Am 30.7.2025 hat die Bundesregierung das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) auf den Weg gebracht, mit dem Cybersicherheit in Unternehmen und Bundesverwaltung verbessert und deutsche IT-Systeme zukunftssicher gemacht werden sollen. Für die Unternehmen bringt das Gesetz aber auch neue Belastungen mit sich.
Hintergrund
Angesichts zunehmender Hackerangriffe auf IT-Systeme öffentlicher Einrichtungen und privater Unternehmen mit immensen Schadensfolgen wird Cybersicherheit immer wichtiger – auch wenn die erforderlichen Investitionen in IT-Sicherheitssysteme kostspielig sind.
Die zweite NIS2 (Netzwerk- und Informationssicherheits-)Richtlinie hat die Cybersecurity-Anforderungen und die Anzahl der betroffenen Unternehmen erheblich erweitert und war eigentlich in den Mitgliedstaaten bis spätestens 17.10.2024 umzusetzen. In Deutschland gab es zwar bereits in der letzten Legislaturperiode einen Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie (BT-Drs. 20/13184 und BR-Drs. 380/24), allerdings hat die Bundestagsneuwahl im Februar 2025 für weitere Verzögerungen gesorgt. Jetzt aber wird das Umsetzungsgesetz endlich auf den Weg gebracht.
Kernpunkte des geplanten Cybersicherheitsstärkungsgesetzes
Nach dem Entwurf sollen Unternehmen aktiv zur Cybersicherheit und zum Schutz ihrer digitalen Infrastruktur beitragen. Folgende Schwerpunkte sind dabei vorgesehen:
- Mehr Unternehmen im Fokus:
Neben Betreibern Kritischer Infrastrukturen rückt ein breiteres Spektrum in den Mittelpunkt, darunter sogenannte „wichtige“ und „besonders wichtige Einrichtungen“. Insgesamt betrifft das rund 29.500 Unternehmen. Zum Beispiel aus den Bereichen Energie, Gesundheit, Transport oder digitale Dienste. - Verlässliche Standards für Cybersicherheit:
Alle betroffenen Unternehmen sollen künftig zentrale Schutzmaßnahmen etablieren. Etwa Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen. Der Umfang richtet sich nach der Bedeutung der Einrichtung, ein ausgewogenes Verhältnis bleibt also gewahrt. - Klarere Abläufe bei Sicherheitsvorfällen:
Wenn es zu einem Cyberangriff kommt, greift ein gestuftes Meldeverfahren: Zunächst eine kurze Erstmeldung innerhalb von 24 Stunden, gefolgt von einem Zwischenstand nach 72 Stunden und einem Abschlussbericht innerhalb eines Monats. - Stärkere Rolle für das BSI:
Das Bundesamt für Sicherheit in der Informationstechnik erhält mehr Befugnisse zur Aufsicht und Durchsetzung. Bei schwerwiegenden Verstößen können künftig auch Bußgelder verhängt werden, die sich am Jahresumsatz orientieren.
Erste Bewertung
Mit dem NIS2UmsuCG werden die Anforderungen an die Cybersicherheit gestärkt. Dies ist aus Sicht des Mittelstands zu begrüßen. Die Umsetzung auf Unternehmensebene ist allerdings mit hohem Aufwand verbunden. Zu den „Besonders wichtige Einrichtungen“ (§ 28 Abs.1 Gesetzentwurf, Anlage 1) zählen Unternehmen mit mehr als 249 Beschäftigten oder mindestens 50 Mio. Euro Umsatz und einer Jahresbilanzsumme von über 43 Mio. Euro. Zu den „Wichtigen Einrichtungen“ (§ 28 Abs.2 Gesetzentwurf, Anlagen 1 und 2) zählen Unternehmen mit mehr als 49 Beschäftigten oder mehr als 10 Mio. Euro Umsatz.
Da viele erstmals betroffene Unternehmen nicht über das erforderliche Fachpersonal verfügen, werden deshalb die Unternehmen mehr Zeit für erforderliche Anpassungsprozesse benötigen. Die DIHK hat in einer ersten Stellungnahme insbesondere die unklare Definition zentraler Begriffe kritisiert, die zu Rechtsunsicherheit führt. Unternehmen müssten häufig mit juristischer Hilfe klären, ob sie überhaupt vom Gesetz betroffen seien – ein Aufwand, der Zeit und Ressourcen binde. Die Unternehmen bräuchten rechtssichere und praxisnahe Umsetzungshilfen.
Auch wenn das Gesetz erst noch durch die parlamentarischen Gremien muss: Unternehmen sollten schon jetzt frühzeitig prüfen, ob sie vom Gesetz betroffen sind. Danach sollte zügig geklärt werden, wie die geforderten Maßnahmen umgesetzt werden können. Bei der Umsetzung empfiehlt sich, sämtliche Umsetzungsschritte detailliert zu dokumentieren. So wird sichergestellt, dass alle ergriffenen Maßnahmen später auch gegenüber offiziellen Stellen nachweisbar sind.
Das BSI gibt bei Umsetzung wertvolle Hilfestellung: Das BSI stellt bereits jetzt umfangreiche Informationen bereit, inklusive eines digitalen Tools zur Selbsteinschätzung. So können Unternehmen frühzeitig prüfen, welche Regelungen für sie relevant sind und wie sie sich bestmöglich aufstellen: https://www.bsi.bund.de/
Weitere Informationen:
- BMI – Presse – Stärkerer Schutz vor Cyberangriffen: Bundesregierung bringt neues IT-Sicherheitsgesetz auf den Weg
- Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
- DIHK fordert praxistaugliche Umsetzung der NIS2-Richtlinie
- Richtlinie – 2022/2555 – DE – EUR-Lex