– Bundestag verabschiedet NIS2-Umsetzungsgesetz mit Änderungen für mehr Cybersicherheit
– Bürokratieabbau bei kritischen Komponenten und Nebenzweck-Energieerzeugern
– Verbesserter Schutz kritischer Infrastrukturen durch weniger Überregulierung
Bundestag beschließt Bürokratieabbau für kritische Infrastrukturen
Am 13. November 2025 hat der Bundestag mit dem NIS2-Umsetzungsgesetz wichtige Weichen für den Schutz kritischer Infrastrukturen gestellt. Die Abgeordneten verabschiedeten Änderungen, die aus Sicht des Verbands kommunaler Unternehmen (VKU) nicht nur die Cybersicherheit stärken, sondern auch überflüssige Bürokratie abbauen.
VKU-Chef Ingbert Liebing begrüßt die Entscheidung ausdrücklich: "Der Bundestag konzentriert sich auf das, was wirklich zählt: Sicherheit in den relevanten Bereichen der kritischen Infrastrukturen. Auf den letzten Metern des Gesetzgebungsverfahren haben die Abgeordneten zu viel Bürokratie und Überregulierungen gekonnt den Riegel vorgeschoben. Das ist absolut richtig, weil bei Überregulierung das eigentliche Ziel von mehr Sicherheit verfehlt worden wäre. Insbesondere mit der klugen Regel zu kritischen Komponenten haben die Abgeordneten ein Bürokratie-Monster verhindert."
Entlastung für Nebenenergiebetriebe
Ein zentraler Punkt betrifft Unternehmen, die nur im Nebenzweck Energie erzeugen. Bisher waren auch thermische Abfallbehandlungsanlagen, Biovergärungsanlagen oder Klärwerke mit kleinen PV-Anlagen von strengen Sicherheitsstandards betroffen. Künftig werden diese Betriebe nur noch nach dem BSI-Gesetz und nicht zusätzlich nach dem Energiewirtschaftsgesetz reguliert. Sie müssen ihre Meldungen damit ausschließlich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) richten und nicht zusätzlich an die Bundesnetzagentur.
Vereinfachung bei kritischen Komponenten
Weitere Erleichterungen gibt es beim Einsatz sogenannter kritischer Komponenten. Statt wie bisher jeden Einsatz einzeln anzuzeigen und auf eine Freigabe des Innenministeriums zu warten, dürfen Stadtwerke diese Komponenten zukünftig ohne vorherige Genehmigung verwenden. Das Innenministerium behält sich zwar vor, den Einsatz im Nachhinein zu untersagen, doch das neue Verfahren vermeidet Verzögerungen beim Ausbau von Energie- und Telekommunikationsinfrastrukturen.
Der Verband kommunaler Unternehmen vertritt über 1.600 Stadtwerke und kommunalwirtschaftliche Unternehmen. Mit rund 309.000 Beschäftigten wurden 2022 Umsatzerlöse von 194 Milliarden Euro erwirtschaftet und mehr als 17 Milliarden Euro investiert (Stand: 2022). Die Marktanteile der VKU-Mitgliedsunternehmen im Endkundensegment zeigen ihre zentrale Rolle: Strom 66 Prozent, Gas 65 Prozent, Wärme 91 Prozent, Trinkwasser 88 Prozent, Abwasser 40 Prozent (Stand: Zahlen Daten Fakten 2024).*
Einordnung: Wo Deutschland bei NIS2 steht
Deutschlands Weg zur Umsetzung der europäischen NIS2-Richtlinie zeigt eine komplexe Chronologie mit mehreren entscheidenden Meilensteinen. Die ursprüngliche EU-Frist zur nationalen Umsetzung war bereits am 17. Oktober 2024 verstrichen*, womit Deutschland wie einige andere Mitgliedstaaten in Verzug geriet. Bis März 2025 hatten lediglich 13 von 27 EU-Ländern die Richtlinie vollständig in nationales Recht überführt*.
