NIS 2 Richtlinie: Umsetzung Deutschland

Das Wichtigste in Kürze:

NIS 2 Umsetzung Deutschland: Einleitung

Die NIS-2-Richtlinie der EU stellt neue Anforderungen an die Cybersicherheit in Unternehmen. Datenlecks, Ransomware-Angriffe und gezielte Cyberattacken auf Unternehmen und öffentliche Einrichtungen werden immer häufiger, wodurch enorme wirtschaftliche Schäden und Imageverluste entstehen können. In diesem Kontext gewinnt die NIS 2 Richtlinie (Network and Information Security Directive 2) für viele Organisationen zunehmend an Relevanz. Während sich die ursprüngliche NIS-Richtlinie bereits den Schutz kritischer Infrastrukturen auf die Fahnen geschrieben hat, geht NIS-2 nun noch einen Schritt weiter und stellt umfangreichere Anforderungen an eine Vielzahl von Branchen und Institutionen. Doch was genau bedeutet das für deutsche Unternehmen? Wer muss NIS2 umsetzen, bis wann – und wie kann eine strukturierte Umsetzung aussehen? Wir geben einen Überblick über Fristen, Pflichten und die aktuelle Gesetzeslage in Deutschland.

Überblick über die NIS 2 Richtlinie

Die NIS-2-Richtlinie (EU) 2022/2555 ist eine Weiterentwicklung der ursprünglichen NIS-Richtlinie (Network and Information Security) aus dem Jahr 2016. Ziel ist es, die Cyberresilienz kritischer und wichtiger Infrastrukturen in Europa deutlich zu erhöhen – mit klaren Vorgaben für Sicherheitsmaßnahmen, Risikomanagement und Meldepflichten bei Sicherheitsvorfällen. Einen allgemeinen Überblick über die Richtlinie erhalten Sie in unserem Blogartikel NIS2: Anforderungen, Strafen und Umsetzung.

Die Richtlinie wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und musste von den Mitgliedsstaaten bis spätestens 17. Oktober 2024 in nationales Recht überführt werden.

Aktueller Stand der NIS 2 Richtlinie (Umsetzung Deutschland)

In Deutschland ist das Bundesministerium des Innern und für Heimat (BMI) gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Umsetzung zuständig. Mit dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) hat Deutschland die europäische NIS-2-Richtlinie in nationales Recht überführt. Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befindet sich weiterhin im Gesetzgebungsverfahren. Zwar lag seit dem 22. Juli 2024 ein Regierungsentwurf vor, doch eine zeitnahe Umsetzung ist aktuell fraglich. Gründe hierfür sind die anstehenden Neuwahlen, eine stockende Regierungsbildung sowie das sogenannte Diskontinuitätsprinzip: Alle offenen Gesetzesvorhaben müssen nach der Wahl neu eingebracht und erneut beraten werden.

Deutschland wurde – wie auch 22 weitere EU-Mitgliedsstaaten – bereits von der EU-Kommission wegen der verspäteten Umsetzung offiziell ermahnt. Seit der ersten Lesung im Bundestag im Oktober 2024 und einer Expertenanhörung im November blieb es still seitens der Bundesregierung.

Der Entwurf sieht umfangreiche Anpassungen verschiedener Gesetze vor, darunter das BSI-Gesetz und das Energiewirtschaftsgesetz (EnWG). Besonders betroffen sind Betreiber Kritischer Infrastrukturen (KRITIS), große Unternehmen aus definierten Branchen sowie einzelne Bundeseinrichtungen.

