Computer & Technik
NIS-2 ist da: Was Unternehmen jetzt über das neue Cybersicherheitsgesetz wissen müssen
Das NIS-2-Umsetzungsgesetz ist beschlossen. Mit dem Inkrafttreten gelten verschärfte IT-Sicherheitsanforderungen für rund 30.000 deutsche Unternehmen – ohne Übergangsfrist. Aktuelle Studien zeigen jedoch: Viele Organisationen sind auf die neuen Pflichten nicht vorbereitet.
Bundestag und Bundesrat haben entschieden
Am 13. November 2025 verabschiedete der Deutsche Bundestag das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Eine Woche später, am 21. November 2025, folgte die Zustimmung des Bundesrates. Nach Verkündung im Bundesgesetzblatt tritt das Gesetz voraussichtlich Ende 2025 oder Anfang 2026 in Kraft.
Damit setzt Deutschland die europäische NIS-2-Richtlinie in nationales Recht um – mit über einem Jahr Verspätung. Die EU hatte den Mitgliedstaaten ursprünglich eine Frist bis zum 17. Oktober 2024 gesetzt. Da Deutschland und 23 weitere Länder diese nicht einhalten konnten, leitete die EU-Kommission Vertragsverletzungsverfahren ein.
Welche Unternehmen sind betroffen?
Das neue Gesetz erweitert den Kreis der regulierten Unternehmen massiv. Waren bisher rund 4.500 Betreiber kritischer Infrastrukturen (KRITIS) erfasst, fallen nun etwa 29.500 Unternehmen unter die verschärften Anforderungen. Betroffen sind Organisationen aus 18 Wirtschaftssektoren, darunter Energie, Gesundheit, Transport, digitale Infrastruktur, Lebensmittelverarbeitung und verarbeitendes Gewerbe.
Die Einstufung erfolgt nach Unternehmensgröße und Sektor. Mittlere Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz sowie große Unternehmen ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz in den relevanten Sektoren müssen die neuen Vorgaben erfüllen.
Die wichtigsten Pflichten im Überblick
Mit dem NIS-2-Umsetzungsgesetz kommen umfangreiche Anforderungen auf betroffene Unternehmen zu. Sie müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren, ein systematisches Risikomanagement etablieren und Sicherheitsvorfälle innerhalb festgelegter Fristen melden.
Besonders relevant: Die Geschäftsleitung haftet persönlich für die Umsetzung und Überwachung der Maßnahmen. Schulungen zur Cybersicherheit werden für Führungskräfte verpflichtend. Bei Verstößen drohen Bußgelder, die sich am Jahresumsatz orientieren können.
Studien offenbaren erhebliche Lücken
Wie gut sind deutsche Unternehmen auf die neuen Anforderungen vorbereitet? Aktuelle Erhebungen zeichnen ein ernüchterndes Bild.
Die Datenrettungsspezialisten von DATA REVERSE haben auf der IT-Sicherheitsmesse IT-SA 2025 insgesamt 245 IT-Verantwortliche befragt. Die Studie zum NIS-2-Reifegrad zeigt gravierende Defizite: 53 Prozent der Befragten haben ihre NIS-2-Betroffenheit noch nie geprüft. Gleichzeitig halten sich 71 Prozent für vorbereitet – obwohl nur ein Drittel die eigenen Recovery-Prozesse regelmäßig testet. Besonders alarmierend: Lediglich 4 Prozent haben einen externen Datenrettungspartner in ihrer Notfallplanung hinterlegt.
Ähnliche Ergebnisse liefert die repräsentative Studie „Cybersicherheit in Zahlen“ von G DATA CyberDefense, Statista und brand eins. Von über 5.000 Befragten gaben zwar 63 Prozent an, mit der NIS-2-Umsetzung begonnen zu haben. Doch erst 12 Prozent haben die Anforderungen vollständig implementiert. Jedes vierte Unternehmen steht noch ganz am Anfang oder hat überhaupt nicht gestartet.
Erste Schritte für Unternehmen
Unternehmen sollten zunächst prüfen, ob sie unter die NIS-2-Regulierung fallen. Das BSI stellt dafür eine kostenlose Betroffenheitsprüfung zur Verfügung. Der Online-Fragebogen liefert in wenigen Minuten eine erste Einschätzung – anonym und unverbindlich.
