NIS-2 - Update
UPDATE zu NIS-2: Nun hat auch der Bundestag reagiert und mit dem IT-Sicherheitsgesetz 2.0 einen Gesetzentwurf zur Umnsetzung der NIS-2-Richtlinie in nationales Recht beschlossen.
Wir hatten in unseren News bereits über die zahlreichen neuen EU-Verordnungen und Richtlinien zum IT-Recht berichtet, so auch zur NIS-2-Richtlinie, siehe Neue EU-Regeln für KI, digitale Dienste, Daten- und Cybersicherheit und mehr: Ein Überblick.
Nun hat der Deutsche Bundestag 13. November 2025 das Gesetz zur Umsetzung der NIS-2-Richtlinie beschlossen. Das neue Cybersicherheitsgesetz modernisiert das nationale IT-Sicherheitsrecht und bringt weitreichende Änderungen für Unternehmen mit sich.
Was sich ändert
Der Anwendungsbereich des Gesetzes wird deutlich ausgeweitet. Statt den bislang rund 4.500 erfassten Einrichtungen wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig etwa 29.500 Organisationen beaufsichtigen. Grund dafür sind die neuen Kategorien „wichtige“ und „besonders wichtige Einrichtungen“. Übergangsfristen sind nicht vorgesehen, sodass die neuen Pflichten unmittelbar mit dem Inkrafttreten des Gesetzes gelten. Das BSI wird zur zentralen Instanz, die sowohl als Aufsichtsbehörde für die betroffenen Unternehmen fungiert, als auch die Cybersicherheit der Bundesverwaltung koordiniert.
Neue Pflichten
Betroffene Unternehmen müssen sich beim BSI registrieren und damit ihre Erfassung sicherstellen. Sie sind verpflichtet, erhebliche IT-Sicherheitsvorfälle innerhalb von 24 Stunden dem BSI zu melden. Nach 72 Stunden müssen Sie einen Zwischenstand liefern und innerhalb eines Monats einen Abschlussbericht vorlegen, damit Angriffe und Störungen zeitnah bewertet und behoben werden können. Darüber hinaus müssen die Unternehmen ein technisches und organisatorisches Risikomanagement betreiben und fortlaufend dokumentieren, um Sicherheitsrisiken systematisch zu reduzieren. Schließlich müssen Unternehmen eine Betroffenheitsprüfung durchführen, um festzustellen, in welche Kategorie sie fallen und welche konkreten Pflichten sich daraus ergeben.
Sanktionen
Bei Verstößen kann das BSI administrative Maßnahmen und Anordnungen zur Beseitigung von Sicherheitsmängeln erlassen. Es sind Bußgelder und verwaltungsrechtliche Sanktionen vorgesehen. Die konkrete Höhe richtet sich nach den Regelungen im Gesetz und den Durchführungsbestimmungen. In schweren Fällen sind Betriebsbeschränkungen oder die temporäre Aussetzung bestimmter Dienstleistungen denkbar, um akute Gefährdungen abzuwenden. Deshalb ist eine frühzeitige und dokumentierte Umsetzung der Compliance-Maßnahmen dringend zu empfehlen.