Umsetzungsschritte: EU-Frist bis zur Bundestagsverabschiedung
Der deutsche Gesetzgebungsprozess gewann im Juli 2025 an Fahrt, als der Regierungsentwurf für das NIS2-Umsetzungsgesetz am 25. Juli 2025 das Kabinett passierte*. Diese politische Weichenstellung markierte den Startpunkt für die parlamentarische Beratung, die schließlich zur Verabschiedung im November 2025 führte.
Wie viele Unternehmen sind betroffen? (Divergierende Schätzungen)
Die Reichweite der neuen Cybersicherheitsvorschriften wird in verschiedenen Schätzungen deutlich. Im Sommer 2025 ging eine Analyse von rund 29.500 Unternehmen aus 18 Sektoren aus, die unter die erweiterten Regelungen fallen würden*. Eine andere Quelle beziffert die Betroffenheit sogar auf über 30.000 Unternehmen. Die unterschiedlichen Zahlen lassen sich durch variierende Schätzmethoden und Definitionen des betroffenen Kreises erklären.
| Datum/Stand | Aussage | Quelle |
|---|---|---|
| 17. Oktober 2024 | EU-Umsetzungsfrist für NIS2-Richtlinie verstrichen | activemind.de* |
| März 2025 | 13 von 27 EU-Ländern haben NIS2 vollständig umgesetzt | noerr.com* |
| 25. Juli 2025 | Regierungsentwurf im Kabinett beschlossen | activemind.de* |
| Sommer 2025 | Rund 29.500 Unternehmen aus 18 Sektoren betroffen | proliance.ai* |
| 2025 | Über 30.000 Unternehmen von erweiterter KRITIS-Regulierung betroffen | openkritis.de* |
Die zeitliche Abfolge zeigt deutlich: Während Deutschland die europäische Umsetzungsfrist verpasste, schloss das Land im Laufe des Jahres 2025 entscheidende gesetzgeberische Schritte ab, die tausende Unternehmen in die erweiterte Cybersicherheitsregulierung einbeziehen.
Auswirkungen für Unternehmen und Infrastruktur
Die Umsetzung der NIS2-Richtlinie stellt Betreiber kritischer Infrastrukturen vor grundlegende Veränderungen. Ab 2025 erweitert das NIS2-Umsetzungsgesetz die deutsche KRITIS-Regulierung und erstreckt sich auf über 30.000 Unternehmen (Stand: 2025, Quelle: OpenKRITIS)*. Diese Ausweitung betrifft nicht nur Großkonzerne, sondern auch mittelständische Betriebe, die für die öffentliche Versorgung unverzichtbar sind.
Warum diese Entwicklung auch Bürgerinnen und Bürger betrifft, liegt auf der Hand: Die betroffenen Unternehmen versorgen Haushalte mit Strom, Wasser und Kommunikationstechnik. Verbesserte Cybersicherheit in diesen Betrieben bedeutet direkt mehr Stabilität in der täglichen Versorgung. Gleichzeitig könnten Investitionsentscheidungen der Unternehmen sich auf Preise und Servicequalität auswirken.
Breitere Pflichten, mehr Meldepflichten: Erwartungen
Der Digitalverband Bitkom erwartet durch die Gesetzesverabschiedung verstärkte Cybersicherheit und mögliche Auswirkungen auf Investitionsentscheidungen (Stand: 13. November 2025). Konkret bedeutet dies für betroffene Unternehmen:
- Erweiterte Sicherheitsanforderungen: Technische und organisatorische Maßnahmen müssen dokumentiert und regelmäßig überprüft werden
- Verschärfte Meldepflichten: Incident-Meldungen bei Cybervorfällen innerhalb enger Fristen
- Haftungsrisiken: Verstöße gegen die neuen Pflichten können zu empfindlichen Geldbußen führen
Diese regulatorischen Veränderungen treffen Unternehmen in einer Phase, in der viele bereits mit den Herausforderungen der digitalen Transformation kämpfen. Die zusätzlichen Compliance-Anforderungen binden personelle und finanzielle Ressourcen, die an anderer Stelle fehlen könnten.
