Zum Hauptinhalt springen
Perspective:
Perspective
15 Sept. 2025
5 Minuten Lesezeit

Umsetzung der EU-Direktive NIS-2 in Deutschland (NIS2UmsuCG)

Die Bundesregierung konkretisiert die Umsetzung der EU-Direktive NIS-2 durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS2UmsuCG).

Seit dem 17. Oktober 2024 gilt die EU-Direktive NIS-2 („Network and Information Security“) für Organisationen und Unternehmen mit Sitz in der EU. Ziel ist die Etablierung einheitlicher Cybersicherheits-Mindeststandards. In Deutschland wird die Umsetzung durch das NIS2UmsuCG geregelt, das sich derzeit im parlamentarischen Verfahren befindet. Der Regierungsentwurf wurde am 30. Juli 2025 vom Bundeskabinett beschlossen und dem Bundesrat zur Stellungnahme vorgelegt. Eine finale Verabschiedung steht noch aus.

Meilensteine der Gesetzgebung

April 2023: Erster Referentenentwurf 

Das Bundesinnenministerium veröffentlicht den ersten Entwurf zur Umsetzung der EU-NIS-2-Richtlinie. Dieser bildet die Grundlage für die nationale Gesetzgebung und definiert erste Anforderungen an Unternehmen im Bereich der Cybersicherheit.

Juli 2023: Überarbeiteter Entwurf mit sektorunabhängiger Einstufung „wichtiger Einrichtungen“

In der überarbeiteten Fassung wird die Einstufung von Unternehmen nicht mehr ausschließlich sektorspezifisch vorgenommen. Stattdessen wird eine neue Kategorie eingeführt: „wichtige Einrichtungen“, deren Relevanz sich aus Größe, Umsatz und Bedeutung für die Gesellschaft ergibt – unabhängig vom Sektor.

Dezember 2023 – Juni 2025: Verbändeanhörungen und weitere Entwürfe

In dieser Phase finden umfangreiche Konsultationen mit Branchenverbänden, Unternehmen und Fachgremien statt. Die Rückmeldungen fließen in mehrere überarbeitete Entwürfe ein, die die Anforderungen weiter konkretisieren und auf Praxistauglichkeit prüfen.

Juli 2025: Kabinettsbeschluss

Die Bundesregierung verabschiedet den finalen Gesetzesentwurf im Kabinett. Damit wird der Weg für die parlamentarische Beratung und die formale Gesetzgebung geebnet.

August 2025: Vorlage im Bundesrat

Der Gesetzesentwurf wird dem Bundesrat zur Stellungnahme vorgelegt. Dies ist ein entscheidender Schritt im Gesetzgebungsverfahren, bevor das Gesetz in Kraft treten kann – voraussichtlich ohne Übergangsfristen.

 

Erweiterter Geltungsbereich: Über 30.000 Unternehmen betroffen

Die neue Gesetzgebung betrifft deutlich mehr Unternehmen als bisher. Neben Betreibern kritischer Anlagen (KRITIS) werden auch sogenannte „besonders wichtige“ und „wichtige Einrichtungen“ reguliert. Die Einstufung erfolgt dabei nach Unternehmensgröße, Umsatz und Sektorenzugehörigkeit. Auch Unternehmen ohne bestimmte Schwellenwerte können betroffen sein, etwa Anbieter digitaler Dienste, DNS-Dienste oder Betreiber öffentlicher Telekommunikationsnetze.

 

Neue Anforderungen und Pflichten

Die Anforderungen des NIS2UmsuCG umfassen:

  • Einführung eines dreistufigen Melderegimes bei Sicherheitsvorfällen (24h Erstmeldung, 72h Zwischenmeldung, Abschlussbericht nach einem Monat).
  • Verpflichtende Registrierung beim BSI – auch bei Nichtmeldung kann eine zwangsweise Registrierung erfolgen.
  • Erweiterte Aufsichtsbefugnisse des BSI, inklusive Stichprobenprüfungen und Nachweispflichten.
  • Haftung der Geschäftsführung mit Privatvermögen bei Verstößen.
  • Bußgelder bis zu 20 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.
  • Verpflichtende NIS-2 Schulung für die Geschäftsführung (Für mehr Informationen zu dieser Schulung lesen Sie gerne unser Whitepaper „NIS-2 Schulungspflicht für Geschäftsleitungen - Verantwortung, Umsetzung und Compliance im Lichte des BSIG-E“)

Technische und organisatorische Maßnahmen

Unternehmen müssen ein umfassendes Informationssicherheitsmanagementsystem (ISMS) etablieren oder bestehende Systeme erweitern. Die geforderten Maßnahmen umfassen:

  • Sicherheits- und Risikokonzepte 
  • Vorfalls-, Notfall- und Krisenmanagement 
  • Lieferketten- und Einkaufsmanagement 
  • Schulungen und Awareness
  • Verschlüsselung, Authentifizierung, Zugangskontrollen
  • Asset- und Schwachstellenmanagement
  • Sichere Kommunikation und Notfallkommunikation

Eine Zertifizierung nach ISO/IEC 27001:2022 oder BSI IT-Grundschutz kann als Nachweis der Compliance dienen.

