{"id":831,"date":"2025-07-18T11:50:56","date_gmt":"2025-07-18T09:50:56","guid":{"rendered":"http:\/\/192.168.178.3:8080\/?p=831"},"modified":"2025-07-18T11:51:04","modified_gmt":"2025-07-18T09:51:04","slug":"nis2-in-deutschland-neue-entwuerfe-alte-probleme-und-was-unternehmen-jetzt-tun-muessen","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/07\/18\/nis2-in-deutschland-neue-entwuerfe-alte-probleme-und-was-unternehmen-jetzt-tun-muessen\/","title":{"rendered":"NIS2 in Deutschland: Neue Entw\u00fcrfe, alte Probleme \u2013 und was Unternehmen jetzt tun m\u00fcssen"},"content":{"rendered":"\n<p><strong>NIS2 in Deutschland: Neue Entw\u00fcrfe, alte Probleme \u2013 und was Unternehmen jetzt tun m\u00fcssen<\/strong><\/p>\n\n\n\n<p>Stellen Sie sich vor, Sie bereiten Ihr Unternehmen auf eine entscheidende Pr\u00fcfung vor, doch die Regeln \u00e4ndern sich st\u00e4ndig, und der Termin verschiebt sich immer wieder. Genau das erleben derzeit viele deutsche Unternehmen mit der Umsetzung der europ\u00e4ischen NIS2-Richtlinie. W\u00e4hrend die EU-Richtlinie bereits seit dem 16. Januar 2023 in Kraft ist und bis zum 17. Oktober 2024 von den Mitgliedstaaten umgesetzt werden sollte, hinkt Deutschland bei dieser Aufgabe deutlich hinterher.<\/p>\n\n\n\n<p>Der neueste <strong>Referentenentwurf zum NIS2-Umsetzungs- und Cybersicherheitsst\u00e4rkungsgesetz (NIS2UmsuCG)<\/strong> vom Juni 2025 \u2013 der mittlerweile elfte Entwurf seit April 2023 \u2013 bringt zwar Bewegung in die Sache, aber auch weiterhin gro\u00dfe Unsicherheiten mit sich.<\/p>\n\n\n\n<p><strong>Das lange Warten auf das NIS2UmsuCG: Deutschland im Verzug<\/strong><\/p>\n\n\n\n<p>Die urspr\u00fcngliche EU-Deadline vom Oktober 2024 wurde in Deutschland verfehlt. Das geplante NIS2UmsuCG, das die europ\u00e4ische NIS2-Richtlinie in nationales Recht \u00fcberf\u00fchren und gleichzeitig die bestehende KRITIS-Regulierung modernisieren soll, hat bereits eine lange Entwurfsgeschichte hinter sich. Experten gehen davon aus, dass das Gesetz <strong>fr\u00fchestens Ende 2025 in Kraft treten<\/strong> wird. Die Verz\u00f6gerung f\u00fchrt nicht nur zu rechtlicher Unsicherheit, sondern auch zu einem Wettbewerbsnachteil f\u00fcr deutsche Unternehmen im Vergleich zu ihren europ\u00e4ischen Nachbarn.<\/p>\n\n\n\n<p><strong>Schwachstellen im Entwurf: Die Kritik der Experten und Verb\u00e4nde<\/strong><\/p>\n\n\n\n<p>Die aktuellen Entw\u00fcrfe sind weiterhin Gegenstand erheblicher Kritik von Fachkreisen und Verb\u00e4nden:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Fehlende Systematik und Harmonisierung:<\/strong> Experten bem\u00e4ngeln eine fehlende Vereinheitlichung des nationalen Cybersicherheitsrechts, was zu einem \u201eregulatorischen Dschungel\u201c f\u00fchren k\u00f6nnte. Insbesondere die mangelnde Abstimmung zwischen dem NIS2UmsuCG und dem parallel entwickelten KRITIS-Dachgesetz wird kritisiert, da dies zu Rechtsunsicherheit und \u00dcberschneidungen f\u00fchren kann. Auch die Harmonisierung mit anderen EU-L\u00e4ndern ist mangelhaft.<\/li>\n\n\n\n<li><strong>Unklare Begriffsbestimmungen:<\/strong> Zahlreiche Definitionen, wie die Abgrenzung zwischen \u201ewesentlichen\u201c (essential) und \u201ewichtigen\u201c (important) Einrichtungen, oder die Interpretation von \u201eerheblichen Sicherheitsvorf\u00e4llen\u201c, gen\u00fcgen den Anforderungen an Rechtsklarheit nicht. Der Begriff der \u201ekritischen Anlage\u201c, eine deutsche Besonderheit, sorgt ebenfalls f\u00fcr Unklarheit und wird als problematisch f\u00fcr die Einheitlichkeit der europ\u00e4ischen Regulierung angesehen.