Deutscher Bundesrat hat beschlossen: NIS2 kommt Ende 2025/Anfang 2026!

Alle aktuellen Infos auf einen Blick

Die Entscheidung ist gefallen: Der Bundesrat hat dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) zugestimmt – damit steht fest, dass die europäische NIS2-Richtlinie in Deutschland höchstwahrscheinlich zwischen Ende 2025 und Anfang 2026 verbindlich wird. Für rund 29.000 Unternehmen bedeutet das: deutlich strengere Sicherheitsanforderungen, neue Pflichten – und deutlich mehr Verantwortung für die Geschäftsleitung!

Wir haben für Sie die wichtigsten Punkte zusammengefasst.

‍

Was bedeutet die Entscheidung des Bundesrats?

‍

Mit der Zustimmung wird in Deutschland das neue BSI-Gesetz (BSIG) eingeführt, das die Cybersicherheitsregeln grundlegend modernisiert. Erstmals rücken dabei auch viele mittelständische Unternehmen in den Fokus:
IT-Dienstleister, Maschinenbau, Elektronikunternehmen, Forschungseinrichtungen und zahlreiche weitere Branchen müssen nun prüfen, ob sie künftig unter NIS2 fallen.

Wichtig zu wissen: Es gibt keine offizielle Benachrichtigung. Unternehmen müssen selbst feststellen, ob sie betroffen sind.

‍

Was NIS2 jetzt von betroffenen Geschäftsführungen verlangt

Die NIS2-Richtlinie bringt für die Leitungsebene betroffener Unternehmen einen Paradigmenwechsel mit sich. Während Cybersicherheit lange Zeit als technisches Thema galt, das man an IT-Abteilungen oder externe Dienstleister delegieren konnte, macht NIS2 klar: Die Verantwortung liegt bei der Geschäftsführung – persönlich, dauerhaft und prüfbar. Die Anforderungen lassen sich in drei große Verantwortungsbereiche gliedern.

‍

1. Strategische Verantwortung: Cybersicherheit wird Chefsache

‍

NIS2 verlangt, dass die Geschäftsführung den Aufbau und Betrieb eines angemessenen Sicherheitsniveaus nicht nur duldet, sondern aktiv steuert. Das beginnt mit strategischen Entscheidungen: Geschäftsleitende müssen Sicherheitskonzepte offiziell genehmigen, ausreichende finanzielle und personelle Ressourcen bereitstellen und sicherstellen, dass Risiken für das Unternehmen regelmäßig erfasst und bewertet werden.

Diese Verantwortung ist nicht delegierbar. Auch wenn Fachabteilungen die operative Umsetzung übernehmen, erwartet der Gesetzgeber, dass die Geschäftsführung versteht, welche Bedrohungen für das Unternehmen bestehen, und nachvollziehbare Entscheidungen darüber trifft, wie diese Risiken adressiert werden. Kurz gesagt: Die Leitungsebene muss Cybersicherheit als Teil der Unternehmensstrategie begreifen – ähnlich relevant wie Finanzen, Produktion oder regulatorische Compliance.

2. Operative Aufsicht: Umsetzung kontrollieren und Wirksamkeit sicherstellen

‍

Neben der strategischen Dimension verlangt NIS2 eine aktive Aufsicht über die operative Umsetzung. Geschäftsführungen müssen sich regelmäßig darüber informieren lassen, ob Sicherheitsmaßnahmen funktionieren, ob Vorfälle auftreten und ob es Lücken in Prozessen oder Systemen gibt.

Es reicht nicht aus, Maßnahmen einmal zu beschließen – ihre Wirksamkeit muss überwacht werden. Dazu gehören interne Reports, Prüfberichte, Risikoanalysen und regelmäßige Abstimmungen mit Sicherheitsverantwortlichen. Die Leitungsebene soll in der Lage sein, Fragen zu stellen, Prioritäten festzulegen und bei Bedarf nachzusteuern. Unternehmen brauchen dafür klare Governance-Strukturen, definierte Rollen und ein Berichtswesen, das die Geschäftsleitung in die Lage versetzt, fundierte Entscheidungen zu treffen.

‍

3. Persönliche Kompetenz: Pflichtschulungen und persönliches Haftungsrisiko

‍

Ein weiterer Kernpunkt der NIS2 ist die Verpflichtung, dass Mitglieder der Geschäftsführung regelmäßig an Schulungen teilnehmen müssen. Diese Trainings sollen sicherstellen, dass Leitungsbefugte Risiken, technische Grundlagen und gesetzliche Anforderungen verstehen – und somit in die Lage versetzt werden, angemessene Entscheidungen zu treffen und Gefahren einzuschätzen.

Die EU formuliert das bewusst deutlich: Unwissen schützt nicht vor Verantwortung. Kommt es zu Pflichtverletzungen, weil Risiken ignoriert, Maßnahmen nicht umgesetzt oder Berichte nicht eingefordert wurden, kann die Geschäftsführung persönlich haftbar gemacht werden. Damit entwickelt sich Cybersicherheit zu einem Compliance-Pflichtthema auf höchster Ebene – vergleichbar mit Datenschutz, Arbeitssicherheit oder Finanzaufsicht.

Im Ergebnis verlangt NIS2 von Geschäftsführer:innen drei Dinge: informierte Entscheidungen, aktive Kontrolle und persönliche Qualifikation.

Für viele Organisationen bedeutet das eine grundlegende Veränderung im Umgang mit Informationssicherheit – aber auch die Chance, Risiken strukturiert zu reduzieren und langfristig widerstandsfähiger zu werden. Wenn Sie möchten, formuliere ich diesen Abschnitt gern nochmals kürzer, pointierter oder als Teil eines Whitepapers oder LinkedIn-Posts.

‍

Welche Strafen drohen?

‍

Die Bußgelder orientieren sich am weltweiten Jahresumsatz – und können bis zu 10 Mio. EUR oder 2 % des Umsatzes erreichen. In Härtefällen kann der Geschäftsführung die Aufsicht entzogen werden.
Das BSI hat bereits signalisiert: Kontrollen starten nicht sofort, aber Unternehmen müssen unverzüglich mit der Umsetzung beginnen.

‍

Der Countdown läuft – jetzt ist der richtige Moment zu starten

‍

Mit der Entscheidung des Bundesrats steht fest: Die NIS2-Pflichten kommen – und sie kommen schnell.

Für Unternehmen bedeutet das: Prozesse, Dokumentation, Sicherheitsmaßnahmen und Organisationsstrukturen müssen rechtzeitig angepasst werden. Der Aufwand ist hoch, aber mit den richtigen Tools ökonomisch und pragmatisch zu bewältigen. Bei SECJUR unterstützen wir Sie dabei, die Anforderungen effizient zu erfüllen – vollständig digital, audit-sicher und mit zertifizierten Expert:innen an Ihrer Seite.

‍

Unser dringender Hinweis an alle möglicherweise betroffenen Unternehmen

‍

Wenn Sie vermuten, dass Ihr Unternehmen unter NIS2 fallen könnte, sollten Sie jetzt unbedingt handeln. Je früher Sie beginnen, desto leichter lässt sich die Umsetzung stemmen – und desto besser schützen Sie Ihr Unternehmen vor Risiken, Haftung und Sanktionen.

Vereinbaren Sie gern einen Termin mit uns, damit wir gemeinsam klären, welche Schritte jetzt notwendig sind, um die NIS2-Auflagen rechtzeitig und effizient zu erfüllen.
Wir begleiten Sie zuverlässig auf dem Weg zu einer sicheren, regelkonformen und resilienten Organisation.

‍