– Das NIS-2-Umsetzungsgesetz stärkt die digitale Resilienz und Sicherheit in Deutschland.
– Ein flexibles Prüfverfahren ersetzt bürokratische Anzeigen für kritische IT-Komponenten.
– Risikobehaftete Hersteller können gezielt ausgeschlossen werden ohne Verzögerung der Energiewende.
NIS-2-Gesetz stärkt Cybersicherheit ohne Bürokratie
Am 13. Nov. 2025 hat der Deutsche Bundestag in zweiter und dritter Lesung über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz beraten.*
Kerstin Andreae, Vorsitzende der BDEW-Hauptgeschäftsführung, betont die Bedeutung der neuen Regelungen für Betreiber kritischer Infrastrukturen.*
„Mit dem NIS-2-Umsetzungsgesetz stärkt Deutschland seine digitale Resilienz in geopolitisch herausfordernden Zeiten.“
„Statt eines aufwendigen Anzeigeverfahrens, das für Betreiber kritischer Infrastrukturen erhebliche Bürokratie und Verzögerungen bedeutete, sieht die Regelung jetzt ein flexibles, risikoorientiertes Prüf- und Untersagungsverfahren vor.“
„Das Bundesinnenministerium kann künftig eigenständig und auf Basis sicherheitspolitischer Erkenntnisse entscheiden, ob der Einsatz bestimmter Herstellerkomponenten die öffentliche Sicherheit beeinträchtigt.“
„Die im Gesetz vorgesehene Möglichkeit, durch Rechtsverordnungen gezielt kritische Komponenten zu bestimmen, sollte unter Einbindung der betroffenen Branchen erfolgen.“
„Das NIS2-Umsetzungsgesetz stärkt das Vertrauen in die IT-Sicherheitsarchitektur Deutschlands. Sie vermeidet unnötige Bürokratie und erlaubt es, sicherheitspolitisch riskante Hersteller gezielt auszuschließen – ohne die Energiewende und den Netzausbau zu verzögern. Zugleich werden durch die Verankerung der digitalen Energiedienste im Energiewirtschaftsgesetz in Zukunft auch KRITIS-Dienstleister in die Pflicht genommen und den KRITIS-Betreibern gleichgestellt. In diesem Zusammenhang ist festzuhalten, dass damit wesentliche energiewirtschaftliche Anlagentypen wie Aggregatoren, die bisher im BSIG geregelt waren, in Zukunft analog zu den Energienetzen und Energieanlagen unter das Energiewirtschaftsgesetz fallen und unter die Aufsicht der Bundesnetzagentur fallen.“
Praktische Auswirkungen des NIS-2-Gesetzes
Das NIS-2-Umsetzungsgesetz markiert einen grundlegenden Wandel im deutschen Cybersicherheitsrecht. Während bisher nur wenige hundert Unternehmen als Betreiber kritischer Infrastrukturen (KRITIS) galten, erweitert sich der Kreis der verpflichteten Organisationen dramatisch. Die neuen Vorgaben treffen künftig zehntausende Unternehmen in Deutschland, die als sicherheitsrelevant eingestuft werden und umfassende Cybersicherheitsmaßnahmen implementieren müssen.
Betroffene Unternehmen: Größenordnung
Die Reichweite des Gesetzes lässt sich an zwei aktuellen Schätzungen ablesen: Laut OpenKRITIS gelten mehr als 30.000 Unternehmen in Deutschland künftig als sicherheitsrelevant und müssen Cybersicherheitsmaßnahmen umsetzen (Stand: Juli 2025). Eine ähnliche, aber präzisere Zahl liefert Taylor Wessing: Statt weniger hundert KRITIS-Betreiber werden künftig 29.000 Unternehmen zu systematischen Cybersicherheitsmaßnahmen verpflichtet (Stand: Juli 2025). Beide Zahlen verdeutlichen die massive Ausweitung des regulatorischen Rahmens – von einer kleinen Gruppe besonders kritischer Unternehmen hin zu einem breiten Spektrum organisationsübergreifender Sicherheitsverpflichtungen.
Zu den betroffenen Sektoren zählen unter anderem:
- Energieversorger und Netzbetreiber
- Gesundheitsdienstleister und Krankenhäuser
- Finanzdienstleister und Versicherungen
- Digitale Infrastrukturanbieter
- Transport- und Logistikunternehmen
- Lebensmittelproduktion und -verteilung
Umsetzungsfristen und Nachweispflichten
Die zeitliche Dimension der Umsetzung stellt viele Unternehmen vor erhebliche organisatorische Herausforderungen. Die neuen gesetzlichen Pflichten müssen voraussichtlich Anfang bis Mitte 2026 umgesetzt sein, wobei viele Organisationen mehrere Monate oder Jahre benötigen (Stand: Juli 2025)*. Diese vergleichsweise kurze Frist erfordert zügiges Handeln, insbesondere für Unternehmen, die bisher nicht unter die KRITIS-Regelungen fielen.
