Zum Hauptinhalt springen
Perspective:
Perspective
24 Feb. 2026
5 Minuten Lesezeit

Umsetzung der EU-Direktive NIS-2 in Deutschland (NIS2UmsuCG)

Die EU‑Richtlinie “Directive (EU) 2022/2555“ (NIS‑2‑Directive) bildet den aktuellen unionsweiten Rahmen für ein hohes gemeinsames Cybersicherheitsniveau. Sie ersetzt die ursprüngliche NIS1‑Richtlinie, erweitert den Geltungsbereich erheblich und verpflichtet alle EU‑Mitgliedstaaten zur Einführung strengerer Sicherheits‑, Melde‑ und Governance‑Vorgaben für Unternehmen und Organisationen.

Deutschland hat diese Anforderungen durch das „Gesetz zur Umsetzung der NIS‑2‑Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS2-Umsetzungsgesetz) verabschiedet. Dabei wurde kein eigenständiges NIS‑2‑Gesetz geschaffen, stattdessen erfolgte eine umfassende Revision des bestehenden BSI‑Gesetzes (BSIG), sowie Anpassungen weiterer sektor-spezifischer Regelwerke. Die nationale Umsetzung wurde nach Abschluss des parlamentarischen Verfahrens am 21. November 2025 vom Bundesrat bestätigt und trat mit Veröffentlichung im Bundesgesetzblatt am 6. Dezember 2025 ohne Übergangsfristen in Kraft.

Key Takeaways

  • Das NIS2‑Umsetzungsgesetz überarbeitet das BSI‑Gesetz (BSIG) zur Umsetzung der EU‑Richtlinie 2022/2555 und gilt seit dem 06.12.2025 ohne Übergangsfristen.
  • Der Geltungsbereich wächst auf nahezu 30.000 betroffene Organisationen und macht Cybersicherheit zur Kernaufgabe der Geschäftsführung – inklusive klarer Melde‑, Sicherheits‑ und Governance‑Pflichten.
  • Unternehmen müssen umfangreiche technische und organisatorische Maßnah-men sowie ein belastbares Informationssicherheitsmanagementsystem implementieren und unterliegen verschärften Aufsichtsbefugnissen.

Meilensteine der Gesetzgebung

April 2023: Erster Referentenentwurf 

Das Bundesinnenministerium veröffentlicht den ersten Entwurf zur Umsetzung der EU-NIS-2-Richtlinie. Dieser bildet die Grundlage für die nationale Gesetzgebung und definiert erste Anforderungen an Unternehmen im Bereich der Cybersicherheit.

Juli 2023: Überarbeiteter Entwurf mit sektorunabhängiger Einstufung „wichtiger Einrichtungen“

In der überarbeiteten Fassung wurde die Einstufung von Unternehmen nicht mehr ausschließlich sektorspezifisch vorgenommen. Stattdessen wurde eine neue Kategorie eingeführt: „wichtige Einrichtungen“, deren Relevanz sich aus Größe, Umsatz und Bedeutung für die Gesellschaft ergibt – unabhängig vom Sektor.

Dezember 2023 – bis Juni 2025: Verbändeanhörungen und weitere Entwürfe

In dieser Phase fanden umfangreiche Konsultationen mit Branchenverbänden, Unternehmen und Fachgremien statt. Die Rückmeldungen flossen in mehrere überarbeitete Entwürfe ein, die die Anforderungen weiter konkretisieren und auf Praxistauglichkeit prüfen.

Juli 2025: Kabinettsbeschluss

Die Bundesregierung verabschiedete den finalen Gesetzesentwurf im Kabinett. Damit wurde der Weg für die parlamentarische Beratung und die formale Gesetzgebung geebnet.

August 2025: Vorlage im Bundesrat

Der Gesetzesentwurf wurde dem Bundesrat zur Stellungnahme vorgelegt. Dies ist ein entscheidender Schritt im Gesetzgebungsverfahren, bevor ein Gesetz in Kraft treten kann.

November 2025: Verabschiedung durch den Bundestag

Der Bundestag beschloss das deutsche NIS2 Umsetzungsgesetz.

November 2025: Zustimmung des Bundesrats

Der Bundesrat stimmte dem Umsetzungsgesetz zu und schloss damit das Gesetzgebungsverfahren ab.

Dezember 2025: Inkrafttreten (ohne Übergangsfristen)

Mit Veröffentlichung im Bundesgesetzblatt trat die deutsche Umsetzung der NIS2 Richtlinie unmittelbar in Kraft. Das überarbeitete BSI Gesetz (BSIG) ist somit seit dem 6. Dezember 2025 verbindlich in Kraft.

Erweiterter Geltungsbereich: Mehr als 30.000 Unternehmen betroffen

Die NIS2 und die neuen Anforderungen an Betreiber kritischer Anlagen (KRITIS) betreffen deutlich mehr Unternehmen als bisher. Neuerdings werden auch sogenannte „besonders wichtige“ und „wichtige Einrichtungen“ reguliert. Die Einstufung erfolgt dabei nach Unternehmensgröße, Umsatz und Sektorenzugehörigkeit. Auch Organisationen ohne bestimmte Schwellenwerte können betroffen sein, etwa Anbieter digitaler Dienste, DNS-Dienste, Betreiber öffentlicher Telekommunikationsnetze und die öffentliche Verwaltung.