 

Strategische Umsetzung empfohlen

Deloitte empfiehlt eine strukturierte Vorgehensweise in vier Phasen zur Erreichung der NIS-2-Compliance. Unternehmen sollten frühzeitig mit der Umsetzung beginnen, da das Gesetz unmittelbar nach Verkündung in Kraft tritt – ohne Übergangsfristen.

Da die Maßnahmenumsetzung größtenteils das ISMS im Unternehmen betrifft, ist es optional möglich, die Organisation auf eine Zertifizierung des ISMS gem. ISO/IEC 27001:2022 oder BSI IT-Grundschutz vorzubereiten, da der zusätzlich hierfür anfallende Aufwand nicht wesentlich ist.

 

NIS-2 verstehen – im Live-Seminar mit Deloitte

Erfahren Sie aus erster Hand, was das NIS2UmsuCG für Ihr Unternehmen bedeutet und wie Sie sich optimal vorbereiten. Unsere Expert:innen geben in einem Live-Seminar – wahlweise vor Ort oder remote – einen Überblick über den aktuellen Stand der Gesetzgebung und zeigen praxisnah, wie Deloitte Sie bei der Umsetzung unterstützen kann – von der Risikoanalyse bis zur Compliance-Zertifizierung.

Jetzt anmelden!

Über den deutschen Tellerrand hinausblicken?

Sie interessieren sich für die Umsetzung der NIS-2-Richtlinie auf europäischer Ebene oder sind in mehreren EU-Ländern tätig? Der Deloitte-Artikel “Navigating NIS-2 Compliance” bietet Ihnen einen fundierten Überblick über die EU-weiten Anforderungen, strategische Ansätze zur Compliance und länderspezifische Unterschiede – ideal für Unternehmen mit internationaler Ausrichtung.

Hier weiterlesen

Bei Fragen zum NIS2UmsuCG kontaktieren Sie gerne unseren Experten Fabian Mihailowitsch und Tamara Okropiridze.                                             

Kontaktieren Sie uns

Fabian Mihailowitsch

Fabian Mihailowitsch

Partner | Lead Enterprise Security
+49 151 58072426
Tamara Okropiridze

Tamara Okropiridze

Senior Manager | Cyber Strategy & Transformation
+49 69 756957215
Oliver Ständert

Oliver Ständert

Director | IoT Strategy & Architecture | IT/OT Advisory
+49 151 58071396
Uwe Strauß

Uwe Strauß

Partner | Technology Strategy & Transformation Lead | Global Client Lead Automotive
+49 151 58000123

Fanden Sie dies hilfreich?

Ja

Vielen Dank für Ihr Feedback

Ihr Feedback ist uns wichtig

Um uns Ihre Meinung mitzuteilen, aktualisieren Sie bitte Ihre Einstellungen, um Analyse- und Performance-Cookies zu akzeptieren.

Benötigen Sie Hilfe beim Aktualisieren der Cookies?

Weitere Inhalte

Cyber Services

Deloitte Cyber hilft Ihnen dabei, die Potentiale der Digitalisierung ganzheitlich in Organisationen zu realisieren, wertvolle Vermögenswerte zu schützen und innovative Geschäftsmodellen zu ermöglichen.

Future of Cyber Survey 2024

Die neue Deloitte Studie „Future of Cyber Survey 2024“ untersucht die Sichtweise von Führungskräften zu Cyber-Trends weltweit. Erfahren Sie hier die Ergebnisse aus der DACH-Region.
Research
5 Minuten Lesezeit

Cyber Security: Szenarien für 2030

Wie sieht die Welt der Cyber Security im Jahr 2030 aus? Ein neues Deloitte-Whitepaper zeigt Szenarien und Handlungsempfehlungen für die strategische Planung auf.
Perspective
5 Minuten Lesezeit

Cyber Security Branchentrends: Neue Artikelreihe

Cyber Security steht aktuell ganz oben auf der Agenda. Was das für unterschiedliche Branchen bedeutet, erklärt eine neue Artikel-Reihe von Deloitte.
Perspective
5 Minuten Lesezeit
Erfahren Sie mehr