top of page
Suche

NIS2 ist im Bundestag durch – was bedeutet das jetzt für Unternehmen?Einordnung und Praxistipps von 5X Consulting

  • Autorenbild: Marius Satzkowski
    Marius Satzkowski
  • 14. Nov.
  • 7 Min. Lesezeit

Der Bundestag hat am 13. November 2025 das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ beschlossen. In den Medien und Stellungnahmen ist meist vom NIS2-Umsetzungsgesetz bzw. NIS2UmsuCG die Rede. Damit steht fest: Deutschland holt die seit Oktober 2024 überfällige Umsetzung der europäischen NIS2-Richtlinie nach – und für tausende Unternehmen wird Cybersicherheit von einer „Kann-Frage“ zur klaren gesetzlichen Pflicht.


Der Bundesrat muss noch zustimmen, aber die politischen Signale sind eindeutig: Das Gesetz soll noch Ende 2025 in Kraft treten und dann ohne Übergangsfrist gelten, also am Tag nach der Verkündung. Erste Leitfäden und Fachanalysen – etwa von Wirtschaftsverbänden, Beratungen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) – haben sich daher schon vor der Verabschiedung intensiv mit dem Entwurf.


1. Was NIS2 eigentlich regelt – und warum das mehr ist als „IT-Sicherheit“


Die NIS2-Richtlinie ist die europäische Antwort auf eine deutlich verschärfte Bedrohungslage im Cyberraum. Ziel ist ein einheitlich hohes Sicherheitsniveau in allen EU-Mitgliedstaaten. Anders als frühere Regelungen geht es nicht mehr nur um klassische kritische Infrastruktur wie Strom- oder Wassernetze, sondern um ein deutlich breiteres Ökosystem: Von Rechenzentren über Cloud-Anbieter, Logistik, industrielle Produktion und Gesundheitswesen bis hin zu bestimmten digitalen Plattformen.


Mit dem deutschen Umsetzungsgesetz werden diese europäischen Vorgaben jetzt verbindliches nationales Recht. Das BSI erhält erweiterte Befugnisse als zentrale Aufsichtsbehörde, und erstmals werden auch Teile der Bundesverwaltung in eine ähnliche Verpflichtungslogik einbezogen wie Unternehmen. Damit verschwimmt die alte Trennlinie zwischen „kritischer Infrastruktur“ und „normaler Wirtschaft“ immer stärker.




2. Wer ist betroffen? Mehr als 30.000 Unternehmen – vor allem der Mittelstand


Nach übereinstimmenden Schätzungen von Industrie- und Handelskammern, Beratungen und Fachverbänden werden in Deutschland rund 30.000 Unternehmen und Organisationen in den Anwendungsbereich von NIS2 fallen – statt bisher etwa 2.000 KRITIS-Betreibern nach dem alten IT-Sicherheitsgesetz.


Ob Ihr Unternehmen dazugehört, hängt von zwei Achsen ab: Zum einen von der Branche, denn die Richtlinie definiert eine Reihe von Sektoren – etwa Energie, Transport, Finanz- und Gesundheitswesen, digitale Infrastruktur und Rechenzentren, aber auch verarbeitendes Gewerbe, Lebensmittelwirtschaft, Abfallentsorgung, Post- und Kurierdienste, Anbieter digitaler Dienste und bestimmte Forschungseinrichtungen. Zum anderen von der Größe und wirtschaftlichen Bedeutung: In der Regel werden mittlere und große Unternehmen mit mindestens 50 Beschäftigten und/oder über 10 Millionen Euro Jahresumsatz erfasst, ergänzt um spezifische Schwellenwerte und Sonderfälle.


Wichtig ist außerdem: Auch kleinere Unternehmen können betroffen sein, wenn sie Schlüsselrollen in kritischen Wertschöpfungsketten einnehmen – etwa als spezialisierte Zulieferer oder IT-Dienstleister, von deren Verfügbarkeit und Sicherheit andere kritische Einrichtungen abhängen. Für viele Mittelständler, die bisher mit IT-Sicherheitsgesetz und KRITIS wenig Berührung hatten, kommen damit erstmals umfangreiche Cybersicherheits-Pflichten ins Spiel.




