Neues Cybersicherheitsrecht in Deutschland: NIS2UmsuCG

Startseite
Knowledge
Neues Cybersicherheitsrecht in Deutschland: NIS2UmsuCG

Neues Cybersicherheitsrecht in Deutschland: NIS2UmsuCG

{2D5537DD-B7CB-480F-BAA6-B00701EF2FB2}

01. August 2025

Am 30. Juli 2025 hat die Bundesregierung den Entwurf zum „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“ beschlossen. Mit diesem Gesetz wird die EU-NIS-2-Richtlinie (Richtlinie (EU) 2022/2555 – „NIS-2“) in deutsches Recht umgesetzt. Das Gesetz erweitert den Anwendungsbereich erheblich und schafft ein neues Level an Cybersicherheitsverpflichtungen. Flankiert werden diese Pflichten von neuen Sanktionsmöglichkeiten für Unternehmen.

Betroffene Unternehmen sollten sofort Maßnahmen ergreifen. Das bloße Abwarten ist angesichts der fortgeschrittenen EU-Vorgaben rechtlich nicht mehr ratsam. Insbesondere Meldepflicht, Risikomanagement und Compliance sollten dringend operationalisiert werden.

Deutschland zieht mit der Umsetzung nach: Bereits bis zum 17. Oktober 2024 hätte NIS-2 in nationales Recht umgesetzt werden müssen. Mit der Verabschiedung des Regierungsentwurfs muss dieser noch durch den Gesetzgebungsprozess in Bundestag und Bundesrat durchlaufen.

1. Erweiterter Anwendungsbereich

Das Gesetz betrifft künftig rund 29.500 Unternehmen – ein deutlicher Anstieg im Vergleich zu den bisherigen ca. 4.500 Einrichtungen. Betroffen sind nicht mehr nur kritische Einrichtungen, sondern auch Unternehmen aus vielen Sektoren. Es wird zwischen „besonders wichtigen“ und „wichtigen Einrichtungen“ unterschieden. Beide Gruppen unterliegen spezifischen Pflichten, wobei bei besonders wichtigen Einrichtungen regelmäßige Prüfungen durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) vorgesehen sind. Das BSI wird nunmehr die zentrale Anlaufstelle für alle Fragen der Cybersicherheit in Deutschland.

2. Neue Pflichten für Unternehmen

Die neuen Pflichten sind umfassend:

Einführung eines umfassenden Risikomanagements inkl. Notfallplänen, Backup-Konzepten, sicherer Kommunikation.
Pflicht zur Einrichtung von Meldeprozessen für Cybersicherheitsvorfälle in einem dreistufigen Verfahren.
Registrierungspflicht beim Bundesamt für Sicherheit in der Informationstechnik (BSI).
Schulungspflichten für Mitarbeitende und Leitungsorgane.
Anforderungen an die IT-Sicherheit in der Lieferkette.

3. Empfehlungen für Unternehmen

Prüfen Sie, ob Ihr Unternehmen in den Anwendungsbereich fällt.
Etablieren Sie ein ISMS oder aktualisieren Sie bestehende Systeme.
Richten Sie Meldeprozesse und Verantwortlichkeiten ein.
Schulen Sie Führungskräfte und relevante Mitarbeitende.
Evaluieren Sie Ihre Lieferanten hinsichtlich deren IT-Sicherheitsstandards.

Handlungsschritt	Empfehlung
Betroffenheitsanalyse	Unternehmen sollten prüfen, ob sie künftig zu den Kategorien besonders wichtige oder wichtige Einrichtungen gehören, u.a. anhand Branche, Mitarbeiterzahl, Umsatz.
Compliance-Vorbereitung	Aufbau oder Anpassung eines ISMS nach ISO27001/BSI-Grundschutz oder vergleichbarer Standards.
Meldeprozesse etablieren	Interne Abläufe für das dreistufige Vorfallmeldeverfahren definieren (Erkennung – Bewertung – Meldung an BSI).
Schulung & Awareness	Regelmäßige Schulungen für Mitarbeitende sowie Leitungsorgane gemäß NIS-2 verpflichtend.
Lieferkettensicherheit	Prüfung von Dienstleistern/Lieferanten hinsichtlich IT-Sicherheit, ggf. Audit oder Zertifizierung verlangen.

4. Fazit

Mit dem Kabinettsbeschluss zum NIS2UmsuCG hat Deutschland den Weg zur Umsetzung von NIS-2 eingeleitet – mit erheblicher Ausweitung der Betroffenheit und hohen Anforderungen an Cybersicherheit.

Unternehmen sollten sich jetzt vorbereiten, um Risiken zu minimieren und Sanktionen zu vermeiden. Frühzeitige Compliance-Maßnahmen und gezielte rechtliche Beratung sind entscheidend.