Neue Anforderungen und Pflichten

Die Anforderungen des NIS2-Umsetzungsgesetzes für die Bundesverwaltung und die Wirtschaft umfassen:

  • Einführung eines dreistufigen Melderegimes bei Sicherheitsvorfällen (24h Erstmeldung, 72h Zwischenmeldung, Abschlussbericht nach einem Monat)
  • Verpflichtende Registrierung beim BSI – auch bei Nichtmeldung kann eine zwangsweise Registrierung erfolgen
  • Erweiterte Aufsichtsbefugnisse des BSI, inklusive Stichprobenprüfungen und Nachweispflichten
  • Haftung der Geschäftsführung mit Privatvermögen bei Verstößen, die öffentliche Verwaltung ist hiervon ausgenommen
  • Bußgelder bis zu 10 Mio. EUR oder 2 Prozent des Gesamtumsatzes (Ausnahme: Bundesverwaltung)
  • Verpflichtende NIS2 Schulung für die Geschäftsführung (Für mehr Informationen zu dieser Schulung lesen Sie gerne unser Whitepaper „NIS2 Schulungspflicht für Geschäftsleitungen - Verantwortung, Umsetzung und Compliance im Lichte des BSIG-E“)

Auf Landesebene gibt es eine eigenständige Gesetzgebung für die Verwaltung, während Bildungseinrichtungen (z.B. Universitäten) und Kommunen bundesweit ausgeschlossen sind.

Technische und organisatorische Maßnahmen

Unternehmen müssen ein umfassendes Informationssicherheitsmanagementsystem (ISMS) etablieren oder bestehende Systeme erweitern. Die geforderten Maßnahmen umfassen:

  • Sicherheits- und Risikomaßnahmen
  • Vorfalls-, Notfall- und Krisenmanagement
  • Lieferketten- und Beschaffungsmanagement
  • Schulungen und Awareness
  • Verschlüsselung, Authentifizierung, Zugangskontrollen
  • Asset- und Schwachstellenmanagement
  • Sichere Kommunikation und Notfallkommunikation

Empfohlene strategische Umsetzung

Deloitte empfiehlt eine strukturierte Vorgehensweise in vier Phasen zur Erreichung der NIS2-Compliance. Unternehmen sollten frühzeitig mit der Umsetzung beginnen, da das Gesetz unmittelbar ohne Übergangsfristen in Kraft getreten ist.

Eine Zertifizierung des ISMS und BCM nach ISO/IEC 27001:2022 bzw. ISO 22301 oder BSI IT-Grundschutz kann als Nachweis der Compliance dienen.

 

NIS2 verstehen – im Live-Seminar mit Deloitte

Erfahren Sie aus erster Hand, was die NIS2 für Ihr Unternehmen bedeutet und wie Sie sich optimal vorbereiten. Unsere Expert:innen geben in einem Live-Seminar – wahlweise vor Ort oder remote – einen Überblick über den aktuellen Stand der Gesetzgebung und zeigen praxisnah, wie Deloitte Sie bei der Umsetzung unterstützen kann – von der Risikoanalyse bis zur Compliance-Zertifizierung.

Jetzt anmelden!

Über den deutschen Tellerrand hinausblicken?

Sie interessieren sich für die Umsetzung der NIS-2-Richtlinie auf europäischer Ebene oder sind in mehreren EU-Ländern tätig? Der Deloitte-Artikel “Navigating NIS-2 Compliance” bietet Ihnen einen fundierten Überblick über die EU-weiten Anforderungen, strategische Ansätze zur Compliance und länderspezifische Unterschiede – ideal für Unternehmen mit internationaler Ausrichtung.

Hier weiterlesen

Bei Fragen zu NIS2 kontaktieren Sie gerne unsere Expert:innen Fabian Mihailowitsch und Tamara Okropiridze.

Kontaktieren Sie uns

Fabian Mihailowitsch

Fabian Mihailowitsch

Partner | Lead Enterprise Security
+49 151 58072426
André Roosen

André Roosen

Partner | Cyber | Government & Public Services
+49 30 25468 327
Tamara Okropiridze

Tamara Okropiridze

Senior Manager | Cyber Strategy & Transformation
+49 69 756957215
Oliver Ständert

Oliver Ständert

Director | IoT Strategy & Architecture | IT/OT Advisory
+49 151 58071396
Uwe Strauß

Uwe Strauß

Partner | Technology Strategy & Transformation Lead | Global Client Lead Automotive
+49 151 58000123

Fanden Sie dies hilfreich?

Ja

Vielen Dank für Ihr Feedback

Ihr Feedback ist uns wichtig

Um uns Ihre Meinung mitzuteilen, aktualisieren Sie bitte Ihre Einstellungen, um Analyse- und Performance-Cookies zu akzeptieren.

Benötigen Sie Hilfe beim Aktualisieren der Cookies?

Weitere Inhalte

Cyber Services

Deloitte Cyber hilft Ihnen dabei, die Potentiale der Digitalisierung ganzheitlich in Organisationen zu realisieren, wertvolle Vermögenswerte zu schützen und innovative Geschäftsmodellen zu ermöglichen.

Future of Cyber Survey 2024

Die neue Deloitte Studie „Future of Cyber Survey 2024“ untersucht die Sichtweise von Führungskräften zu Cyber-Trends weltweit. Erfahren Sie hier die Ergebnisse aus der DACH-Region.
Research
5 Minuten Lesezeit

Cyber Security: Szenarien für 2030

Wie sieht die Welt der Cyber Security im Jahr 2030 aus? Ein neues Deloitte-Whitepaper zeigt Szenarien und Handlungsempfehlungen für die strategische Planung auf.
Perspective
5 Minuten Lesezeit

Cyber Security Branchentrends: Neue Artikelreihe

Cyber Security steht aktuell ganz oben auf der Agenda. Was das für unterschiedliche Branchen bedeutet, erklärt eine neue Artikel-Reihe von Deloitte.
Perspective
5 Minuten Lesezeit
Erfahren Sie mehr