NIS2 in Deutschland: Was die Verzögerung bei der nationalen Umsetzung für Unternehmen bedeutet und warum eine gute Vorbereitung entscheidend ist

In Deutschland ist die Umsetzung in nationales Recht jedoch noch nicht abgeschlossen. Politische Umbrüche und Verzögerungen im Gesetzgebungsverfahren haben zu Unsicherheit bei Organisationen geführt, die möglicherweise in den Anwendungsbereich fallen. Zwar stehen die Fristen für die Umsetzung auf nationaler Ebene noch nicht endgültig fest, doch sind die auf EU-Ebene festgelegten Verpflichtungen bereits bekannt.

Für deutsche Unternehmen lautet die strategische Frage nicht, ob NIS2 gelten wird, sondern wie gut sie vorbereitet sein werden, wenn die nationale Umsetzung verbindlich wird. Es mag zwar bequem erscheinen, auf vollständige rechtliche Klarheit zu warten, doch die Vorbereitungen auf der Grundlage der Kernanforderungen der Richtlinie können und sollten bereits jetzt beginnen.
 

Was NIS2 vorschreibt und für wen es gilt
Die ursprüngliche NIS-Richtlinie (2016) konzentrierte sich auf kritische Infrastrukturen und die dahinter stehenden Unternehmen, wie beispielsweise große Akteure aus den Bereichen Energie, Verkehr, Bankwesen und Gesundheitswesen. NIS2 erweitert den Anwendungsbereich jedoch erheblich.  

Diesmal sind nicht nur große Unternehmen gefragt. Es sind alle Organisationen, die für die Wirtschaft oder die Gesellschaft unverzichtbare Dienstleistungen erbringen – und dazu gehören auch viele kleine und mittlere Unternehmen.

Letztendlich gilt die NIS2 für zwei Kategorien von Unternehmen:

• Systemrelevante Unternehmen, wie beispielsweise große Unternehmen in kritischen Sektoren wie Energie, Gesundheit, Verkehr und digitale Infrastruktur. Diese Unternehmen beschäftigen in der Regel mehr als 250 Mitarbeiter oder erzielen einen Umsatz von über 50 Millionen Euro.  
• Wichtige Unternehmen, wie beispielsweise mittelständische Unternehmen in Branchen wie der Herstellung kritischer Produkte, der Lebensmittelproduktion, den Postdiensten, der chemischen Industrie und den digitalen Dienstleistungen. Diese Unternehmen beschäftigen in der Regel mehr als 50 Mitarbeiter oder erzielen einen Umsatz von über 10 Millionen Euro.  
   

Die oben genannten Größengrenzen dienen lediglich als allgemeine Orientierung. Die endgültige Einstufung hängt von branchenspezifischen Kriterien, der Organisationsstruktur und in bestimmten Fällen von der strategischen Relevanz ab. Ein Unternehmen kann auch unterhalb der Größengrenzen als systemrelevant oder wichtig eingestuft werden, wenn es eine einzigartig kritische Dienstleistung erbringt. Die konkreten Grenzwerte können je nach Sektor variieren und müssen auf der Grundlage der Größe der Organisation und des Sektors, in dem sie tätig ist, festgelegt werden. Ein Unternehmen kann in bestimmten Fällen auch dann als „systemrelevant“ oder „wichtig“ eingestuft werden, wenn es die Größenkriterien nicht erfüllt, beispielsweise wenn es der einzige Anbieter einer für das gesellschaftliche oder wirtschaftliche Leben kritischen Dienstleistung ist.  