Investitions- und Digitalisierungsfragen
Die neuen Sicherheitsvorgaben werfen grundsätzliche Fragen zur künftigen Investitionsplanung auf. Unternehmen stehen vor der Entscheidung, ob sie notwendige Cybersecurity-Maßnahmen als Kostenfaktor oder als strategische Investition betrachten. Die Bitkom-Einschätzung deutet darauf hin, dass die regulatorischen Anforderungen die Priorisierung von IT-Sicherheitsbudgets beeinflussen werden.
Besonders betroffen sind Branchen mit langen Investitionszyklen, etwa Energieversorger oder Wasserversorger. Deren Infrastrukturprojekte laufen über Jahrzehnte – die jetzt getroffenen Sicherheitsentscheidungen wirken entsprechend lange nach. Gleichzeitig bietet die gesetzliche Verpflichtung zur Modernisierung auch Chancen: Systematisch umgesetzte Cybersecurity-Standards können langfristig Betriebskosten senken und die Widerstandsfähigkeit gegenüber Cyberbedrohungen stärken.
Die praktische Umsetzung der NIS2-Anforderungen wird zeigen, wie sich das Gleichgewicht zwischen regulatorischem Aufwand und tatsächlichem Sicherheitsgewinn entwickelt. Für die betroffenen Unternehmen beginnt jetzt eine Phase der Anpassung, die ihre operative Praxis nachhaltig verändern wird.
Ausblick: Was jetzt kommt
Mit der Bundestagsverabschiedung am 13. November 2025 tritt das NIS2-Umsetzungsgesetz in seine entscheidende Phase. Der parlamentarische Beschluss markiert den vorläufigen Höhepunkt eines mehrstufigen Gesetzgebungsprozesses: Nachdem die EU-Umsetzungsfrist bereits am 17. Oktober 2024 abgelaufen war, folgte der Kabinettsbeschluss des Regierungsentwurfs am 25. Juli 2025. Jetzt richten sich die Blicke auf die praktische Umsetzung.
Unmittelbar nach dem Beschluss müssen Unternehmen ihre Compliance-Strukturen an die neuen Vorgaben anpassen. Besonders relevant wird die Auslegung der Regelungen durch die zuständigen Behörden – hier bleibt abzuwarten, wie Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundesnetzagentur die vereinfachten Meldeverfahren konkret handhaben. Die erleichterten Regelungen für kritische Komponenten ermöglichen zwar schnellere Investitionsentscheidungen, doch die nachträgliche Interventionsmöglichkeit des Innenministeriums schafft weiterhin Rechtsunsicherheit.
Der Digitalverband Bitkom bewertet die Gesetzeswirkung auf Cybersicherheit und Investitionen positiv: „Mit der Umsetzung der NIS2-Richtlinie wird die Cybersicherheit in Deutschland einen deutlichen Sprung nach vorne machen“, heißt es in einer Einschätzung vom 13. November 2025. Gleichzeitig warnt der Verband vor bürokratischen Hürden, die Investitionen behindern könnten.
Für die kommenden Monate sind drei Beobachtungspunkte besonders relevant: die praktische Handhabung der vereinfachten Meldepflichten, die Auswirkungen auf Investitionen in kritische Infrastrukturen und mögliche Anpassungen durch nachgelagerte Rechtsverordnungen. Die eigentliche Bewährungsprobe des Gesetzes beginnt erst mit seiner Anwendung in der Praxis.
Die Angaben und Zitate in diesem Beitrag stammen aus einer Pressemitteilung des Verbands kommunaler Unternehmen (VKU).