3. Was sich konkret ändert: Von „Best Effort“ zu klaren Mindeststandards


Während die EU-Richtlinie vor allem Ziele und Rahmenbedingungen formuliert, legt das deutsche Umsetzungsgesetz sehr konkret fest, was betroffene Unternehmen künftig tun müssen. In der Praxis lassen sich die Pflichten in drei große Blöcke einteilen, die eng ineinandergreifen.


3.1 Risikomanagement und technische Maßnahmen

Kern des Gesetzes ist ein verpflichtendes Risikomanagement für Cybersicherheit. Unternehmen müssen systematisch bewerten, welche Bedrohungen ihre Netze und Informationssysteme betreffen, und geeignete Maßnahmen nach dem „Stand der Technik“ treffen. Dazu zählen etwa geregeltes Patch- und Schwachstellenmanagement, Härtung und Segmentierung von Netzen, der Einsatz starker Authentisierung (z. B. Multi-Faktor-Verfahren), Verschlüsselung, Backup- und Wiederherstellungsstrategien sowie ein durchgängiges Protokollieren und Überwachen sicherheitsrelevanter Ereignisse. Viele Fachbeiträge verweisen hier auf etablierte Standards wie ISO 27001 oder den BSI-Grundschutz als praktikable Referenzrahmen.


Besonderes Gewicht legt NIS2 auf die Sicherheit in der Lieferkette: Unternehmen sollen nicht nur ihre eigene IT härten, sondern auch vertraglich und organisatorisch sicherstellen, dass Dienstleister und Zulieferer bestimmte Sicherheitsanforderungen erfüllen. Für IT-Service-Provider, Cloud-Anbieter und Betreiber von Rechenzentren ist dies zugleich Pflicht und Geschäftsmodell: Wer NIS2-konforme Services anbieten kann, wird in Ausschreibungen künftig klar im Vorteil sein.


3.2 Meldung von Sicherheitsvorfällen

Ein zweiter großer Baustein sind verbindliche Meldepflichten gegenüber dem BSI. Relevante Sicherheitsvorfälle – also solche, die zu erheblichen Störungen der Verfügbarkeit, Vertraulichkeit oder Integrität von Diensten führen könnten – müssen sehr schnell gemeldet werden. Die Richtlinie sieht ein gestuftes Verfahren aus einer frühen Warnmeldung kurz nach Bekanntwerden, detaillierten Nachmeldungen und einem Abschlussbericht vor. Der deutsche Gesetzgeber übernimmt diese Logik und knüpft daran Aufsichts- und Unterstützungsinstrumente des BSI.


Für Unternehmen bedeutet das: Ein Incident-Response-Plan, der heute oft eher als „Best Practice“ gilt, wird zur gesetzlichen Pflicht. Es reicht nicht mehr, Vorfälle im Stillen zu bearbeiten; es braucht klare Prozesse, Verantwortlichkeiten und Kommunikationswege – intern genauso wie gegenüber Behörden und teilweise gegenüber Kunden.


3.3 Governance, Verantwortung und Nachweisführung

Der vielleicht einschneidendste Punkt für die Unternehmensführung: Cybersicherheit wird ausdrücklich zur Aufgabe der Geschäftsleitung gemacht. NIS2 verlangt, dass die Leitungsebene das Risikomanagement genehmigt, seine Umsetzung überwacht und sich regelmäßig über den Status der Informationssicherheit berichten lässt. In vielen Analysen wird daher von einem Paradigmenwechsel gesprochen: Von „IT kümmert sich“ hin zu „Security ist Chefsache“ – inklusive Pflicht zu Schulungen für die Geschäftsleitung selbst.


