Der Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie ist am 13. November 2025 vom Bundestag in zweiter und dritter Lesung verabschiedet worden. Anschließend stimmte der Bundesrat am 21. November 2025 zu — damit ist das Gesetz formal bestätigt und auf dem Weg zur Verkündung.
Mit der nun beschlossenen Fassung werden verbindliche Mindeststandards für Informationssicherheit und Cyber-Resilienz in Verwaltung und Wirtschaft eingeführt — weit über die bisherigen Regelungen des IT-Sicherheitsgesetzes hinaus.
Neuer Rechtsrahmen: Was geändert wurde
Die Reform erweitert den bisher geltenden Ordnungsrahmen substantiell:
- Der Geltungsbereich wird auf deutlich mehr Unternehmen und Einrichtungen ausgeweitet — über klassische kritische Infrastrukturen hinaus.
- Zusätzlich zur Bundesverwaltung werden neue Einrichtungskategorien definiert, die den erweiterten Sicherheitsanforderungen und Meldepflichten unterliegen.
- Eine einstufige Meldepflicht für Sicherheitsvorfälle wird durch ein dreistufiges Meldesystem ersetzt, mit abgestuften Meldepflichten je nach Schwere und Art des Vorfalls.
- Die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden deutlich ausgeweitet — um Überwachung und Sanktionen bei Verstößen zu ermöglichen.
- Für die Bundesverwaltung ist die Einrichtung einer zentralen Koordinationsstelle vorgesehen, um das Informationssicherheitsmanagement ressortübergreifend zu steuern.
Bedeutung für Unternehmen und Verwaltung
Mit dem Inkrafttreten des Gesetzes müssen betroffene Unternehmen und Behörden ihre IT-Sicherheitsprozesse, Meldewege und Governance-Strukturen neu bewerten. Compliance, Risikomanagement und Incident-Response müssen auf ein neues, europaweit harmonisiertes Niveau gehoben werden.
Insbesondere Unternehmen außerhalb klassischer Kritischer Infrastrukturen sollten prüfen, ob sie künftig zu den betroffenen „wichtigen“ oder „besonders wichtigen“ Einrichtungen gehören — die Anforderungen gelten nicht mehr nur sektorbezogen, sondern nach neuen Schwellenwerten.
Für Behörden bedeutet die Einrichtung einer zentralen Sicherheitskoordination mehr Verantwortung und einen strukturierten Rahmen zur Umsetzung der neuen Vorgaben.
Ausblick: Inkrafttreten und praktische Folgen
Mit der Zustimmung von Bundestag und Bundesrat liegt eine gesetzlich verbindliche Grundlage vor. Der noch ausstehende Schritt ist die formelle Verkündung im Bundesgesetzblatt — danach wird das Gesetz wirksam.
Unternehmen und Behörden sollten die Umsetzung daher umgehend vorbereiten: Insbesondere Sicherheitssysteme, Meldeprozesse und Governance-Strukturen müssen an das neue Melderegime und die erweiterten Anforderungen angepasst werden.
Veröffentlicht in Allgemein, Rechtsberatung, Wirtschaftsprüfung