Was wird also erwartet?
NIS2 verpflichtet die betroffenen Unternehmen dazu, risikobasierte Sicherheitsmaßnahmen in ihrem gesamten Betrieb umzusetzen. Dazu gehören:

• Risikomanagement: Sie müssen regelmäßige Bewertungen durchführen und entsprechende Sicherheitsmaßnahmen umsetzen. 
• Vorfallbearbeitung: Dazu gehören die Meldung schwerwiegender Vorfälle an die Aufsichtsbehörden innerhalb von 24 Stunden sowie eine vollständige Berichterstattung innerhalb von 72 Stunden. 
• Geschäftskontinuität und Krisenbewältigung: Resilienzplanung, Notfallwiederherstellung, Datensicherung und Prozesse der Krisenkommunikation. 
• Sicherheit in der Lieferkette: Sie sind nicht nur für Ihre eigenen Sicherheitsmaßnahmen verantwortlich, sondern auch für das Management von Cyberrisiken bei Ihren Lieferanten und Dienstleistern. 
• Governance und Rechenschaftspflicht: Mit NIS2 wird eine Rechenschaftspflicht von oben nach unten eingeführt. Die Unternehmensleitung muss Cybersicherheitsstrategien genehmigen und kann bei Versäumnissen persönlich zur Verantwortung gezogen werden. 
   

Verwaltungsstrafen können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Im Gegensatz zu früheren Regelungen ermöglicht NIS2 nun auch die persönliche Sanktionierung von Führungskräften. Für viele deutsche Unternehmen, insbesondere im Mittelstand, ist dies das erste Mal, dass sie in die EU-weite Cyber-Regulierung einbezogen werden.

Die aktuelle Lage in Deutschland
Obwohl NIS2 EU-weit in Kraft ist, hat Deutschland sein nationales Umsetzungsgesetz noch nicht verabschiedet.

Ursprünglich war geplant, NIS2 bis Anfang 2025 mittels des „Gesetzes zur Umsetzung von NIS2 und zur Stärkung der Cybersicherheit“ in nationales Recht umzusetzen. Ein Gesetzentwurf war bereits von der vorherigen Regierung verabschiedet worden. Doch die Auflösung des Bundestages Ende 2024 und die darauf folgenden Neuwahlen haben den Gesetzgebungsprozess zum Stillstand gebracht.

Nun muss unter der neuen Koalition der gesamte Prozess von vorne beginnen. Das deutsche NIS-2-Umsetzungsgesetz wurde zwar am 30. Juli vom Kabinett verabschiedet, doch gemäß dem parlamentarischen Verfahren muss der Gesetzentwurf erneut eingebracht, geprüft und debattiert werden. Im besten Fall könnte bis Ende 2025 ein neues nationales Gesetz vorliegen, doch es könnte bis 2026 dauern, bis es in Kraft tritt.  

Die Verzögerung hat die Europäische Kommission dazu veranlasst, formelle Mahnungen an diejenigen Mitgliedstaaten zu richten, die die Umsetzung noch nicht abgeschlossen haben. Zwar wurde keine formelle Übergangsfrist festgelegt, doch werden die Fristen für die Durchsetzung letztlich vom endgültigen deutschen Umsetzungsgesetz abhängen. Noch besorgniserregender ist, dass es keine Anzeichen für eine Übergangsfrist gibt. Sobald das Gesetz verabschiedet ist, wird von den Unternehmen erwartet, dass sie es unverzüglich einhalten. Es wird keinen sanften Start oder eine schrittweise Einführung geben, wie dies in anderen EU-Mitgliedstaaten der Fall war.  

In der Praxis bedeutet dies, dass deutsche Unternehmen jetzt handeln müssen, noch bevor das Gesetz in Kraft tritt. Denn sobald dies geschieht, läuft die Uhr für die Einhaltung der Vorschriften und die Verhängung von Bußgeldern bereits.

Was andere Länder tun – und warum Deutschland davon lernen sollte
Während Deutschland hinterherhinkt, haben mehrere EU-Nachbarländer bereits Umsetzungspläne für NIS2 veröffentlicht und begonnen, gemeinsam mit der Industrie Vorbereitungen zu treffen. Ihre Fortschritte geben einen hilfreichen Einblick in das, was auf uns zukommt, und verdeutlichen, warum deutsche Unternehmen nicht abwarten sollten.  