Damit verknüpft sind umfangreiche Dokumentations- und Nachweispflichten. Unternehmen müssen nachweisen können, wie sie Risiken identifiziert, bewertet und behandelt haben, welche technischen und organisatorischen Maßnahmen eingeführt wurden, welche Schulungen stattfanden und wie Vorfälle gemanagt wurden. Die Registrierung bei der zuständigen Behörde (in der Regel dem BSI) ist ebenfalls vorgesehen und muss innerhalb kurzer Fristen nach Inkrafttreten des Gesetzes erfolgen.




4. Sanktionen und Haftungsrisiken: Warum Abwarten riskant ist


Die EU hat der NIS2-Richtlinie bewusst „Zähne“ gegeben. Für „besondere Einrichtungen“ (vereinfacht: größere, besonders kritische Unternehmen) sehen die Vorgaben Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Für „wichtige Einrichtungen“ gelten etwas geringere Obergrenzen von 7 Millionen Euro oder 1,4 % des Umsatzes, was für viele Mittelständler trotzdem schmerzhaft wäre. Deutsche Umsetzungsentwürfe orientieren sich eng an diesen europäischen Vorgaben.


Neben Geldbußen kommen weitere Maßnahmen in Betracht: Auflagen, vertiefte Prüfungen durch das BSI, im Extremfall auch Anordnungen, die den Betrieb einschränken. In juristischen Kommentaren wird zudem darauf hingewiesen, dass eine verletzte Leitungspflicht der Geschäftsführung im Ernstfall auch haftungs- und gesellschaftsrechtliche Konsequenzen haben kann – etwa gegenüber Aufsichtsorganen oder Gesellschaftern.


Kurz gesagt: „Wir warten ab, bis alles ganz genau feststeht“ ist in der aktuellen Lage keine risikoarme Strategie mehr.




5. Zeitplan: Was passiert als Nächstes?


Mit der Verabschiedung im Bundestag ist ein wichtiger Meilenstein erreicht; nun ist der Bundesrat am Zug. Beobachter rechnen mit einer Befassung der Länder in den kommenden Wochen und einer Verkündung im Bundesgesetzblatt noch Ende 2025. In Fachkreisen gilt als weitgehend gesetzt, dass das Gesetz direkt am Tag nach der Verkündung in Kraft tritt – ohne zusätzliche Übergangsfrist, wie es bereits frühere Entwürfe und Leitfäden nahegelegt haben.


Für Unternehmen bedeutet das: Die Umsetzungsfrist läuft faktisch jetzt. Wer erst reagiert, wenn das Gesetz im Bundesgesetzblatt steht, wird kaum noch genügend Zeit für eine saubere Gap-Analyse, Roadmap und Implementierung haben – insbesondere, wenn auch externe Partner (z. B. SOC-Dienstleister, Cloud-Provider oder spezialisierte Beratungen) eingebunden werden müssen, die absehbar stark nachgefragt sein werden.




6. Was Unternehmen jetzt konkret tun sollten

Aus Sicht von 5X Consulting gibt es drei zentrale Handlungsstränge, die Sie sofort anstoßen können – unabhängig davon, ob die endgültige Ausgestaltung einzelner Detailregelungen noch nachgeschärft wird.


Erstens: Klären Sie Ihre Betroffenheit und Ihr „Level“. Prüfen Sie, in welchen der von NIS2 erfassten Sektoren Sie tätig sind und ob Größe, Umsatz oder Bilanzsumme Sie in den Kreis der „wichtigen“ oder „besonders wichtigen Einrichtungen“ bringen. Nutzen Sie dazu Brancheninformationen der IHKs, Verbände sowie die öffentlich verfügbaren Materialien von BSI, Beratungen und Anwaltskanzleien. Ziel ist eine klare, dokumentierte Aussage: Sind wir betroffen – und wenn ja, in welcher Kategorie?


Zweitens: Führen Sie eine Gap-Analyse gegen NIS2 durch. Erheben Sie nüchtern den Status quo Ihrer Informationssicherheit: Welche Policies existieren bereits, welche technischen Maßnahmen sind umgesetzt, wie läuft das Risikomanagement, wie sieht Incident-Handling heute aus? Im nächsten Schritt legen Sie diese Realität an die NIS2-Anforderungen an – etwa entlang eines ISMS-Standards – und identifizieren Lücken. Viele Unternehmen haben durchaus gute Einzelmaßnahmen, aber kein durchgängiges, nachweisbares System dahinter. Genau dort setzt NIS2 an.


