Neuer Handlungsdruck für 29.000 Unternehmen: Umsetzung der NIS-2-Richtlinie auf dem Weg

| Die in der EU beschlossene NIS-2 Richtlinie (NIS steht für Netzwerk- und Informationssicherheit) wird aktuell nach einem Beschluss des Bundeskabinetts vom 30.7.25 in deutsches Recht überführt, um die Anforderungen an die Cybersicherheit zu verbessern und in Europa zu harmonisieren. Die NIS2-Richtlinie findet Anwendung auf sämtliche Unternehmen, die in der EU Dienstleistungen erbringen, wenn sie gewisse Kriterien erfüllen. Wichtig für die betroffenen Unternehmen ist, dass diese sich selbst identifizieren werden müssen, d. h., es wird voraussichtlich keine separate Aufforderung einer Aufsichtsbehörde dazu geben. |

1. Hintergrund

Cybersicherheit umfasst den Schutz von Netzwerk- und Informationssystemen (NIS) sowie ihrer Nutzer und anderer betroffener Personen vor Cybervorfällen und Bedrohungen. Die europäische NIS2-Richtlinie (27.12.22, ABl. L 333, S. 80 ‒ 152) ersetzt die bisherige NIS-Richtlinie (NIS1) und erweitert die Cybersecurity-Anforderungen und die Anzahl der betroffenen Unternehmen erheblich. Die EU-Richtlinie muss noch in nationales Recht umgesetzt werden. In Deutschland wird dies durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) erfolgen. Eigentlich mussten die EU-Mitgliedstaaten die NIS2-Richtlinie bis spätestens dem 17.10.24 umsetzen (Art. 41 NIS2). Allerdings ist es in etlichen EU-Mitgliedstaaten ‒ auch in Deutschland ‒ bei der Umsetzung zu Verzögerungen gekommen. Nachdem Deutschland die Umsetzungsfrist zum 18.10.24 nicht eingehalten und die Bundestagsneuwahl im Februar 2025 für weitere Verzögerungen gesorgt hat, soll das Umsetzungsgesetz jetzt auf den Weg gebracht werden.

2. Referentenentwurf zur Umsetzung der NIS-2 Richtlinie

Am 30.7.25 hat das Bundeskabinett den Referentenentwurf für ein „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) als Regierungsentwurf beschlossen, mit dem die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit („NIS2“) in deutsches Recht umgesetzt werden soll.