NIS2 Update – Stellungnahme des Bundesamtes

Die NIS2-Richtlinie (EU) 2022/2555 ist das zentrale EU-Gesetz für Cybersicherheit und ersetzt die frühere NIS-Richtlinie aus dem Jahr 2016. Sie legt verbindliche Standards fest, wie Unternehmen und öffentliche Einrichtungen ihre IT-Systeme schützen, Risiken bewerten und Sicherheitsvorfälle melden müssen. Ziel ist, die digitale Widerstandsfähigkeit (Resilienz) in Europa deutlich zu erhöhen – damit kritische Infrastrukturen, digitale Dienste und Lieferketten auch im Krisenfall funktionsfähig bleiben.

Mit dem neuen NIS2 UmsuCG gelten die Regelungen in Deutschland nun rechtsverbindlich.
Das BSI erhält zusätzliche Aufsichts- und Eingriffsbefugnisse, um Unternehmen zu überwachen und Verstöße zu sanktionieren.

Die Richtlinie gilt für „wesentliche“ und „wichtige“ Einrichtungen – darunter Energie, Gesundheit, Transport, digitale Dienste, Cloud-Anbieter, Postdienste, Finanzwesen, Abfallwirtschaft, öffentliche Verwaltung sowie weitere Sektoren.

Cybersicherheit ist keine Technikerpflicht mehr – sie ist jetzt gesetzlich verankerte Führungs- und Managementverantwortung.

Mit dem in Kraft getretenen NIS2UmsuCG sind Mindeststandards, Meldepflichten, technische Anforderungen und Aufsichtsbefugnisse festgelegt.
Vor dem Beschluss hatte das BSI in seiner Stellungnahme deutlich gemacht, wie wichtig ein starkes Gesetz für die nationale Resilienz ist. Viele dieser Forderungen flossen in das finale Gesetz ein.

Unternehmen müssen ab sofort:

• Risiken systematisch bewerten
• Vorfälle fristgerecht melden
• Governance-Strukturen nachweisen
• technische und organisatorische Maßnahmen dokumentieren
• ihre Lieferketten stärker prüfen

Die Übergangszeit ist kurz – deshalb gilt jetzt: Umsetzung ist Pflicht, nicht Vorbereitung.

a) Scope & Klassifizierung

Prüfe, ob dein Unternehmen nach dem neuen Gesetz als „wesentlich“ oder „wichtig“ gilt – verbindlich definiert nach Branche, Größe, Vernetzung und Marktrolle.
Auch Zulieferer, IT-Dienstleister und EU-Tochtergesellschaften können betroffen sein.

b) Melde- und Dokumentationspflichten

Das Gesetz schreibt feste Fristen vor:

• 24 h: Early Warning
• 72 h: Incident Report
• 30 Tage: Abschlussbericht

Unternehmen müssen alle Sicherheitsmaßnahmen, Audit-Logs, Risikoanalysen und Incident-Prozesse lückenlos dokumentieren.

c) Governance & Verantwortung

Geschäftsführung und Aufsichtsorgane tragen direkte Haftung für Cybersicherheit.
Zu den Pflichten gehören:

• Sicherheitsstrategie
• Schulungen
• Risikobewertungen
• regelmäßige Reviews
• Einrichtung klarer Rollen und Eskalationswege

d) Technische Anforderungen & Lieferkette

Verpflichtende Maßnahmen orientieren sich u. a. an ISO 27001 und BSI-Grundschutz:

• Monitoring & Erkennung
• Netzsegmentierung
• Backup & Recovery
• Patch-Management
• Lieferantenbewertung und due diligence

Die folgenden Punkte stammen aus der BSI-Stellungnahme (10. Oktober 2025). Einige flossen in das Gesetz ein, andere dienen als fachliche Orientierung:

1. „CISO Bund“ – zentraler Sicherheitsverantwortlicher für Bundesverwaltung
2. Erweiterte technische Befugnisse für Resilienz-Scans, C2-Tracking, Warnhinweise
3. Verbesserte Botnetz- und Phishing-Abwehr
4. Stärkere BSI-Rolle im Energiesektor
5. Rechtssicherheit für KMU (klare Definition der Schwellenwerte)
6. Aufbau einer erweiterten Cyber-Sensorik & Datenbasis
7. CVD-Prozess gesetzlich verankern – Schutz für Security Research
8. Nationales Resilienzprogramm „CyberGovSecure“

Diese Forderungen sind nicht vollständig gesetzlich umgesetzt, bieten aber wichtige Orientierung für eine robuste Sicherheitsstrategie.

• Unklare Verantwortlichkeiten
• Fehlende oder falsche Scope-Analyse
• Unzureichende Vorbereitung auf 24/7-Meldepflichten
• Lücken in der Lieferkettendokumentation
• Einmalige statt kontinuierliche Sicherheitsmaßnahmen
• Fehlende Management-Schulungen trotz Haftungsrisiko

NIS2 verlangt eine fortlaufende Bewertung, Dokumentation und Verbesserung der Sicherheitslage.
Mit heyData kannst du:

• Audit 
• Persönliche Beratung
• Mitarbeiterschulungen
• Vendor Risk Management
• Vollständige Dokumentation

So gelingt Compliance ohne Overhead – und bleibt dauerhaft aktuell.

Mit NIS2 beginnt eine neue Phase regulierter IT-Sicherheit in Europa. Weitere Regulierungen wie der EU AI Act, CSRD oder das revDSG in der Schweiz folgen demselben Muster: Automatisierte, integrierte Compliance wird zum Standard.

Wer jetzt in Cybersecurity und Governance investiert, stärkt langfristig Resilienz und Wettbewerbsfähigkeit.

Die NIS2-Richtlinie macht Cybersicherheit zur verbindlichen Managementpflicht. Das neue deutsche Gesetz setzt klare Standards, verbindliche Meldefristen und umfassende Anforderungen an Governance, Technik und Dokumentation.

Mit digitalen und automatisierten Lösungen wie heyData lässt sich der Aufwand reduzieren – und die Nachweisfähigkeit gegenüber Behörden, Partnern und Kunden deutlich stärken.

Was ist die NIS2-Richtlinie?

Ein EU-weit einheitlicher Rechtsrahmen für Cybersicherheit, Meldepflichten und staatliche Aufsicht.

Wann tritt sie in Kraft?

Deutschland hat das NIS2UmsuCG am 13.11.2025 verabschiedet. Das Gesetz tritt mit Veröffentlichung im Bundesgesetzblatt in Kraft.

Wer ist betroffen?

Unternehmen aus 18 definierten Branchen mit mindestens 50 Beschäftigten oder einem Umsatz von 10 Millionen fallen unter die NIS-2. Ein bisschen detaillierter sein in diese FAQ wäre gar nicht so schlecht

Was sind die Hauptpflichten?

Scope-Analyse, Governance, Incident-Management, technische Kontrollen, Dokumentation, Lieferkettenkontrollen.

Welche Sanktionen gelten?

Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.

Wie kann heyData helfen?

Durch zentrale Compliance-Automatisierung, Echtzeit-Monitoring, Audit-Dokumentation und integrierte Schulungen.