schutz sensibler Daten
  • Minimierung von Ausfallzeiten
  • Nachhaltigem Vertrauen bei Kunden und Partnern
• Wettbewerbsvorteil: Unternehmen, die proaktiv handeln und bereits vor Inkrafttreten der NIS-2-Anforderungen ihre Sicherheitsstrategie anpassen, sichern sich nicht nur rechtlich ab, sondern positionieren sich auch als zuverlässige Partner auf dem Markt. Dieser Vertrauensvorsprung kann zu einem klaren Wettbewerbsvorteil führen – insbesondere in Branchen, die auf Datensicherheit und Resilienz besonderen Wert legen. 

Fazit

Auch wenn die nationale Umsetzung der NIS-2-Richtlinie noch einmal verschoben wurde, sollten Unternehmen nicht untätig bleiben. Die genannten Maßnahmen lassen sich bereits jetzt umsetzen und erhöhen nicht nur die eigene IT-Sicherheit, sondern minimieren auch potenzielle rechtliche Risiken. 

Setzen Sie auf Etengo als Partner an Ihrer Seite! Wir unterstützen Sie maßgeschneidert mit den passenden Expert_innen und externen Dienstleistern, die Sie optimal bei der Vorbereitung auf die NIS-2-Anforderungen unterstützen. Unsere Erfahrung und unser Netzwerk ermöglichen es Ihnen, Ihre Sicherheitsstrategie zukunftssicher und rechtssicher zu gestalten. Nehmen Sie jetzt Kontakt auf.