Die Nachweispflichten sehen eine regelmäßige Dokumentation vor: Betreiber kritischer Anlagen müssen die Umsetzung der Maßnahmen nach §30 (1), §31 (1),(2) alle drei Jahre dem BSI nachweisen; das BSI kann risikoorientierte Prüfungen und Audits anordnen (§61, §62 BSIG-E) (Stand: November 2025)*. Diese kontinuierliche Nachweispflicht etabliert einen dauerhaften Compliance-Prozess, der über die einmalige Umsetzung hinausgeht.
| Jahr/Angabe | Wert | Einheit | Quelle/Stand |
|---|---|---|---|
| Betroffene Unternehmen (Schätzung 1) | 29.000 | Unternehmen | Taylor Wessing, Juli 2025* |
| Betroffene Unternehmen (Schätzung 2) | mehr als 30.000 | Unternehmen | OpenKRITIS, Juli 2025* |
| Umsetzungsfrist | Anfang bis Mitte 2026 | Zeitraum | NIS2-Navigator, Juli 2025* |
| Nachweiszyklus | 3 | Jahre | OpenKRITIS, November 2025* |
Die unterschiedlichen Reichweitenschätzungen zeigen, dass die genaue Anzahl betroffener Unternehmen noch im Fluss ist. Beide Quellen stimmen jedoch im Kern überein: Die Zahl der cybersicherheitspflichtigen Unternehmen vervielfacht sich gegenüber dem bisherigen Rechtszustand. Für die betroffenen Organisationen bedeutet dies erheblichen Anpassungsbedarf in Technik, Organisation und Personal – innerhalb eines straffen Zeitplans.
Weniger Bürokratie, mehr Effizienz: Das neue Prüfverfahren im Detail
Die Reform des IT-Sicherheitsrechts bringt für Unternehmen kritischer Infrastrukturen Veränderungen beim Prüfverfahren. Der Wechsel vom bisherigen Anzeigeverfahren zum risikoorientierten Prüfverfahren zeigt Einsparungen bei Zeitaufwand, Personalkapazitäten und Kosten*.
Die Zahlen sprechen eine klare Sprache (Stand: 2025):
- Bearbeitungsdauer: Reduzierung von 45 Tagen auf 18 Tage*
- Personenstunden: Rückgang von 20 auf 8 Stunden*
- Kosten: Senkung von 6.000 Euro auf 2.700 Euro*
Diese Einsparungen resultieren aus dem flexiblen, risikoorientierten Ansatz des neuen Verfahrens. Während das alte Anzeigeverfahren für Betreiber kritischer Infrastrukturen erhebliche Bürokratie und Verzögerungen bedeutete, ermöglicht die Neuregelung schnellere Entscheidungsprozesse ohne Sicherheitseinbußen.
Parallel zur Entlastung der Unternehmen stärkt das Gesetz die Aufsichtsbefugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das BSI erhält im Rahmen von §§ 61, 62 BSIG-E deutlich ausgeweitete Prüfungs-, Anordnungs- und Sanktionsmöglichkeiten gegenüber insbesondere kritischen Einrichtungen und Dienstleistern (Stand: 30. Juli 2025). Diese erweiterten Befugnisse schaffen die Grundlage für zielgenauere Kontrollen, die sich auf tatsächliche Risikofaktoren konzentrieren.
Die Kombination aus vereinfachten Verfahren für Unternehmen und verschärften Kontrollmöglichkeiten für die Aufsichtsbehörden bildet den Kern der Reform: mehr Effizienz bei gleichzeitig höherer Sicherheit.
Kritik und offene Fragen
Während das NIS-2-Umsetzungsgesetz von politischer Seite als ausgewogene Lösung gelobt wird, melden Experten grundlegende Bedenken an. Die Kritik konzentriert sich vor allem auf ungeklärte Zuständigkeiten und potenzielle Interessenkonflikte bei den neuen Sicherheitsverfahren.
Unklare Zuständigkeiten
Fachleute bemängeln die unklaren Verantwortlichkeiten im Entwurf zum NIS2-Umsetzungsgesetz, insbesondere bei den Prüf- und Untersagungsverfahren für IT-Komponenten. Diese Kritik gewinnt an Gewicht, da das Bundesamt für Sicherheit in der Informationstechnik (BSI) durch die Neuregelung deutlich erweiterte Befugnisse erhält. Das BSI verfügt im Rahmen von §§ 61, 62 BSIG-E über ausgeweitete Prüfungs-, Anordnungs- und Sanktionsmöglichkeiten*.