Drittens: Bauen Sie ein „Minimum Viable ISMS“ mit klarer Roadmap. Anstatt auf den „perfekten“ Zielzustand zu warten, empfehlen wir, kurzfristig ein tragfähiges Minimum aufzubauen: dokumentiertes Risikomanagement, definierte Rollen und Verantwortlichkeiten (inklusive Berichtslinie zur Geschäftsleitung), ein Incident-Response-Prozess, erste Kernrichtlinien (z. B. Zugriffsmanagement, Patch-Management, Backup) und ein Plan zur Lieferantensicherheit. Darauf aufbauend entsteht dann eine Roadmap über 12–24 Monate, um das Sicherheitsniveau schrittweise zu erhöhen, Auditfähigkeit herzustellen und – falls gewünscht – eine Zertifizierung vorzubereiten.




7. NIS2 als Chance begreifen – nicht nur als Pflichtprogramm


Bei aller Kritik an Bürokratie und mancher Detailregelung: Viele Stimmen aus Wirtschaft und Sicherheitscommunity sehen in NIS2 auch eine Chance, das Thema Informationssicherheit im Unternehmen endlich strategisch zu verankern. Wer jetzt strukturiert vorgeht, reduziert nicht nur das Risiko von Ausfällen, Datenverlusten und Reputationsschäden, sondern verschafft sich auch Vorteile in Ausschreibungen, Partnerschaften und in der eigenen Employer-Brand – denn qualifizierte Fachkräfte erwarten heute professionelle Sicherheitsstrukturen.




8. Wie 5X Consulting Sie unterstützt


Für viele Organisationen ist NIS2 die erste Berührung mit regulierter Cybersicherheit. 5X Consulting begleitet Sie dabei, aus einer gesetzlichen Pflicht ein robustes, pragmatisches Sicherheitsfundament zu machen:

  • Wir klären mit Ihnen die Betroffenheit und Einstufung Ihres Unternehmens.

  • Wir führen eine NIS2-Gap-Analyse durch und übersetzen juristische Anforderungen in konkrete technische und organisatorische Maßnahmen.

  • Wir entwickeln mit Ihnen ein „Minimum Viable ISMS“ und eine realistische Roadmap – inklusive Budget- und Ressourcenplanung.

  • Wir unterstützen beim Aufbau von Incident-Response-Strukturen, bei der Einbindung von Dienstleistern und bei Awareness-Programmen für Mitarbeitende und Management.


Jetzt ist der richtige Zeitpunkt zu handeln

Wenn Sie bis hierhin gelesen haben, ist klar: NIS2 wird Ihr Unternehmen nicht „irgendwann“ betreffen, sondern sehr wahrscheinlich direkt und spürbar, sobald das Gesetz in Kraft tritt. Ob Sie heute schon ein hohes Sicherheitsniveau haben oder noch ganz am Anfang stehen – entscheidend ist, dass Sie jetzt strukturiert loslegen.

Lassen Sie uns gemeinsam in einem unverbindlichen Erstgespräch klären, wo Sie stehen und welche nächsten Schritte sinnvoll sind.Wir zeigen Ihnen konkret,

  • ob und in welcher Kategorie Ihr Unternehmen unter NIS2 fällt,

  • welche Lücken im Vergleich zu den Anforderungen bestehen

  • und wie ein pragmatischer 90-Tage-Plan für Ihr Unternehmen aussehen kann.

Vereinbaren Sie jetzt Ihr Erstgespräch mit 5X Consulting und machen Sie NIS2 vom Risiko zum Wettbewerbsvorteil.

Schreiben Sie uns eine kurze Nachricht oder rufen Sie uns an – wir melden uns mit konkreten Terminvorschlägen und einem klaren Fahrplan für Ihre nächsten Schritte.


 
 
 

Kommentare

bottom of page