Weiterführende Quellen:
- „Laut einer europaweiten Übersicht im März 2025 hatten bis dahin Griechenland, Lettland, Rumänien, Slowakei und Ungarn die NIS-2-Richtlinie weitgehend umgesetzt, während Deutschlands Umsetzung verzögert und erst für Herbst/Winter 2025 erwartet wurde.“ – Quelle: https://www.noerr.com/de/insights/nis-2-update-fuer-europa-maerz-2025
- „Der Regierungsentwurf zum NIS2-Umsetzungsgesetz wurde am 25. Juli 2025 im Bundeskabinett beschlossen, die Frist der EU zur nationalen Umsetzung war bereits am 17. Oktober 2024 verstrichen, eine endgültige Verabschiedung stand im November 2025 noch aus.“ – Quelle: https://www.activemind.de/magazin/nis2umsucg/
- „Das NIS2-Umsetzungsgesetz erweitert ab 2025 die deutsche KRITIS-Regulierung und erstreckt sich auf über 30.000 Unternehmen. Die Security-Pflichten und Meldepflichten steigen deutlich, erfasst werden Betreiber kritischer Anlagen und große Teile der Wirtschaft.“ – Quelle: https://www.openkritis.de/it-sicherheitsgesetz/nis2-umsetzung-gesetz-cybersicherheit.html
- „Mit der heutigen Verabschiedung des Gesetzes zur Umsetzung der EU-Richtlinie NIS-2 am 13. November 2025 durch den Bundestag rechnet Bitkom mit gestärkter Cybersicherheit und erhöhter Rechtssicherheit. Die Regelungen zu kritischen Komponenten könnten Investitionsentscheidungen beeinflussen und Digitalisierungseffekte haben.“ – Quelle: https://www.bitkom.org/Presse/Presseinformation/Cybersicherheit-Bundestag-NIS2
- „Im Sommer 2025 wurde die Umsetzung der NIS2-Richtlinie in deutsches Recht auf den Weg gebracht, betroffen sind laut Schätzungen rund 29.500 Unternehmen aus 18 Sektoren.“ – Quelle: https://www.proliance.ai/blog/nis2-wer-ist-betroffen
8 Antworten
Die Einbeziehung von über 30.000 Unternehmen zeigt, wie groß das Problem ist! Wie können wir sicherstellen, dass auch kleinere Firmen nicht unter den neuen Anforderungen leiden? Das wäre ein interessantes Thema für einen weiteren Artikel!
Es ist ermutigend zu sehen, dass Deutschland endlich Schritte unternimmt! Was sind eure Gedanken zur Rolle der Stadtwerke in diesem Prozess? Könnten sie auch innovativere Ansätze zur Cybersicherheit entwickeln?
Ich bin skeptisch, ob der Bürokratieabbau wirklich zu mehr Sicherheit führt. Gibt es Studien oder Berichte über ähnliche Umsetzungen in anderen Ländern? Ich würde gerne mehr darüber erfahren.
Ja, andere Länder haben unterschiedliche Ansätze gehabt. Ich habe gehört, dass in einigen Fällen der Bürokratieabbau sogar zu Problemen geführt hat.
Ich finde die Reduzierung der Bürokratie sehr positiv! Es ist wichtig, dass Unternehmen nicht durch unnötige Vorschriften belastet werden. Wie kann man sicherstellen, dass die Sicherheitsstandards trotzdem hoch bleiben?
Die Frage nach den Sicherheitsstandards ist entscheidend! Ich hoffe, dass das BSI eine klare Anleitung gibt, wie die neuen Regelungen praktisch umgesetzt werden können.
Das BSI muss definitiv eine Schlüsselrolle spielen. Vielleicht könnten regelmäßige Schulungen für Unternehmen helfen, die Anforderungen besser zu verstehen?
Die Entscheidung des Bundestages zur NIS2-Umsetzung ist ein wichtiger Schritt. Aber wie wird sichergestellt, dass die neuen Regelungen auch tatsächlich effektiv umgesetzt werden? Gibt es bereits konkrete Beispiele für Verbesserungen?