Die zentralen Kritikpunkte umfassen:
- Fehlende klare Abgrenzung zwischen verschiedenen Aufsichtsbehörden
- Ungewissheit über Eskalationswege bei Entscheidungskonflikten
- Potenzielle Überschneidungen mit bestehenden Regulierungsstrukturen
Sicherheits- vs. Investitionsinteressen
Besonders problematisch sehen Experten die mögliche Kollision zwischen Sicherheitserwägungen und wirtschaftlichen Interessen. Die neuen Regelungen ermöglichen zwar ein flexibles, risikoorientiertes Prüfverfahren, doch genau diese Flexibilität birgt Risiken. Wenn sicherheitspolitische Erkenntnisse alleinige Grundlage für Untersagungen bilden, ohne transparente Prüfkriterien, könnten Investitionsentscheidungen erheblich beeinträchtigt werden.
Die Gefahr besteht darin, dass Sicherheitsbedenken ohne nachvollziehbare Begründung wirtschaftliche Aktivitäten blockieren könnten. Gleichzeitig könnte der Druck, Investitionsprojekte nicht zu verzögern, zu laxeren Sicherheitsstandards führen. Dieser potenzielle Interessenkonflikt zwischen nationaler Sicherheit und wirtschaftlicher Entwicklung bleibt im Gesetzestext unzureichend adressiert.
Die fehlende Präzision bei der Identifikation kritischer Komponenten verstärkt diese Bedenken zusätzlich. Obwohl die Einbindung betroffener Branchen versprochen wird, bleibt unklar, nach welchen konkreten Kriterien Komponenten als sicherheitskritisch eingestuft werden und wie Transparenz in diesem Prozess gewährleistet werden soll.
Ausblick: Was jetzt auf Betreiber zukommt
Die neuen Cybersicherheitsanforderungen stellen Betreiber kritischer Infrastrukturen vor konkrete organisatorische Herausforderungen. Die gesetzlichen Pflichten müssen voraussichtlich Anfang bis Mitte 2026 umgesetzt sein – wobei viele Organisationen mehrere Monate oder Jahre für die Implementierung benötigen (Stand: Juli 2025). Diese Zeitspanne mag lang erscheinen, doch die praktische Umsetzung erfordert systematische Vorbereitung.
Betreiber kritischer Anlagen müssen die Umsetzung der Maßnahmen nach §30 (1), §31 (1),(2) alle drei Jahre dem BSI nachweisen.* Das Bundesamt für Sicherheit in der Informationstechnik kann zudem risikoorientierte Prüfungen und Audits anordnen (§61, §62 BSIG-E, Stand: November 2025).* Diese Nachweispflichten machen frühzeitiges Handeln notwendig.
Praktisch empfiehlt sich ein dreistufiger Ansatz: Zunächst sollten Unternehmen eine vollständige Bestandsaufnahme ihrer IT-Systeme und kritischen Komponenten durchführen. Dabei geht es nicht nur um die reine Erfassung, sondern um die Identifikation besonders schutzbedürftiger Bereiche. Im zweiten Schritt folgt die Priorisierung – welche Systeme sind für den Betrieb unverzichtbar, welche weisen besondere Sicherheitslücken auf? Schließlich benötigen Organisationen einen verbindlichen Compliance-Plan mit klaren Verantwortlichkeiten, Zeitplänen und Meilensteinen.
Die im Gesetz verankerte Möglichkeit, durch Rechtsverordnungen gezielt kritische Komponenten zu bestimmen, unterstreicht die Dynamik des Themas. Unternehmen sollten ihre Beschaffungsprozesse entsprechend anpassen und Lieferanten frühzeitig auf Compliance prüfen.* Der Wechsel zu einem flexiblen, risikoorientierten Prüfverfahren statt eines aufwendigen Anzeigeverfahrens erleichtert zwar administrative Abläufe, verlangt aber zugleich mehr Eigenverantwortung bei der Sicherheitsbewertung.*
Die kommenden Monate bis zur Umsetzungsfrist bieten die Chance, Cybersicherheit nicht nur als rechtliche Pflicht, sondern als strategischen Wettbewerbsvorteil zu begreifen. Organisationen, die jetzt investieren, schaffen nicht nur rechtssichere Strukturen, sondern stärken ihre gesamte digitale Resilienz in einer zunehmend vernetzten Betriebsumgebung.
Die vorliegenden Informationen und Zitate stammen aus einer offiziellen Pressemitteilung des Bundesverbands der Energie- und Wasserwirtschaft e.V. (BDEW).