Ist die Betroffenheit geklärt, sollten Unternehmen ihre bestehenden Sicherheitsmaßnahmen systematisch überprüfen. Zentrale Handlungsfelder sind die Erstellung von IT-Notfallplänen, das regelmäßige Testen von Backup- und Wiederherstellungsprozessen sowie die Schulung von Mitarbeitern und Führungskräften. Auch die Einbindung externer Partner für den Ernstfall gehört zu einer belastbaren Sicherheitsarchitektur.
Fazit: Handeln statt abwarten
Das NIS-2-Umsetzungsgesetz markiert einen Wendepunkt für die Cybersicherheit in Deutschland. Die Anforderungen sind umfangreich, die Fristen knapp. Die aktuellen Studien zeigen, dass viele Unternehmen ihren Umsetzungsstand überschätzen. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern im Ernstfall auch die eigene Geschäftskontinuität.
Wichtige Fragen & Antworten zur NIS-2 Umsetzung in Deutschland
Die NIS-2-Richtlinie (Network and Information Security Directive 2) ist eine EU-weite Regelung zur Stärkung der Cybersicherheit. Sie legt verbindliche Mindeststandards für IT-Sicherheit, Risikomanagement und Meldepflichten bei Sicherheitsvorfällen fest. In Deutschland wird sie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz in nationales Recht überführt.
Betroffen sind mittlere und große Unternehmen aus 18 definierten Wirtschaftssektoren, darunter Energie, Gesundheit, Transport, digitale Infrastruktur, Lebensmittel und verarbeitendes Gewerbe. Mittlere Unternehmen ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz sowie große Unternehmen ab 250 Mitarbeitern oder 50 Millionen Euro Umsatz in diesen Sektoren fallen unter die Regulierung. Insgesamt sind etwa 29.500 deutsche Unternehmen betroffen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine kostenlose Online-Betroffenheitsprüfung zur Verfügung. Unter betroffenheitspruefung-nis-2.bsi.de können Unternehmen anonym in wenigen Minuten eine erste Einschätzung erhalten. Das Ergebnis ist rechtlich nicht bindend, bietet aber eine gute Orientierung.
Der Bundestag hat das Gesetz am 13. November 2025 verabschiedet, der Bundesrat stimmte am 21. November 2025 zu. Nach Verkündung im Bundesgesetzblatt tritt das Gesetz voraussichtlich Ende 2025 oder Anfang 2026 in Kraft – ohne Übergangsfrist. Betroffene Unternehmen müssen die Anforderungen dann unmittelbar erfüllen.
Betroffene Unternehmen müssen sich beim BSI registrieren, ein systematisches Risikomanagement etablieren, technische und organisatorische Sicherheitsmaßnahmen umsetzen und Sicherheitsvorfälle innerhalb festgelegter Fristen melden. Zudem sind regelmäßige Schulungen für die Geschäftsleitung verpflichtend. Die Führungsebene haftet persönlich für die Umsetzung der Maßnahmen.
Bei Verstößen gegen die NIS-2-Anforderungen drohen empfindliche Bußgelder, die sich am Jahresumsatz des Unternehmens orientieren können. Für besonders wichtige Einrichtungen können Strafen bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden. Hinzu kommt die persönliche Haftung der Geschäftsleitung.
Ein IT-Notfallplan dokumentiert alle Maßnahmen und Prozesse, die im Falle eines IT-Sicherheitsvorfalls oder Systemausfalls greifen sollen. Er definiert Verantwortlichkeiten, Eskalationsstufen und Wiederherstellungsprozesse. Unter NIS-2 sind nachweisbare Business-Continuity- und Disaster-Recovery-Konzepte verpflichtend. Studien zeigen jedoch, dass nur etwa 30 Prozent der Unternehmen über einen vollständigen IT-Notfallplan verfügen.
Experten empfehlen mindestens quartalsweise Tests der Wiederherstellungsprozesse. Nur durch regelmäßige Tests lässt sich sicherstellen, dass Backups im Ernstfall tatsächlich funktionieren und die definierten Wiederherstellungszeiten (RTO) und -punkte (RPO) eingehalten werden können. Laut aktuellen Studien testen jedoch 45 Prozent der Unternehmen ihre Recovery-Prozesse nur alle ein bis zwei Jahre oder gar nicht.
Das BSI bietet umfangreiche Informationen unter bsi.bund.de. Dort finden Unternehmen neben der Betroffenheitsprüfung auch FAQ, Handlungsempfehlungen und eine Roadmap zur schrittweisen Umsetzung. Zusätzlich stellt die DATA REVERSE Datenrettung eine kostenlose Studie zum NIS-2-Reifegrad mit detaillierten Erkenntnissen zur Verfügung.