<\/li>\n\n\n\n<li><strong>Ausschl\u00fcsse und \u00dcberregulierung:<\/strong>\n<ul class=\"wp-block-list\">\n<li><strong>\u00d6ffentliche Hand:<\/strong> Es gibt Kritik an weitreichenden Ausnahmen f\u00fcr bestimmte Bundesbeh\u00f6rden (z.B. Nachrichtendienste, Bundeswehr). Zudem wird bem\u00e4ngelt, dass Kommunen trotz ihres Gef\u00e4hrdungspotenzials nicht explizit in die Pflichten des Gesetzes einbezogen sind.<\/li>\n\n\n\n<li><strong>Geringf\u00fcgige Nebent\u00e4tigkeiten:<\/strong> Eine neue Regelung im Juni 2025 Entwurf erlaubt, \u201evernachl\u00e4ssigbare Gesch\u00e4ftst\u00e4tigkeiten\u201c bei der Betroffenheitspr\u00fcfung unber\u00fccksichtigt zu lassen. Dies soll eine unverh\u00e4ltnism\u00e4\u00dfige Einbeziehung geringf\u00fcgiger Nebent\u00e4tigkeiten vermeiden, wird aber von eco e.V. kritisch gesehen, da die Definition der \u201eVernachl\u00e4ssigbarkeit\u201c fehlt und dies zu Rechtsunsicherheit und Wettbewerbsverzerrungen f\u00fchren k\u00f6nnte.<\/li>\n\n\n\n<li><strong>Zivilgesellschaftliche Akteure:<\/strong> Gemeinn\u00fctzige DNS-Dienste k\u00f6nnen als besonders wichtig eingestuft werden, obwohl sie keine kritischen Funktionen erf\u00fcllen.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Umfang der Ma\u00dfnahmen und Nachweise:<\/strong> Der eco Verband kritisiert, dass die Unterscheidung zwischen wichtigen und besonders wichtigen Einrichtungen bei den Risikomanagementma\u00dfnahmen verwischt wird. Auch die genaue Konkretisierung der Ma\u00dfnahmen und die Anforderung an die Dokumentation und Nachweisf\u00fchrung wird als unzureichend angesehen.<\/li>\n\n\n\n<li><strong>Meldepflichten:<\/strong> Der DSLV und eco bem\u00e4ngeln, dass bei grenz\u00fcberschreitenden Sicherheitsvorf\u00e4llen die Notwendigkeit von Mehrfachmeldungen nicht eindeutig ausgeschlossen wird und fordern eine zentrale Meldestelle zur Vermeidung von Doppelbelastungen. Zudem wird kritisiert, dass an starren Meldefristen (24h\/72h) festgehalten wird, was als unrealistisch und aufw\u00e4ndig angesehen wird.<\/li>\n\n\n\n<li><strong>Managerhaftung:<\/strong> Die Formulierung zur Umsetzungspflicht der Gesch\u00e4ftsleitung (\u00a7 38) wird kritisiert, da sie so interpretiert werden k\u00f6nnte, dass die Gesch\u00e4ftsleitung operative Aufgaben eigenst\u00e4ndig implementieren muss, statt die strategische Steuerung zu \u00fcbernehmen.<\/li>\n\n\n\n<li><strong>Einbindung der Wirtschaft:<\/strong> Es wurde gestrichen, dass Wissenschaft, KRITIS-Betreiber und Verb\u00e4nde bei der Festlegung von kritischen Dienstleistungen oder bei der Definition \u201eerheblicher Sicherheitsvorf\u00e4lle\u201c angeh\u00f6rt werden m\u00fcssen. Dies wird von eco und DSLV kritisiert, da es zur Praxisfremdheit von Anforderungen f\u00fchren kann.<\/li>\n<\/ul>\n\n\n\n<p><strong>Wer ist von NIS2 betroffen? Die neue Realit\u00e4t f\u00fcr deutsche Unternehmen<\/strong><\/p>\n\n\n\n<p>Die NIS2-Umsetzung wird die deutsche Unternehmenslandschaft fundamental ver\u00e4ndern. W\u00e4hrend unter der fr\u00fcheren NIS1-Richtlinie nur etwa 2.000 Unternehmen als kritische Infrastrukturen (KRITIS) reguliert waren, werden nach der Umsetzung des NIS2UmsuCG <strong>tausende weitere Unternehmen unter die Cybersicherheitspflichten fallen<\/strong>. Erste Sch\u00e4tzungen des BMI sprachen von etwa 42.000 Unternehmen in Deutschland, die unter den Anwendungsbereich fallen k\u00f6nnten.