Gesetzesentwurf modernisiert IT-Sicherheitsrecht umfassend
Bundesregierung bringt Umsetzung der NIS-2-Richtlinie auf den Weg
Donnerstag, 31. Juli 2025
| Redaktion
Teilen auf:
Präsidentin des BSI - Claudia Plattner
Präsidentin des BSI Claudia Plattner, Bild: BSI

Mit dem Regierungsentwurf zur Umsetzung der NIS-2-Richtlinie modernisiert die Bundesregierung das deutsche IT-Sicherheitsrecht grundlegend. Ziel ist es, der verschärften Bedrohungslage im Cyber-Raum mit einem robusteren Regelwerk zu begegnen. Der Entwurf erweitert den Kreis der regulierten Organisationen erheblich: Statt bislang rund 4.500 werden künftig etwa 29.500 Einrichtungen unter das novellierte BSI-Gesetz fallen. Diese sind künftig unter anderem zur Registrierung, zur Meldung erheblicher Sicherheitsvorfälle sowie zur Umsetzung umfassender Risikomanagementmaßnahmen verpflichtet. Dazu zählen Risikoanalysen, Notfallpläne, Sicherheit der Lieferkette und Schulungsprogramme. Die Richtlinie macht Cyber-Sicherheit außerdem zur Aufgabe der Geschäftsleitung.

BSI-Präsidentin Claudia Plattner betont: „Mit dem heutigen Regierungsentwurf geht Deutschland einen wichtigen Schritt in Richtung einer resilienten Cyber-Nation. Um Wohlstand und Stabilität weiterhin sichern zu können, müssen Wirtschaft und Staat sich besser gegen Cyber-Gefahren wappnen. Die Wirtschaft braucht dabei Planungssicherheit: Unternehmen müssen schnell und rechtssicher feststellen können, ob sie von der NIS-2-Richtline betroffen sind. Das BSI unterstützt sie dabei mit Beratungsangeboten schon heute und wird die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten. Für den Cyber-Schutz des Staates ist der Regierungsentwurf ebenfalls ein wichtiger Meilenstein: Dass Einrichtungen der Bundesverwaltung BSI-Standards wie den IT-Grundschutz umsetzen, ist dafür wesentliche Voraussetzung. Der stetig wachsenden Bedrohungslage im Cyber-Raum muss besonders in der Bundesverwaltung zudem eine wirkungsvolle Antwort in Form einer robusten IT-Governance-Struktur entgegengesetzt werden. Diese Struktur sollte sich über alle Ressorts, Behörden und Institutionen der Bundesverwaltung erstrecken und dem Ziel dienen, IT-Sicherheit gemeinsam zu organisieren und kontinuierlich zu verbessern."

Bitkom sieht Nachbesserungsbedarf bei der NIS-2-Umsetzung

Der Digitalverband Bitkom begrüßt grundsätzlich die Initiative, fordert jedoch eine präzise und EU-konforme Umsetzung. Präsident Ralf Wintergerst kritisiert, dass die Bundesverwaltung von den strengeren Vorgaben ausgenommen bleibt. Zudem fehlten klare Kriterien für Unternehmen, deren kritische Tätigkeitsbereiche nur einen Teil des Geschäfts ausmachen. Auch eine bessere Abstimmung mit der CER-Richtlinie sei notwendig. Das parlamentarische Verfahren müsse genutzt werden, um diese Punkte zügig zu klären.

Tüv-Verband fordert präzisere Regelungen

Auch der Tüv-Verband sieht im aktuellen Entwurf Handlungsbedarf. Kritisch bewertet werden unter anderem unklare Ausnahmeregelungen, unzureichende Nachweispflichten und die fehlende Einbindung unabhängiger Prüforganisationen. Zudem seien die Anforderungen an die Absicherung der Lieferkette, beispielsweise die Forderung „Security by Design“, zu vage formuliert. Hier fordert der Verband konkrete Orientierungshilfen und Mindestanforderungen, um Umsetzungssicherheit für Unternehmen zu schaffen.

Chemieindustrie warnt vor uneinheitlichem Sicherheitsniveau

Der Verband der Chemischen Industrie VCI kritisiert, dass der aktuelle Gesetzentwurf kein einheitliches Sicherheitsniveau auf Bundes-, Länder- und Kommunalebene gewährleiste. Geschäftsführer Johann-Peter Nickel bemängelt darüber hinaus unklare Rechtsbegriffe und fehlende Konsistenz zwischen gesetzlichen Vorgaben und bestehenden Regelwerken. Positiv bewertet der VCI, dass die Definitionen zur Einstufung als „wichtige Einrichtung" präzisiert wurden, was insbesondere kleineren Unternehmen mehr Klarheit verschaffe. Dennoch sei eine stärkere Orientierung an den Vorgaben des EU-Rechts notwendig.

Fazit: NIS-2-Regulierung als Chance mit Optimierungspotenzial

Die geplante Umsetzung der NIS-2-Richtlinie in deutsches Recht stellt einen wichtigen Schritt zur Stärkung der Cyber-Sicherheit dar. Die breite Einbindung neuer Unternehmen und die verbindliche Verantwortlichkeit der Geschäftsleitungen setzen deutliche Signale. Gleichzeitig zeigt sich jedoch, dass zentrale Details noch im parlamentarischen Verfahren geklärt werden müssen, um Rechtsklarheit und Praxistauglichkeit zu gewährleisten.

Auch interessant für Sie

NIS-2-Richtlinie stellt höhere Anforderungen an Zutrittskontrolle und Datenschutz
Dr. Dirk Stenkamp, Vorsitzender des Vorstands bei Tüv Nord, Bild: Frauke Schumann / Tüv Nord
Susanne Dehmel, Mitglied der Geschäftsleitung Recht & Sicherheit, beurteilt den Getzentwurf zur Stärkung von Cyber-Sicherheit
Datensicherheit
2025 sind eine Reihe von neuen Verordnungen, u.a. für technische Sicherheit in Kraft getreten
Cyber-Security für kleine und mittlere Unternehmen
Keywords:
NIS-2 Cybersecurity Security Bitkom Tüv