Mit der fortschreitenden Digitalisierung wächst die Abhängigkeit von sicheren Informationssystemen. Die europäische NIS2-Richtlinie schafft einheitliche Mindeststandards für Cybersicherheit und wird in Deutschland durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in nationales Recht überführt. Durch den deutlich erweiterten Anwendungsbereich gewinnt die Richtlinie für zahlreiche Unternehmen erheblich an Bedeutung.
Wer ist vom NIS2-Umsetzungsgesetz betroffen?
Die NIS2-Richtlinie weitet den bisherigen Anwendungsbereich deutlich aus und erfasst künftig auch Unternehmen, die aufgrund ihrer Bedeutung für Gesellschaft, Wirtschaft oder einzelne Sektoren als systemrelevant gelten. Unterschieden wird zwischen „besonders wichtigen“ und „wichtigen Einrichtungen“. Zudem können künftig bereits mittlere Unternehmen mit mehr als 50 Beschäftigten in den Anwendungsbereich fallen. Nach Schätzungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden dadurch rund 29.000 Unternehmen neuen Pflichten unterliegen.
Welcher Handlungsbedarf besteht jetzt?
Zu den zentralen Pflichten zählen die Registrierung bei der zuständigen Behörde, Meldepflichten sowie die Einführung eines umfassenden Risikomanagements. Dieses umfasst unter anderem Krisenmanagement, Lieferkettensicherheit, Schutzanforderungen bei IT-Beschaffung und -Wartung, Mitarbeiterschulungen, Personalsicherheit und sichere Kommunikationswege. Unternehmen sollten zeitnah prüfen, ob sie betroffen sind und eine Risikoanalyse durchführen sowie einen konkreten Umsetzungsplan erstellen müssen. Regelmäßige Audits helfen, die langfristige Einhaltung der NIS2-Vorgaben sicherzustellen.
Aktueller Stand
Der Bundestag hat am 13. November 2025 den Gesetzentwurf angenommen. Das Inkrafttreten wird für Ende 2025 erwartet.
Ihre Ansprechpartner bei Arqum: Florian Götz