<\/p>\n\n\n\n<p>Betroffen sind Unternehmen in <strong>18 kritischen Sektoren<\/strong>, die in zwei Kategorien unterteilt werden:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Wesentliche Einrichtungen (Essential Entities):<\/strong> Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, IKT-Dienstverwaltung (B2B), \u00d6ffentliche Verwaltung, Raumfahrt. Hierzu geh\u00f6ren auch qualifizierte Vertrauensdienste und TLD-Registries, unabh\u00e4ngig von ihrer Gr\u00f6\u00dfe.<\/li>\n\n\n\n<li><strong>Wichtige Einrichtungen (Important Entities):<\/strong> Postdienste und Kurierdienste, Abfallbewirtschaftung, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Verarbeitendes Gewerbe (bestimmte Bereiche), Anbieter digitaler Dienste, Forschungseinrichtungen.<\/li>\n<\/ul>\n\n\n\n<p>Ein weit verbreiteter Irrtum ist, dass nur Gro\u00dfkonzerne betroffen sind. Tats\u00e4chlich gelten die Regelungen f\u00fcr <strong>wichtige Einrichtungen bereits ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz<\/strong>. F\u00fcr wesentliche Einrichtungen gelten teilweise noch niedrigere Schwellen oder gar keine Gr\u00f6\u00dfenkriterien, z.B. f\u00fcr DNS-Dienste oder TLD-Registries.<\/p>\n\n\n\n<p><strong>Was kommt auf betroffene Unternehmen zu?<\/strong><\/p>\n\n\n\n<p>Die Anforderungen des geplanten NIS2UmsuCG sind umfassend und detailliert:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Registrierungspflicht:<\/strong> Betroffene Unternehmen m\u00fcssen sich binnen drei Monaten nach ihrer Identifikation bei der zust\u00e4ndigen Beh\u00f6rde (in der Regel dem BSI) registrieren. Die Registrierungspflicht beginnt unmittelbar mit Inkrafttreten des nationalen Umsetzungsgesetzes.<\/li>\n\n\n\n<li><strong>Cybersicherheitsma\u00dfnahmen (Risikomanagement):<\/strong> Unternehmen m\u00fcssen angemessene, verh\u00e4ltnism\u00e4\u00dfige und wirksame technische und organisatorische Ma\u00dfnahmen implementieren, die dem Stand der Technik entsprechen. Dazu geh\u00f6ren mindestens:\n<ul class=\"wp-block-list\">\n<li>Risikoanalyse und Sicherheit f\u00fcr Informationssysteme<\/li>\n\n\n\n<li>Bew\u00e4ltigung von Sicherheitsvorf\u00e4llen<\/li>\n\n\n\n<li>Aufrechterhaltung des Betriebs (z.B. Backup-Management, Wiederherstellung nach einem Notfall, Krisenmanagement)<\/li>\n\n\n\n<li>Sicherheit der Lieferkette<\/li>\n\n\n\n<li>Sicherheit bei Erwerb, Entwicklung und Wartung von informationstechnischen Systemen<\/li>\n\n\n\n<li>Bewertung der Wirksamkeit von Risikomanagementma\u00dfnahmen<\/li>\n\n\n\n<li>Schulungen und Sensibilisierung zu Cybersicherheit<\/li>\n\n\n\n<li>Kryptographische Verfahren<\/li>\n\n\n\n<li>Konzepte f\u00fcr Personalsicherheit (z.B. Zugriffskontrolle)<\/li>\n\n\n\n<li>Multi-Faktor-Authentifizierung und gesicherte Kommunikation Der Geltungsbereich umfasst dabei s\u00e4mtliche IT-Systeme, Komponenten und Prozesse, die f\u00fcr die Erbringung der Dienste genutzt werden \u2013 also auch B\u00fcro-IT.