NIS-2-Umsetzung: Diese Pflichten treffen Sie jetzt
Am 13. November 2025 hat der Bundestag das NIS-2-Umsetzungsgesetz verabschiedet. Für Unternehmen aus IT-Dienstleistung und Luftfahrt bedeutet das: erweiterte Aufsichtsbefugnisse des BSI, neue Kategorien betroffener Einrichtungen und strengere IT-Sicherheitspflichten.
Der Bundestag hat entschieden
Der Bundestag hat in der Sitzung vom 13. November 2025 den Gesetzentwurf „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ angenommen – in der vom Innenausschuss geänderten Fassung.
Damit setzt Deutschland die europäische NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) in nationales Recht um. Für Ihr Unternehmen heißt das: Die NIS-2-Pflichten landen in einem konkreten nationalen Rechtsrahmen mit klaren Zuständigkeiten, Meldepflichten und Eingriffsbefugnissen des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Das Gesetz schärft die Rolle des BSI erheblich, definiert neue Kategorien von Einrichtungen und schafft die Grundlage für technische Eingriffe, die sich unmittelbar auf Betreiber und Dienstleister auswirken.
Hintergrund: NIS-2 als europäischer Rahmen für IT-Sicherheit
Die NIS-2-Richtlinie verfolgt das Ziel, ein hohes gemeinsames Cybersicherheitsniveau in der EU zu schaffen. Sie sieht strengere Anforderungen an die IT-Sicherheit, deutlich ausgeweitete Meldepflichten bei Sicherheitsvorfällen und empfindliche Sanktionen vor.
Der deutsche Gesetzgeber knüpft an das bestehende IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 an und erweitert diesen Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Betroffen sind nicht nur Betreiber kritischer Infrastrukturen, sondern auch zahlreiche weitere Unternehmen.
Die drei Kernpunkte der Umsetzung
Der Gesetzgeber betont drei zentrale Neuerungen: Erstens wird der Anwendungsbereich ausgeweitet und neue Einrichtungskategorien („besonders wichtige“ und „wichtige“ Einrichtungen) eingeführt. Zweitens ersetzt ein dreistufiges Melderegime die bisherige einstufige Meldepflicht. Drittens erhält das BSI erweiterte Befugnisse für Aufsichts- und Eingriffsrechte.
Was die Beschlussempfehlung 21/2782 konkret ändert
Die Drucksache 21/2782 – die Beschlussempfehlung des Innenausschusses – zeigt, wo der politische Schwerpunkt liegt. Der Innenausschuss hat den ursprünglichen Gesetzentwurf an entscheidenden Stellen nachgeschärft: Die §§ 1 und 15 BSIG werden präzisiert, die bisherige 100.000-Kunden-Schwelle in § 16 BSIG für Anordnungen gegenüber Telekommunikationsdiensten entfällt ersatzlos. Das BSI erhält die Möglichkeit zu Bereinigungsbefehlen gegen Schadsoftware, ein neuer § 41 BSIG ermöglicht das Verbot kritischer Komponenten, und der koordinierte Umgang mit Schwachstellen (Coordinated Vulnerability Disclosure) wird klarer verankert.
Erweiterte BSI-Befugnisse: Was auf IT-Dienstleister zukommt
Anordnungen gegenüber Telekommunikationsanbietern (§ 16 BSIG)
Besonders eingriffsintensiv ist die Neufassung des § 16 BSIG. Das BSI kann zur Abwehr erheblicher Gefahren Anordnungen gegenüber Anbietern öffentlich zugänglicher Telekommunikationsdienste treffen – etwa zur Umsetzung bestimmter Maßnahmen nach dem Telekommunikationsgesetz oder zur Verteilung technischer Befehle zur Bereinigung von Schadsoftware an betroffene IT-Systeme (sog. „Bereinigungsbefehle“).
Voraussetzungen sind technische Machbarkeit und wirtschaftliche Zumutbarkeit. Das BSI muss die Bundesnetzagentur beteiligen, bei Bereinigungsbefehlen zusätzlich das Einvernehmen mit dem Bundesbeauftragten für Datenschutz herstellen.
Was das für Ihr Unternehmen bedeutet
In der Praxis heißt das: Bei akuten Malware-Bedrohungen kann das BSI direkt in laufende Kommunikationsprozesse eingreifen – mit Auswirkungen nicht nur auf Telekommunikationsanbieter, sondern auch auf deren Geschäftskunden.
Für Unternehmensjuristen und IT-Verantwortliche stellt sich die Frage, wie diese Befugnisse vertraglich, technisch und datenschutzrechtlich abgebildet werden müssen.
