Am 13.11.2025 hat der Bundestag das Gesetz zur Informationssicherheit in der Bundesverwaltung beschlossen und damit die sog. NIS2-Richtlinie der EU umgesetzt. Das Gesetz verschärft auch die Cybersicherheitsanforderungen bei großen Unternehmen deutlich.
Hintergrund
Die NIS-2-Richtlinie der EU setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Ziel ist nach Regierungsangaben die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen. Entsprechend der unionsrechtlichen Vorgaben wird der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert. Zusätzlich werden Vorgaben für die Bundesverwaltung eingeführt.
Bundestag beschließt Umsetzungsgesetz mit wesentlichen Änderungen
Am ursprünglichen Gesetzentwurf hatte es im Zuge der Beratungen von Sachverständigen deutlich Kritik gegeben. Daraufhin hat der federführende Innenausschuss den Gesetzentwurf deutlich verschärft (BT-Drs. 21 2782) und damit einen Änderungsantrag der Regierungskoalition umgesetzt.
Beschlossen ist nun, dass der Anwendungsbereich des Gesetzes ausgeweitet wird und neue Einrichtungskategorien eingeführt werden; das Gesetz gilt jetzt verschärfend für den ganzen Bereich der Bundesverwaltung. Zudem wird die bislang einstufige Meldepflicht bei Sicherheitsvorfällen durch ein dreistufiges Melderegime ersetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält im Rahmen seiner Aufsichtsmaßnahmen erweiterte Befugnisse. In der Bundesverwaltung ein zentraler Koordinator (CISO Bund) für Maßnahmen zur Informationssicherheit in deren Einrichtungen eingerichtet. Dieser soll auch die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützen.
Auswirkungen des Gesetzes auf die Cybersicherheit in Unternehmen
Vorgaben zu Maßnahmen für die Cybersicherheit von für die Allgemeinheit wichtigen Unternehmen gab es schon nach der bisherigen Gesetzeslage. Nach dem jetzt beschlossenen neuen Gesetz müssen für das Gemeinwesen wichtige Unternehmen künftig aber mehr tun, um sich vor IT-Ausfällen und Cyberangriffen zu schützen. Für die rund 29.850 betroffenen Unternehmen und die Behörden der Bundesverwaltung bedeutet das nicht nur, dass sie präventiv mehr tun müssen, beispielsweise durch die Schulung von Mitarbeitern. Sie sind auch verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle relevanten IT-Sicherheitsvorfälle zu melden.
Die neuen Vorgaben betreffen unter anderem Unternehmen aus den Bereichen Energie, Gesundheit, Transport oder digitale Dienste. Sie müssen künftig bestimmte Schutzmaßnahmen einführen, etwa Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen. Das Ausmaß der Vorkehrungen richtet sich nach der Bedeutung der jeweiligen Einrichtung.
Wird ein Unternehmen Opfer eines Cyberangriffs, muss es diesen binnen 24 Stunden melden, nach 72 Stunden einen Zwischenstand liefern und innerhalb eines Monats einen Abschlussbericht vorlegen. Das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) bekommt mehr Aufsichtsbefugnisse. Es kann bei schwerwiegenden Verstößen Bußgelder verhängen.
Bewertung
Die Anforderungen an die Cybersicherheit werden auch für betroffene Unternehmen jetzt deutlich strenger. Wirtschaftsverbände klagen deshalb vor allem über zusätzlichen Aufwand für betroffene Unternehmen. Die Notwendigkeit der Vorgaben kann aber niemand infrage stellen. Denn gestiegene Risiken durch staatlich gesteuerte Hackerangriffe und der Einsatz ausländischer IT-Produkte in besonders heiklen Bereichen bedrohen die Informationssicherheit und machen entsprechende Schutzmaßnahmen unverzichtbar.
Weitere Informationen
Deutscher Bundestag – Gesetz zur Informationssicherheit in der Bundesverwaltung beschlossen