Fazit: Wann das NIS2UmsuCG final verabschiedet wird, ist derzeit offen. Unternehmen sollten sich jedoch nicht auf politische Prozesse verlassen, sondern ihre Cybersicherheitsmaßnahmen bereits jetzt strategisch ausrichten und proaktiv mit der Umsetzung beginnen. Der aktuellste Stand zum Gesetzgebungsverfahren ist auf der offiziellen Seite des Bundesministeriums des Innern und für Heimat abrufbar: BMI – Gesetzgebungsverfahren zum NIS2UmsuCG

Öffentliche Anhörung zur NIS2-Richtlinie

Im Rahmen einer öffentlichen Anhörung des Innenausschusses am 6. November 2024 im Bundestag wurde der Entwurf zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) von Expertinnen und Experten aus Wirtschaft, Verwaltung und Wissenschaft intensiv diskutiert. Dabei wurde der grundsätzliche Handlungsbedarf zur Stärkung der Cybersicherheit breit anerkannt – gleichzeitig äußerten mehrere Sachverständige kritische Anmerkungen zum Gesetzesentwurf. Insbesondere der umfangreiche Anwendungsbereich, die praktische Umsetzbarkeit für kleine und mittlere Unternehmen (KMU) sowie unklare Begriffsdefinitionen wurden als potenzielle Herausforderungen genannt. Die Anhörung zeigte, dass zwar ein breiter Konsens zur Notwendigkeit der Richtlinie besteht, aber in wichtigen Detailfragen noch Nachbesserungsbedarf gesehen wird.

(Quelle: Bundestag.de – Öffentliche Anhörung zur NIS2-Richtlinie)

Wer muss NIS2 umsetzen?

Eine zentrale Neuerung der NIS2-Richtlinie ist der deutlich erweiterte Geltungsbereich. Neben klassischen KRITIS-Betreibern wie Energie- oder Gesundheitsversorgern sind nun auch viele weitere Branchen betroffen – etwa Anbieter digitaler Dienste (z. B. Cloud-Services, DNS, Internetknoten), Zulieferer kritischer Ketten, Teile der öffentlichen Verwaltung sowie Unternehmen aus Bereichen wie Abfallwirtschaft, Lebensmittel, Chemie oder Automotive. Selbst kleinere Dienstleister und bisherige „Zulieferer“ können nun unter die Richtlinie fallen. Ob ein Unternehmen betroffen ist, erfordert eine sorgfältige Einzelfallprüfung. Detaillierte Informationen dazu finden Sie in unserem Blogartikel NIS2 - Wer ist betroffen.

Ab wann muss ich NIS2 umsetzen?

Die Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) verzögert sich in Deutschland deutlich. Obwohl die nationale Umsetzungsfrist am 17. Oktober 2024 endete, wird das entsprechende Gesetz voraussichtlich erst im Frühjahr 2025 in Kraft treten. Die Bundesregierung hat bereits eingeräumt, dass der Zeitplan nicht eingehalten werden kann.

Unabhängig von der Verzögerung raten wir Unternehmen dringend, sich bereits jetzt intensiv mit den Anforderungen der NIS2-Richtlinie auseinanderzusetzen. Die Richtlinie legt europaweit einheitliche und ambitionierte Mindeststandards für Cybersicherheit fest – mit direkten Auswirkungen auf interne Prozesse, IT-Infrastruktur und das Risikomanagement. Wer frühzeitig handelt, stärkt nicht nur die eigene Cyber-Resilienz, sondern minimiert zugleich das Risiko, später unter Zeitdruck nachbessern zu müssen. Befassen Sie sich mit den Fragen:

• Erfüllen wir bereits alle Anforderungen der NIS2-Richtlinie?
• Welche Systeme, Prozesse und Informationen sind besonders schützenswert?
• Wo bestehen noch Lücken im Risikomanagement oder der technischen Umsetzung?

Gerade in dieser Phase ist eine fundierte Bestandsaufnahme essenziell – denn wer jetzt transparent dokumentiert und gezielt optimiert, reduziert nicht nur das Risiko von Sicherheitsvorfällen, sondern auch mögliche Sanktionen durch Aufsichtsbehörden.

Wie müssen Unternehmen die NIS-2-Richtlinie umsetzen?