Schwachstellenscans: Befugnisse und Grundrechtsschutz
Die Beschlussempfehlung konkretisiert, wie das BSI Schwachstellen in öffentlich erreichbaren Systemen erkennen darf. Nach der Neufassung des § 15 BSIG darf das BSI Abfragen an Schnittstellen öffentlich erreichbarer IT-Systeme durchführen, um unzureichend geschützte Schnittstellen zu identifizieren.
Enge datenschutzrechtliche Grenzen
Erlangt das BSI dabei Daten, die dem Schutz des Art. 10 GG (Fernmeldegeheimnis) unterfallen, dürfen diese nur sehr eingeschränkt verarbeitet und müssen im Übrigen unverzüglich gelöscht werden. Eine Verfahrensbeschreibung zur Durchführung dieser Maßnahmen muss veröffentlicht werden.
Die gesetzliche Grundlage für BSI-Scans ist enger gefasst, als es in der öffentlichen Diskussion manchmal erscheint. Gleichwohl werden Unternehmen künftig häufiger mit BSI-Hinweisen zu Schwachstellen konfrontiert sein. Eine interne Regelung zum Umgang mit solchen Hinweisen ist daher empfehlenswert.
Standardisierung und Referenzarchitekturen
Die Reform sieht vor, dass das BSI die Bundesverwaltung bei der Umsetzung von Sicherheitsanforderungen berät, Hilfsmittel bereitstellt und Referenzarchitekturen veröffentlicht. Diese Referenzarchitekturen können in Vergabeverfahren als Rahmen für Anforderungen an Auftragnehmer und IT-Produkte dienen.
Für IT-Dienstleister, die öffentliche Auftraggeber beliefern, bedeutet das: Sicherheitsanforderungen werden stärker zentralisiert und standardisiert. Das kann den Zugang zum Markt erleichtern (klarere Vorgaben), führt aber auch zu deutlich höheren Mindestanforderungen an Produkte und Services.
Was das Gesetz für die Unternehmenspraxis bedeutet
Die neuen Regelungen werden Unternehmen unterschiedlich treffen – je nachdem, wo sie im Geflecht zwischen Technologie, Compliance und operativem Geschäft stehen. Drei Spannungsfelder sind dabei zentral.
Zwischen Cybersicherheit und Datenschutz: Die neue Melderealität
Wenn am Freitagabend ein Sicherheitsvorfall eintritt, beginnt für viele Unternehmen künftig ein Wettlauf mit der Zeit. Das dreistufige Melderegime nach NIS-2 fordert schnelle Erstmeldungen – oft bevor das genaue Ausmaß überhaupt bekannt ist. Gleichzeitig greift die DSGVO mit ihren eigenen Meldepflichten, wenn personenbezogene Daten betroffen sind.
Diese Parallelität schafft eine neue Koordinationsaufgabe: IT-Sicherheit und Datenschutz müssen eng verzahnt arbeiten, um Meldepflichten rechtzeitig und vollständig zu erfüllen. Das betrifft nicht nur die Frage, wann und an wen gemeldet wird, sondern auch die datenschutzrechtliche Bewertung von Betroffeneninformationen und die Dokumentation gegenüber Aufsichtsbehörden.
Grundrechtsrelevante Eingriffe durch BSI-Befugnisse
Hinzu kommen die neuen BSI-Befugnisse: Schwachstellenscans und Bereinigungsbefehle sind grundrechtsrelevante Eingriffe, die Art. 10 GG berühren. Unternehmen sollten intern geregelt haben, wie sie auf BSI-Hinweise zu Schwachstellen reagieren und wie diese in bestehende Incident-Response-Prozesse eingebunden werden.
Zwischen eigener Betroffenheit und Kundenpflichten: Die Doppelrolle von IT-Dienstleistern
Für Geschäftsführungen von IT-Dienstleistern stellt sich die Frage nach NIS-2 in zwei Richtungen:
Eigene Einstufung als regulierte Einrichtung
Wird das eigene Unternehmen als Anbieter von digitaler Infrastruktur oder IKT-Managementdiensten selbst zur „wichtigen“ oder „besonders wichtigen“ Einrichtung? Wer unter diese Kategorien fällt, muss ein tragfähiges Informationssicherheits-Risikomanagement etablieren, funktionierendes Incident-Handling vorhalten und gegenüber der Aufsicht nachweisen können, dass die eigenen Sicherheitsmaßnahmen dem Stand der Technik entsprechen.
Anforderungen aus der Kundenbeziehung
Welche zusätzlichen Pflichten ergeben sich, wenn man Dienstleistungen für Kunden erbringt, die ihrerseits als solche Einrichtungen eingestuft werden? Hier geht es um vertragliche Sicherheitsanforderungen, Nachweispflichten und die Frage, wie man als Dienstleister in die Compliance-Prozesse der Kunden eingebunden wird.