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Meldepflichten:<\/strong> Ein neues dreistufiges Melderegime bei <strong>erheblichen Sicherheitsvorf\u00e4llen<\/strong> ist vorgesehen:\n<ul class=\"wp-block-list\">\n<li>Fr\u00fche Erstmeldung: <strong>binnen 24 Stunden<\/strong> nach Kenntniserlangung.<\/li>\n\n\n\n<li>Update-Meldung: <strong>binnen 72 Stunden<\/strong> nach Kenntniserlangung.<\/li>\n\n\n\n<li>Abschlussmeldung: <strong>binnen einem Monat<\/strong>. Unternehmen k\u00f6nnen auch verpflichtet werden, Kunden oder die \u00d6ffentlichkeit zu unterrichten.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Nachweispflichten und Pr\u00fcfungen:<\/strong> Betreiber kritischer Anlagen m\u00fcssen sp\u00e4testens ab 2027 alle drei Jahre nachweisen, dass sie die Ma\u00dfnahmen umgesetzt haben. F\u00fcr den Gro\u00dfteil der anderen betroffenen Unternehmen sind keine separaten Nachweis-Audits vorgesehen, jedoch m\u00fcssen sie auf Nachfrage Nachweise vorlegen k\u00f6nnen. Die Ma\u00dfnahmen m\u00fcssen dokumentiert werden.<\/li>\n\n\n\n<li><strong>Management-Verantwortung:<\/strong> NIS2 macht Cybersicherheit zur Chefsache. Die Gesch\u00e4ftsleitung wird pers\u00f6nlich f\u00fcr die Einhaltung der Anforderungen verantwortlich gemacht und muss entsprechende Schulungen absolvieren. Bei Verst\u00f6\u00dfen drohen pers\u00f6nliche Sanktionen. Das BSI erh\u00e4lt umfangreiche Aufsichts- und Durchsetzungsbefugnisse.<\/li>\n\n\n\n<li><strong>Kritische Komponenten:<\/strong> Der Einsatz sogenannter kritischer Komponenten muss dem Innenministerium gemeldet und kann bei Bedenken untersagt werden.<\/li>\n<\/ul>\n\n\n\n<p><strong>Empfindliche Sanktionen bei Verst\u00f6\u00dfen<\/strong><\/p>\n\n\n\n<p>Die Bu\u00dfgelder nach NIS2 sind erheblich:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>F\u00fcr <strong>wesentliche Einrichtungen<\/strong>: bis zu <strong>10 Millionen Euro oder 2% des weltweiten Jahresumsatzes<\/strong> (je nachdem, was h\u00f6her ist).<\/li>\n\n\n\n<li>F\u00fcr <strong>wichtige Einrichtungen<\/strong>: bis zu <strong>7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes<\/strong> (je nachdem, was h\u00f6her ist).<\/li>\n\n\n\n<li>Zus\u00e4tzlich k\u00f6nnen bei schwerwiegenden Verst\u00f6\u00dfen weitere Sanktionen wie die Untersagung der Gesch\u00e4ftst\u00e4tigkeit oder der Ausschluss von \u00f6ffentlichen Auftr\u00e4gen verh\u00e4ngt werden.<\/li>\n<\/ul>\n\n\n\n<p>Die Botschaft ist klar: NIS2-Compliance ist kein \u201eNice-to-have\u201c, sondern ein \u201eMust-have\u201c.<\/p>\n\n\n\n<p><strong>Zeitplan und Handlungsempfehlungen: Was Sie jetzt tun sollten<\/strong><\/p>\n\n\n\n<p>Auch wenn das Gesetz noch nicht verabschiedet ist, sollten Unternehmen bereits jetzt mit der Vorbereitung beginnen. Warum Abwarten keine Option ist:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Kurze Umsetzungsfristen:<\/strong> Nur drei Monate f\u00fcr die Registrierung nach Inkrafttreten des Gesetzes sind in der Praxis sehr kurz, um alle erforderlichen Analysen und Implementierungen durchzuf\u00fchren.<\/li>\n\n\n\n<li><strong>Komplexe Anforderungen:<\/strong> Die Implementierung der Ma\u00dfnahmen kann Monate oder sogar Jahre dauern.<\/li>\n\n\n\n<li><strong>Wettbewerbsvorteile:<\/strong> Fr\u00fchzeitige Vorbereitung schafft Vertrauen bei Kunden und Partnern.<\/li>\n\n\n\n<li><strong>Risikominimierung:<\/strong> Die meisten NIS2-Anforderungen sind ohnehin sinnvolle Cybersicherheitsma\u00dfnahmen.