Österreich: Verzögerungen, aber Transparenz
Österreich hat nach politischen Verzögerungen einen überarbeiteten Gesetzentwurf veröffentlicht und Konsultationsprozesse eingeleitet. Die Behörden haben vorläufige branchenspezifische Leitlinien bereitgestellt, um Organisationen bei der Einleitung vorbereitender Bewertungen zu unterstützen.

Niederlande: Klare Zeitpläne und ein frühzeitiger Start
Die Niederlande legten frühzeitig Konsultationsentwürfe vor und legten Zielfristen für die Umsetzung fest, um den Unternehmen bereits vor der offiziellen Einführung regulatorische Leitlinien an die Hand zu geben.

Entscheidend ist, dass die niederländischen Aufsichtsbehörden frühzeitig Leitlinien veröffentlicht haben, die den Unternehmen helfen, ihre Risiken einzuschätzen, ihre Unternehmensführung anzupassen und ihre Protokolle zur Reaktion auf Vorfälle zu testen – und zwar lange bevor das Gesetz in Kraft tritt.

Frankreich: Weiter und schneller vorankommen
Frankreich hat NIS2 zusammen mit den entsprechenden EU-Richtlinien in einen umfassenderen nationalen Rahmen zur Widerstandsfähigkeit integriert und dabei den Schwerpunkt auf den Schutz kritischer Infrastrukturen und die Kontinuitätsplanung gelegt.

Im Frühjahr 2025 befand sich das Gesetz bereits in der Endphase der parlamentarischen Verabschiedung. Das französische Modell legt besonderen Wert auf kritische Infrastrukturen, Kontinuitätsplanung und nationale Koordination. Wichtig ist zudem, dass Frankreich die Verpflichtungen im Stil der NIS2 über die EU-Mindestanforderungen hinaus ausweitet und dabei auch einige Kommunen und Forschungseinrichtungen einbezieht.

Wie deutsche Unternehmen jetzt handeln können
Auch wenn die Umsetzung in deutsches Recht noch auf sich warten lässt, ist die EU-Richtlinie bereits in Kraft getreten, und wenn Sie auf die endgültige Gesetzgebung warten, setzen Sie sich potenziellen Bußgeldern aus. Hier erfahren Sie, was deutsche Unternehmen (insbesondere solche, die in regulierten Branchen tätig sind) jetzt tun sollten:

1. Prüfen Sie, ob Sie in den Anwendungsbereich fallen
Beginnen Sie mit den Grundlagen: Als erstes Screening-Kriterium sollten Unternehmen mit 50 oder mehr Mitarbeitern, die in den in Anhang I oder II der NIS2 aufgeführten Sektoren tätig sind, von einer potenziellen Anwendbarkeit ausgehen. Selbst wenn Sie nur Zulieferer eines betroffenen Unternehmens sind, können Sie indirekt betroffen sein. Beginnen Sie jetzt damit, Ihre Geschäftsfunktionen, Abhängigkeiten und Sektoreinstufungen zu erfassen. Die Regulierungsbehörden in Österreich und den Niederlanden arbeiten bereits auf der Grundlage von Entwürfen mit den Unternehmen zusammen. Das können Sie auch.

2. Durchführung einer Lückenanalyse
NIS2 schreibt einen dokumentierten, risikobasierten Ansatz für das Cybersicherheitsmanagement vor. Organisationen sollten ihre bestehenden Kontrollmaßnahmen systematisch mit den Anforderungen der Richtlinie abgleichen, darunter Verfahren zur Meldung von Vorfällen, Sicherheit in der Lieferkette, Governance-Strukturen und Planung der Geschäftskontinuität.