Die Kostenschätzung des Gesetzgebers macht klar, dass es nicht um kosmetische Anpassungen geht: 2,3 Milliarden Euro jährlicher Aufwand für die Wirtschaft insgesamt bedeuten für viele Unternehmen strukturelle Investitionen. Gleichzeitig eröffnet die neue Regelung auch Chancen: Wer frühzeitig in IT-Sicherheit investiert und diese nachweisbar umsetzt, kann das als Differenzierungsmerkmal nutzen – gerade im Markt für öffentliche Auftraggeber, wo das BSI künftig Referenzarchitekturen und Standards vorgibt.
Zwischen Rechtsgebieten: Die Querschnittsmaterie in der Rechtsabteilung
NIS-2 ist keine isolierte Regulierung, die sich in ein Handbuch „IT-Sicherheit“ einsortieren lässt. Die Beschlussempfehlung zeigt, wie eng Informationssicherheit, Beschaffungsrecht, Telekommunikationsrecht, Strafverfolgung und Datenschutz künftig miteinander verzahnt sind.
Praktisches Beispiel: Bereinigungsbefehle und Vertragspraxis
Wenn das BSI einen Bereinigungsbefehl gegenüber einem Telekommunikationsanbieter erlässt, stellt sich für Unternehmen die Frage, wie dieser Eingriff in bestehenden IT-Dienstleistungsverträgen abgebildet ist. Wer haftet bei Ausfällen? Wie sind Eskalationswege geregelt? Welche datenschutzrechtlichen Vereinbarungen gelten?
Besonderheit für die Luftfahrt
In regulierten Branchen wie der Luftfahrt kommt eine weitere Ebene hinzu: Die Kombination aus luftfahrtspezifischen Anforderungen (z.B. EASA-Vorgaben für Cybersicherheit in der Luftfahrt) und den neuen NIS-2-Pflichten erfordert eine Gesamtschau. Wo überschneiden sich die Regelungen? Wo gelten strengere Anforderungen? Welche Meldepflichten greifen parallel?
Für Rechtsabteilungen bedeutet das: NIS-2 wird zur Querschnittsaufgabe, die sich durch Vertragsmanagement, Risikobewertung und Governance-Strukturen zieht. BSI-Vorgaben werden in Ausschreibungen und Vertragsmustern auftauchen. Haftungsrisiken des Managements, Bußgeldtatbestände und Meldepflichten müssen in interne Richtlinien übersetzt werden.
Was Sie jetzt tun sollten
Die politische Entscheidung, NIS-2 mit weitreichenden Instrumenten umzusetzen, ist gefallen. Konkrete nächste Schritte:
1. Klassifizierung prüfen
Fallen Sie als „besonders wichtige“ oder „wichtige“ Einrichtung unter die NIS-2-Pflichten?
2. Risikomanagement evaluieren
Entspricht Ihr Informationssicherheitsmanagement den künftigen Anforderungen?
3. Meldeprozesse aufsetzen
Sind Ihre internen Prozesse auf das dreistufige Melderegime vorbereitet?
4. Verträge überprüfen
Wie bilden Ihre Verträge die neuen BSI-Befugnisse ab? Sind Haftungs- und Eskalationsregelungen angepasst?
5. Schnittstelle zum Datenschutz klären
Wie arbeiten Informationssicherheit und Datenschutz in Ihrem Unternehmen zusammen?
Ausblick
Die konkreten Details werden noch durch Verordnungen, BSI-Mindeststandards und die behördliche Vollzugspraxis ausgestaltet. Mit dem Bundestagsbeschluss ist aber die Richtung klar: NIS-2 wird mit einem starken BSI und klaren Aufsichtsstrukturen umgesetzt. IT-Sicherheit wird zur Pflichtaufgabe für eine breite Gruppe von Einrichtungen – nicht nur für KRITIS-Betreiber.
Unternehmen, die voraussichtlich in den Anwendungsbereich fallen, sollten jetzt handeln und ihr Sicherheits- und Compliance-Niveau realistisch bewerten.
Sie haben Fragen zur NIS-2-Umsetzung?
Die Anforderungen des NIS-2-Umsetzungsgesetzes sind komplex – insbesondere an der Schnittstelle zwischen IT-Sicherheit, Datenschutzrecht und branchenspezifischen Vorgaben.
Gerne unterstützen wir Sie bei der Bewertung Ihrer individuellen Betroffenheit und der Entwicklung eines rechtssicheren Umsetzungskonzepts. Sprechen Sie uns an.