<\/li>\n<\/ul>\n\n\n\n<p><strong>Unser 5-Stufen-Plan f\u00fcr Ihre NIS2-Vorbereitung:<\/strong><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Stufe 1: Betroffenheitsanalyse (sofort)<\/strong> Pr\u00fcfen Sie systematisch, ob Ihr Unternehmen unter die NIS2-Regelungen fallen k\u00f6nnte.<\/li>\n\n\n\n<li><strong>Stufe 2: Gap-Analyse (bis Ende 2025)<\/strong> Bewerten Sie Ihre aktuellen Cybersicherheitsma\u00dfnahmen und identifizieren Sie Handlungsbedarfe anhand der verf\u00fcgbaren Entw\u00fcrfe.<\/li>\n\n\n\n<li><strong>Stufe 3: Roadmap-Entwicklung (bis Q1 2026)<\/strong> Erstellen Sie einen konkreten Umsetzungsplan mit Priorit\u00e4ten, Zeitpl\u00e4nen und Budgets.<\/li>\n\n\n\n<li><strong>Stufe 4: Pilotprojekte (ab Q2 2026)<\/strong> Beginnen Sie mit der Umsetzung ausgew\u00e4hlter, auch unabh\u00e4ngig von NIS2 sinnvoller Ma\u00dfnahmen (z.B. Incident Response, Mitarbeiterschulungen).<\/li>\n\n\n\n<li><strong>Stufe 5: Vollst\u00e4ndige Umsetzung (bis 2027)<\/strong> Planen Sie die erste Nachweispflicht f\u00fcr kritische Anlagenbetreiber im Jahr 2027 ein.<\/li>\n<\/ol>\n\n\n\n<p><strong>Externe Unterst\u00fctzung<\/strong> kann bei der komplexen NIS2-Umsetzung, die sowohl technisches als auch rechtliches Know-how erfordert, entscheidend sein. Vergessen Sie nicht die <strong>Dokumentation<\/strong>: Sie ist der oft \u00fcbersehene Erfolgsfaktor, da das Gesetz nicht nur Ma\u00dfnahmen, sondern auch deren Nachweis verlangt.<\/p>\n\n\n\n<p><strong>Fazit: NIS2 als Chance begreifen<\/strong><\/p>\n\n\n\n<p>Die NIS2-Umsetzung in Deutschland mag holprig verlaufen, aber sie bietet auch Chancen. Begreifen Sie die Anforderungen nicht als l\u00e4stige Pflicht, sondern als <strong>Investition in Ihre Zukunftsf\u00e4higkeit<\/strong>. Cybersicherheit ist l\u00e4ngst ein strategischer Erfolgsfaktor. Nutzen Sie die verbleibende Zeit f\u00fcr eine durchdachte Vorbereitung, um nicht nur compliance-konform zu sein, sondern auch widerstandsf\u00e4higer gegen Cyberangriffe und damit erfolgreicher am Markt.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p><em>Dieser Artikel wurde auf Basis des aktuellen Referentenentwurfs vom Juni 2025 und den genannten Experten- und Verbandsstellungnahmen erstellt. Da sich die Rechtslage noch \u00e4ndern kann, empfehlen wir, sich regelm\u00e4\u00dfig \u00fcber den aktuellen Stand zu informieren und bei konkreten Fragen professionelle Beratung in Anspruch zu nehmen.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>NIS2 in Deutschland: Neue Entw\u00fcrfe, alte Probleme \u2013 und was Unternehmen jetzt tun m\u00fcssen Stellen&hellip;<\/p>\n","protected":false},"author":1,"featured_media":761,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,3,4],"tags":[],"class_list":["post-831","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-it","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/831","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=831"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/831\/revisions"}],"predecessor-version":[{"id":832,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/831\/revisions\/832"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/761"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=831"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=831"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=831"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}