Cyberattacken sind längst keine abstrakte Bedrohung mehr. Sie sind Realität – Tag für Tag, quer durch alle Branchen, ob Handwerksbetrieb, Krankenhaus oder Softwaredienstleister. Wer heute ein Unternehmen führt, weiß: Digitalisierung bringt Chancen, aber eben auch Risiken. Mit der NIS2-Richtlinie will die Europäische Union diese Risiken endlich systematisch angehen. Deutschland steht nun kurz vor dem entscheidenden Schritt: Der Entwurf zum NIS2-Umsetzungsgesetz (NIS2UmsuCG) liegt vor. Und er hat es in sich.
Für Unternehmer heißt das: Wer bislang glaubte, nicht betroffen zu sein, sollte spätestens jetzt ganz genau hinschauen. Denn das neue Gesetz betrifft nicht nur Konzerne oder Energieversorger – sondern einen breiten Mittelstand.
Der Weg zur Umsetzung: Wie alles begann
Die Geschichte dieses Gesetzes beginnt nicht mit einem Cyberangriff, sondern mit einem politischen Bekenntnis: Europa braucht mehr digitale Widerstandskraft. Und Deutschland muss liefern. Die NIS2-Richtlinie der EU – 2022 verabschiedet – gibt einen klaren Rahmen vor. Mitgliedsstaaten sollen kritische Infrastrukturen und wichtige Wirtschaftszweige besser schützen.
Nach langem politischen Ringen wurde im Mai 2025 in Berlin eine neue Große Koalition aus CDU und SPD gebildet. In ihrem Koalitionsvertrag räumt sie der Cybersicherheit einen hohen Stellenwert ein:
„Wir werden das BSI-Gesetz novellieren und das BSI zur Zentralstelle für Informations- und Cybersicherheit ausbauen.“
Der Entwurf liegt auf dem Tisch – und wird Realität
Am 5. Juni 2025 veröffentlichte die Arbeitsgruppe KRITIS einen umfassenden Gesetzesentwurf – datiert auf den 26. Mai, 213 Seiten stark. Was bislang politische Theorie war, nimmt nun konkrete Formen an. Die Zeit des Zögerns ist vorbei.
Der Entwurf regelt nicht nur die Umsetzung der NIS2-Richtlinie, sondern geht sogar darüber hinaus. Er verankert verbindliche Standards für das Informationssicherheitsmanagement in der Bundesverwaltung – und überträgt sie sinngemäß auch auf die Wirtschaft.
Was bedeutet das konkret für Unternehmen?
Die große Überraschung: Es geht nicht mehr nur um klassische „KRITIS“-Branchen wie Energie oder Wasser. Der neue Anwendungsbereich ist deutlich breiter. Betroffen sind künftig auch Unternehmen aus Bereichen wie Logistik, Maschinenbau, Lebensmittelproduktion, Pharmazie, digitale Dienste und sogar Post- und Lieferdienste – sofern sie eine bestimmte Größe überschreiten.
- Ab 50 Mitarbeitern oder
- Ab 10 Millionen Euro Jahresumsatz
Genügen diese Kriterien – und das Unternehmen ist in einem der genannten Sektoren tätig –, dann gilt: Willkommen in der Welt der NIS2-Pflichten.
Neue Pflichten, neue Verantwortung
Was auf den ersten Blick bürokratisch klingt, hat einen ernsten Kern: Es geht um nichts weniger als die digitale Selbstverteidigung Ihres Unternehmens. Und die beginnt mit einem strukturierten Ansatz zur Informationssicherheit.
1. Ein funktionierendes Risikomanagement
Nicht als Option, sondern als Pflicht. Unternehmen müssen dokumentieren, wie sie mit IT-Risiken umgehen. Dazu gehören klare Prozesse, regelmäßige Audits, Sicherheitsrichtlinien und Schulungen.
2. Meldepflichten bei Vorfällen
Ist Ihre IT angegriffen worden? Gab es einen Datenabfluss oder einen „Beinahe-Crash“? Dann muss künftig binnen 24 Stunden eine erste Meldung ans BSI erfolgen. Innerhalb von 72 Stunden folgt eine Detailmeldung. Und spätestens nach einem Monat: der Abschlussbericht.
3. Beweisbarkeit zählt
Sie müssen Ihre Maßnahmen dokumentieren. Und: Die Geschäftsleitung ist in der Pflicht. Delegation allein reicht nicht. Der Entwurf stellt klar: Führungskräfte können zur Verantwortung gezogen werden.
Das BSI als digitale Aufsichtsinstanz
Im Zentrum des neuen Systems steht das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es wird zum „digitalen TÜV“ für Unternehmen mit besonderen Pflichten.
Das BSI darf künftig:
- technische Standards festlegen
- Unternehmen prüfen – auch unangekündigt
- Meldungen entgegennehmen und Bußgelder verhängen
Was kostet die Umsetzung?
- 2,1 Mrd. Euro einmalige Umsetzungskosten für die deutsche Wirtschaft
- 2,2 Mrd. Euro jährlich an laufendem Aufwand
Dem gegenüber steht ein geschätzter vermeidbarer Schaden durch Cyberangriffe in Höhe von 3,6 Mrd. Euro jährlich – allein in der Wirtschaft.
Was jetzt zu tun ist: Ihre NIS2-Checkliste
- Prüfen Sie Ihre Betroffenheit: Sektor, Unternehmensgröße, Zuliefererrolle
- Verantwortlichkeiten klären: Wer ist CISO? Wer meldet Vorfälle?
- nis2-Konformität: Online auditieren mit nis2-conform.eu!
- Dokumentation sicherstellen: Ohne Nachweis kein Schutz vor Bußgeld
Zwischen Pflicht und Chance
Viele Unternehmer empfinden Regulierung zunächst als Belastung. Doch in Wahrheit eröffnet die Umsetzung der NIS2-Richtlinie auch Chancen:
- Vertrauen bei Kunden und Partnern stärken
- Wettbewerbsvorteil durch gelebte Sicherheit
- Resilienz und Zukunftsfähigkeit sichern
Fazit: Jetzt handeln – nicht später
Mit dem NIS2UmsuCG beginnt eine neue Ära der IT-Sicherheit in Deutschland. Was früher freiwillig war, wird jetzt Pflicht. Und was lange ignoriert wurde, rückt nun ins Zentrum unternehmerischer Verantwortung.
Nutzen Sie diesen Moment. Verwandeln Sie Vorschriften in Wettbewerbsvorteile. Stärken Sie Ihr Unternehmen – digital, nachhaltig, zukunftssicher.