NIS-2-Umsetzungsgesetz in Deutschland modernisiert Cybersicherheit

23.11.2025, 08:19 Uhr | 3 Min. Lesezeit | Kategorie: Recht & Sicherheit | Tags: ,

Die Bundesregierung hat mit dem neuen NIS-2-Umsetzungsgesetz in Deutschland einen zentralen Schritt zur Stärkung der nationalen Cybersicherheit eingeleitet. Der Deutsche Bundestag verabschiedete das Gesetz am 13. November 2025. Die Anpassung erweitert Pflichten für Unternehmen, stärkt die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) und modernisiert das bestehende IT-Sicherheitsrecht umfassend.

NIS-2-Umsetzungsgesetz in Deutschland modernisiert Cybersicherheit
NIS-2-Umsetzungsgesetz in Deutschland modernisiert Cybersicherheit

Hintergrund zum NIS-2-Umsetzungsgesetz in Deutschland

Inhaltsverzeichnis

Das NIS-2-Umsetzungsgesetz in Deutschland setzt die europäische NIS-2-Richtlinie vollständig in nationales Recht um. Diese EU-Richtlinie verfolgt das Ziel, die Widerstandsfähigkeit kritischer digitaler Infrastrukturen in Europa zu erhöhen. Angesichts der angespannten Cybersicherheitslage, die sich laut Lagebericht des BSI vor allem durch schlecht geschützte Angriffsflächen zeigt, stuft die Bundesregierung die Modernisierung des IT-Sicherheitsrechts als dringend erforderlich ein.

Bislang fielen etwa 4.500 Einrichtungen unter das bestehende BSI-Gesetz, darunter Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Mit dem NIS-2-Umsetzungsgesetz in Deutschland wird dieser Kreis deutlich vergrößert.

Deutliche Ausweitung der Aufsicht durch das BSI

Ein wesentlicher Bestandteil des NIS-2-Umsetzungsgesetzes in Deutschland ist die erweiterte Zuständigkeit des BSI. Zwei neue Kategorien von Einrichtungen – „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ – erhöhen den beaufsichtigten Kreis von bisher 4.500 auf künftig rund 29.500 Unternehmen.

Betroffene Unternehmen müssen künftig:

    • sich beim BSI registrieren,
    • erhebliche Sicherheitsvorfälle melden,
    • technische und organisatorische Risikomanagement-Maßnahmen etablieren.

Damit wird das NIS-2-Umsetzungsgesetz in Deutschland zu einem zentralen Motor der Cyberresilienz im Wirtschaftsraum.

Neue Mindeststandards für die Bundesverwaltung

Auch die Bundesverwaltung ist direkt von den Änderungen des NIS-2-Umsetzungsgesetzes in Deutschland betroffen. Das Gesetz verpflichtet Behörden und staatliche Einrichtungen zur Einhaltung einheitlicher Mindestanforderungen der Informationssicherheit. Diese orientieren sich unter anderem:

    • am IT-Grundschutz-Kompendium des BSI,
    • an den Mindeststandards für die Sicherheit der Informationstechnik des Bundes.

Zusätzlich wird eine einheitliche Governance-Struktur etabliert, die ressortübergreifend wirken soll. Das BSI übernimmt dabei die neue Rolle des Chief Information Security Officer (CISO Bund) und erhält damit eine zentrale Funktion für die Steuerung der Cybersicherheit innerhalb der gesamten Bundesverwaltung.

Einschätzungen des BSI zur Bedeutung des Gesetzes

BSI-Präsidentin Claudia Plattner bewertet das NIS-2-Umsetzungsgesetz in Deutschland als wesentlichen Fortschritt. Sie betont, dass damit ein entscheidender Teil der digitalen Angriffsfläche besser geschützt werde. Außerdem werde die operative Umsetzung innerhalb der Bundesverwaltung durch gebündelte Fachkompetenz effizienter. Die enge Zusammenarbeit mit den Ressorts sei ein zentraler Baustein zur Stärkung der staatlichen Resilienz.

Unterstützungspaket für Unternehmen

Für die neu betroffenen Unternehmen kündigt das BSI ein umfassendes Starterpaket zur Umsetzung des NIS-2-Umsetzungsgesetzes in Deutschland an. Dieses beinhaltet:

    • klare Informationsmaterialien zu Pflichten und Prozessen,
    • virtuelle Kick-off-Seminare,
    • Schritt-für-Schritt-Anleitungen für Betroffenheitsprüfung, Registrierung und Meldeverfahren.

Diese Maßnahmen sollen Unternehmen einen geordneten und nachvollziehbaren Einstieg in die neuen Anforderungen ermöglichen.

Einordnung und Ausblick

Mit dem NIS-2-Umsetzungsgesetz in Deutschland wird ein Grundstein für eine einheitliche und deutlich robustere Cybersicherheitsarchitektur gelegt. Die massive Ausweitung des beaufsichtigten Unternehmenskreises markiert einen der bedeutendsten Modernisierungsschritte des deutschen IT-Sicherheitsrechts seit vielen Jahren.

Die kommenden Monate werden stark davon geprägt sein, wie schnell und effektiv Unternehmen und Behörden die neuen Vorgaben implementieren. Auch der tatsächliche Beitrag zur Reduzierung digitaler Angriffsflächen wird sich erst mittel- bis langfristig bewerten lassen. Klar ist jedoch, dass das Gesetz den Rahmen setzt, um Cyberrisiken konsequenter zu begegnen.

Faktenbox

NIS-2-Umsetzungsgesetz in Deutschland
Beaufsichtigte Einrichtungen bisher Ca. 4.500 Unternehmen
Beaufsichtigte Einrichtungen künftig Rund 29.500 Unternehmen
Neue Kategorien Wichtige und besonders wichtige Einrichtungen
Neue Rolle des BSI Aufsichtsbehörde und CISO Bund
Mehr zum Thema
  • Cybersicherheit im Straßenverkehr 2025: BSI legt Bericht vor
  • Digitalpolitik im Fokus: eco bewertet die Wahlprogramme der Parteien zur Bundestagswahl 2025
  • Smarte Sicherheitstechnik beim BSI erhält eigenes IT-Sicherheitskennzeichen
  • Cybersicherheit durch die Radio Equipment Directive: Wichtige Neuerungen ab August 2025
  • Digitale Souveränität in Europa: Deloitte und Stackit bündeln Kräfte
  • Passkeys: BSI empfiehlt passwortlose Authentifizierung als sichere Login-Methode
  • KI-Sicherheitsplattform von Schwarz Digits, SentinelOne und XM Cyber