Weiterführende Quellen:
- „Das NIS2-Umsetzungsgesetz erweitert ab 2025 den Geltungsbereich deutlich: Über 30.000 Unternehmen in Deutschland gelten künftig als sicherheitsrelevant und müssen Cybersicherheitsmaßnahmen umsetzen (Stand: Juli 2025).“ – Quelle: https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html
- „Statt weniger hundert KRITIS-Betreiber werden künftig geschätzt 29.000 Unternehmen zu systematischen Cybersicherheitsmaßnahmen verpflichtet (Stand: 30. Juli 2025).“ – Quelle: https://www.taylorwessing.com/de/insights-and-events/insights/2025/07/the-nis-2-implementation-act
- „Das BSI erhält im Rahmen von §§ 61, 62 BSIG-E deutlich ausgeweitete Prüfungs-, Anordnungs- und Sanktionsmöglichkeiten gegenüber insbesondere kritischen Einrichtungen und Dienstleistern (Stand: 30. Juli 2025).“ – Quelle: https://www.taylorwessing.com/de/insights-and-events/insights/2025/07/the-nis-2-implementation-act
- „Betreiber kritischer Anlagen müssen die Umsetzung der Maßnahmen nach §30 (1), §31 (1),(2) alle drei Jahre dem BSI nachweisen; das BSI kann risikoorientierte Prüfungen und Audits anordnen (§61, §62 BSIG-E) (Stand: November 2025).“ – Quelle: https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html
- „Die neuen gesetzlichen Pflichten müssen voraussichtlich Anfang bis Mitte 2026 umgesetzt sein, wobei viele Organisationen mehrere Monate oder Jahre benötigen (Stand: Juli 2025).“ – Quelle: https://nis2-navigator.de/aktueller-stand-nis2/
- „Experten kritisieren unklare Zuständigkeiten und Verantwortlichkeiten im Entwurf zum NIS2-Umsetzungsgesetz, insbesondere bei den Prüf- und Untersagungsverfahren für IT-Komponenten (Stand: November 2025).“ – Quelle: https://www.security-insider.de/nis-2-umsetzung-expertenkritik-a-245704149efbd8e2d66d3da866e58c6e/
- „Sektorgesetze wie das Energiewirtschaftsgesetz (EnWG) werden zur Integration der NIS2-Pflichten angepasst; digitale Energiedienste und KRITIS-Dienstleister fallen zukünftig unter das Energiewirtschaftsgesetz und Aufsicht der Bundesnetzagentur (Stand: November 2025).“ – Quelle: https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html
- „Der Bürokratieaufwand beim früheren Anzeigeverfahren betrug 45 Tage Bearbeitungsdauer, 20 Personenstunden und Kosten von 6.000 EUR, während das neue risikoorientierte Prüfverfahren diese auf 18 Tage, 8 Personenstunden und 2.700 EUR senkt (Stand: 2025).“ – Quelle: https://www.taylorwessing.com/de/insights-and-events/insights/2025/07/the-nis-2-implementation-act
8 Antworten
„Digitale Resilienz“ klingt gut, aber was bedeutet das konkret für uns als Verbraucher? Ich hoffe, dass wir auch von diesen Maßnahmen profitieren können und unsere Daten besser geschützt werden.
„Resilienz“ ist wichtig! Aber ich frage mich auch, ob wir als Verbraucher transparent informiert werden über Sicherheitsstandards der Anbieter.
Das Gesetz hat sicher Potenzial, aber ich bin besorgt über mögliche Interessenkonflikte zwischen Sicherheit und Wirtschaftlichkeit. Wie kann man sicherstellen, dass Investitionsentscheidungen nicht unter Druck leiden?
Das ist ein guter Punkt! Vielleicht könnte eine unabhängige Stelle geschaffen werden, um diese Entscheidungen zu überprüfen? Das würde Vertrauen schaffen.
Ich denke, das neue Prüfverfahren ist ein Schritt in die richtige Richtung. Aber ich mache mir Sorgen über die unklaren Zuständigkeiten. Wer entscheidet letztlich über kritische Komponenten und wie transparent ist dieser Prozess wirklich?
Das NIS-2-Gesetz scheint eine wichtige Maßnahme zu sein, aber wie wird sichergestellt, dass alle betroffenen Unternehmen die neuen Anforderungen auch tatsächlich umsetzen können? Die Fristen erscheinen mir ziemlich eng, besonders für kleinere Firmen. Was denken andere darüber?
Ich finde auch, dass die Fristen sehr kurz sind! Gerade kleinere Unternehmen haben oft nicht die Ressourcen für umfangreiche Cybersicherheitsmaßnahmen. Gibt es da Unterstützungsangebote?
Genau! Und was ist mit den Schulungen für Mitarbeiter? Die müssen auch geschult werden, um sicherheitsrelevant zu handeln. Gibt es dafür Pläne?