3. Sensibilisierung der Mitarbeiter stärken
NIS2 macht Cybersicherheit zu einer Verantwortung, die von der Führungsspitze ausgeht. Die Führungskräfte müssen ihre Verpflichtungen verstehen und Verantwortung für die Cybersicherheitsstrategie übernehmen. Jetzt ist es an der Zeit, die Vorstände zu informieren, Abteilungsleiter zu schulen und unternehmensweit Sensibilisierungsworkshops durchzuführen. Die Schulungen sollten maßgeschneidert sein, da verschiedene Rollen unterschiedlichen Risiken ausgesetzt sind. Die Meldung von Vorfällen, das Erkennen von Phishing-Angriffen und der sichere Umgang mit sensiblen Daten sind Aufgaben, die jeden betreffen.

4. Bei Bedarf externe Unterstützung hinzuziehen
Nicht jedes Unternehmen verfügt über die internen Ressourcen, um die Anforderungen der NIS2 zu erfüllen. Externe Beratungs- oder Managed-Security-Partner können strukturierte Unterstützung bei der Durchführung von Bewertungen, der Stärkung der Überwachungskapazitäten und der Anpassung der Dokumentation an die regulatorischen Erwartungen bieten. Ob es sich nun um einen Managed Security Service Provider (MSSP) zur Überwachung von Bedrohungen und zur Reaktion auf Vorfälle handelt oder um ein Beratungsunternehmen, das bei der Vorbereitung auf die Compliance hilft – man muss das Rad nicht neu erfinden.

Tools wie der NIS2-Navigator – entwickelt von „Deutschland sicher im Netz e.V.“ und gefördert vom Bundeswirtschaftsministerium – können Unternehmen dabei helfen, festzustellen, ob sie von der Richtlinie betroffen sind, ihren aktuellen Stand zu bewerten und die nächsten Schritte zu ermitteln.

Darüber hinaus bieten regionale Industrie- und Handelskammern (IHKs), branchenspezifische Verbände und das BSI (Bundesamt für Sicherheit in der Informationstechnik) zunehmend Leitfäden, Vorlagen und Checklisten an, um insbesondere KMU bei der Umsetzung der NIS2 zu unterstützen.

Die Vorbereitung auf NIS2 sollte eher als strukturierte Initiative zur Stärkung der Widerstandsfähigkeit denn als Checkliste zur Einhaltung von Vorschriften betrachtet werden. Organisationen, die frühzeitig handeln, können ihre Cybersicherheits-Governance, ihr Risikomanagement und ihre Betriebskontinuität bereits lange vor Beginn der formellen Durchsetzung entsprechend ausrichten.

Die derzeitige Verzögerung bei der Gesetzgebung mindert weder das Risiko von Cyberbedrohungen noch beseitigt sie künftige regulatorische Verpflichtungen. Unternehmen, die diese Zeit als Vorbereitungsphase nutzen, werden besser aufgestellt sein, wenn die nationale Durchsetzung in Kraft tritt.

Handeln Sie jetzt, um Bußgelder zu vermeiden
NIS2 ist ein wichtiges Gesetz, das anerkennt, dass in unserer risikoreichen digitalen Welt Widerstandsfähigkeit unerlässlich ist (und, falls Sie in den Geltungsbereich fallen, sogar vorgeschrieben ist).  

Ja, Deutschland hinkt bei der Umsetzung hinterher, aber das bedeutet nicht, dass Sie es sich leisten können, die Vorbereitungen aufzuschieben. Die EU-Richtlinie ist verbindlich. Andere Länder handeln bereits. Und vor allem: Cyberangreifer warten nicht ab – ebenso wenig wie Ihre Konkurrenten.

Getronics Unternehmen in ganz Deutschland mit den Tools und der Beratung, die sie benötigen, um zuversichtlich in die Zukunft zu blicken. Mit unseren Managed Services und unserer strategischen Beratung helfen wir Unternehmen dabei, Unsicherheit in Klarheit zu verwandeln. Fordern Sie einen Rückruf an, um mit uns ins Gespräch zu kommen und zu erfahren, wie wir Ihnen helfen können.