Die NIS-2-Richtlinie fordert u. a. die Umsetzung von technischen und organisatorischen Maßnahmen zur Erhöhung der Cyberresilienz. Dazu zählen laut Richtlinie insbesondere:

• Risikomanagementprozesse für Informationssicherheit
• Krisenmanagement und Notfallpläne
• Verschlüsselung, Authentifizierung und Zugriffsschutz
• Zulieferer- und Lieferkettenkontrollen
• Meldung von Sicherheitsvorfällen binnen 24 Stunden

Praxisbeispiel aus dem IT-Alltag:

Ein mittelständisches deutsches IT-Systemhaus, das Dienste für Krankenhäuser bereitstellt, wird durch die NIS2-Richtlinie als wichtiger Dienstleister eingestuft. Die Verantwortlichen nutzen ein Inventarisierungstool wie Docusnap, um alle IT-Komponenten, Benutzerrechte und Netzwerkverbindungen lückenlos zu dokumentieren. So kann systematisch überprüft werden, welche Systeme kritisch sind, ob aktuelle Sicherheitsupdates fehlen oder wo unnötige Rechte bestehen. Eine solche Transparenz ist der erste Schritt zu einem funktionierenden Risikomanagement gemäß NIS2.

Wie Docusnap bei der NIS2-Umsetzung unterstützt

Die strukturierte Umsetzung der NIS2-Anforderungen beginnt mit einem vollständigen Überblick über die eigene IT-Landschaft – genau hier setzt Docusnap an:

✅ Automatisierte IT-Inventarisierung – auch agentenlos
✅ Dokumentation aller Assets, Benutzerberechtigungen und Abhängigkeiten
✅ Visualisierung von Netzwerken und Verantwortlichkeiten
✅ Unterstützung bei der Identifikation kritischer Systeme
✅ Grundlage für die Erstellung von Notfallplänen und Sicherheitskonzepten

Gerade in Unternehmen mit komplexen IT-Strukturen oder einer Vielzahl an Dienstleistern ist eine zentrale, regelmäßig aktualisierte Dokumentation ein entscheidender Erfolgsfaktor.

Ausblick und Fazit: Jetzt handeln statt abwarten

Die NIS-2-Richtlinie ist ein deutlicher Hinweis darauf, dass Deutschland mehr Verbindlichkeit und Strenge in der IT-Sicherheit fordert. Die zahlreichen Pflichtaspekte – von der Risikobewertung über die Meldung von Sicherheitsvorfällen bis hin zu möglichen Bußgeldern – zeigen, dass die Zeit der freiwilligen Orientierung an Best Practices für viele Unternehmen vorbei ist. Wer zu spät reagiert, riskiert nicht nur finanzielle Verluste und Image-Einbußen, sondern auch ein Bußgeldverfahren.

Dabei ist NIS-2 nicht statisch: Auch in den kommenden Jahren werden sich Regularien und Normen weiterentwickeln, neue Branchen in den Fokus rücken und technische Standards verschärft werden. Umso wichtiger ist es, ein schlüssiges Sicherheitskonzept zu etablieren, das auf die spezifischen Anforderungen Ihres Unternehmens zugeschnitten ist. Dieses Konzept sollte:

• Technologische Investitionen in Hardware und Software beinhalten,
• klare Prozesse und Verantwortlichkeiten definieren,
• die Belegschaft für das Thema Cybersecurity sensibilisieren,
• und eine nachhaltige, automatisierte IT-Dokumentation fest verankern.
  

Docusnap kann Ihnen dabei helfen, diese komplexe Aufgabe längerfristig zu bewältigen. Mit automatisierter Inventarisierung, strukturierten Reports, Compliance-Checks und effizienten Abläufen legen Sie eine solide Basis, die Sie bei der Umsetzung der NIS-2-Richtlinie deutlich entlastet.

Gerne unterstützen wir Sie, falls Sie weiterführende Fragen zu Docusnap haben oder eine individuelle Beratung wünschen. Besuchen Sie dazu auch unseren Bereich IT-Inventarisierung um sich noch detaillierter zu informieren.

‍