11. November 2025

NIS2 Umsetzungsgesetz

Am 13. November 2025 soll der Bundestag über das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS2UmsuCG) abstimmen. Nach einer halbstündigen Debatte ist die Schlussabstimmung vorgesehen – es geht um den zentralen Rechtsrahmen, der NIS2 in Deutschland endlich verankern soll (BT-Drs. 21/1501; 21/2072). Federführend ist der Innenausschuss, der bereits am 13. Oktober eine öffentliche Anhörung mit zahlreichen Sachverständigen durchgeführt hat.

Die NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) der Europäischen Union ist seit dem 16. Januar 2023 in Kraft und legt verbindliche Mindeststandards für die Cybersicherheit von Netz- und Informationssystemen fest. Deutschland als EU-Mitgliedsstaat ist verpflichtet, diese Richtlinie fristgerecht in nationales Recht umzusetzen. Deutschland hat die ursprüngliche Frist (18. Oktober 2024) nicht eingehalten. Mit der aktuellen Vorlage will die Bundesregierung nun den Schritt zur nationalen Umsetzung gehen.

Nächste Schritte der NIS-2 in Deutschland

Damit Deutschland die Vorgaben der NIS-2 nicht nur verabschiedet, sondern auch wirksam umsetzt, sind im Folgenden mehrere Schritte erforderlich:

Gesetzgebungsprozess im Bundestag und Bundesrat abschließen
- Nach der ersten Lesung im Bundestag ist nun die Überweisung des Entwurfs an die zuständigen Ausschüsse (z. B. Innenausschuss, Haushaltsausschuss) erfolgt.
- Anschließend folgt die zweite und dritte Lesung im Bundestag sowie die Zustimmung im Bundesrat – insbesondere da das Gesetz auch Länderzuständigkeiten tangiert.
- Erst mit der Verkündung im Bundesgesetzblatt wird das Gesetz rechtskräftig.
Erarbeitung der Begleit-Verordnungen und Verwaltungsvorschriften
- Die Richtlinie setzt Mindeststandards, aber viele Details müssen national in Ausführungsverordnungen und Verwaltungsvorschriften geregelt werden – etwa Zuständigkeiten, Meldewege und Sanktionen.
- Auch die Ausweitung auf verschiedene Sektoren und Kategorien „wesentlicher“ bzw. „wichtiger“ Einrichtungen erfordert Klarstellungen.
Aufbau von Meldesystemen und Registrierungspflichten
- Betroffene Unternehmen müssen künftig registriert werden und Meldepflichten erfüllen (z. B. binnen 24 Stunden bei „wesentlichen“ Einrichtungen) – das nationale Portal und die Prozesse müssen eingerichtet werden.
- Auch das zuständige Aufsichtsorgan – das Bundesamt für Sicherheit in der Informationstechnik (BSI) – muss personell und technisch ausgestattet werden.

NIS-2 Umsetzung

Für Unternehmen und Behörden gilt: Jetzt ist der Zeitpunkt, sich auf die neuen Vorgaben vorzubereiten – sowohl organisatorisch als auch technisch. Wer früh handelt, kann Umsetzungsrisiken minimieren. Hier finden Sie mehr zur Anwendbarkeit der NIS-2 für Ihr Unternehmen.

Mit der ersten Lesung des Gesetzes zur Umsetzung der NIS-2-Richtlinie hat der Bundestag einen wichtigen Schritt gemacht. Allerdings steht die vollständige Umsetzung noch bevor – und mit ihr zahlreiche Aufgaben für Gesetzgeber, Verwaltung, Wirtschaft und Behörden. Ob Deutschland bei der Umsetzung rechtzeitig und wirkungsvoll vorgeht, wird maßgeblich sein, um das Sicherheitsniveau im digitalen Raum zu erhöhen und europäisch vergleichbar zu gestalten.

Alle aktuellen Themen sehen

Autor

Nils Möllers

Herr Möllers ist als ext. Konzerndatenschutzbeauftragter (TISAX, ISO27001, DEKRA und TÜV) tätig. Herr Möllers hat 2017 die Keyed GmbH gegründet und verfügt über langjährige Erfahrung im Datenschutz.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Facebook Connect
Anbieter	Meta Platforms Ireland Ltd.
Zweck	Facebook Connect nutzt im Rahmen des Webtrackings Cookies, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung unserer Webseite und Ihres Surfverhaltens ermöglichen (sogenanntes tracken).
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.facebook.com/about/privacy

Akzeptieren
Name	Google Adsense
Anbieter	Google LLC
Zweck	Wir haben auf dieser Website Google AdSense integriert. Google AdSense ist ein Online-Dienst, über welchen eine Vermittlung von Werbung auf Drittseiten ermöglicht wird.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Google Double Click
Anbieter	Google LLC
Zweck	Diese Webseite setzt Google Double Click ein, um für die Nutzer relevante Anzeigen zu schalten, die Berichte zur Kampagnenleistung zu verbessern oder um zu vermeiden, dass ein Nutzer die gleichen Anzeigen mehrmals sieht. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	Salesviewer
Anbieter	SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, Deutschland.
Zweck	Auf dieser Webseite werden mit der SalesViewer®-Technologie der SalesViewer® GmbH, Bongardstraße 29, 44787 Bochum, auf Grundlage einer Einwilligung & berechtigter Interessen des Webseitenbetreibers Daten zu Marketing-, Marktforschungs- und Optimierungszwecken gesammelt und gespeichert. Hierzu wird ein javascript-basierter Code eingesetzt, der zur Erhebung unternehmensbezogener Daten und der entsprechenden Nutzung dient. Die mit dieser Technologie erhobenen Daten werden über eine nicht rückrechenbare Einwegfunktion (sog. Hashing) verschlüsselt. Die Daten werden unmittelbar pseudonymisiert und nicht dazu benutzt, den Besucher dieser Webseite persönlich zu identifizieren.
Laufzeit
Weiterführende Infos	https://www.salesviewer.com/de/datenschutzerklaerung/
Opt-Out Link	https://www.salesviewer.com/de/opt-out/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz

Akzeptieren
Name	Matomo / Piwik
Anbieter	Piwik PRO GmbH
Zweck	Unsere Webseite verwendet Matomo (ehemals Piwik), eine Open-Source-Software zur statistischen Auswertung der Besucherzugriffe. Anbieter ist die Piwik PRO GmbH, Lina-Bommer-Weg 6, 51149 Köln.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://matomo.org/docs/privacy/

Akzeptieren
Name	Google Analytics
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Google Analytics zur Analyse der Websitebenutzung durch Nutzer. Die Daten werden an einen Server von Google in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden. In der Regel werden die Cookies von Google für eine Dauer von 2 Jahren gespeichert.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Hubspot
Anbieter	Hubspot Ltd.
Zweck	Hierbei handelt es sich um eine integrierte Software-Lösung, mit der wir verschiedene Aspekte unseres Online Marketings abdecken. Dazu zählen unter anderem: E-Mail-Marketing (Newsletter sowie automatisierte Mailings, bspw. zur Bereitstellung von Downloads), Social Media Publishing & Reporting, Reporting (z.B. Traffic-Quellen, Zugriffe, etc. …), Kontaktmanagement (z.B. Nutzersegmentierung & CRM), Landing Pages und Kontaktformulare.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://legal.hubspot.com/privacy-policy

NIS2 Umsetzungsgesetz

Nächste Schritte der NIS-2 in Deutschland

NIS-2 Umsetzung

Wir verwenden Cookies