NIS2 - Update Q4 2025

23.09.25 07:49 PM - Von René Matis

Die Zeit läuft langsam ab...

Angesichts der fortschreitenden Digitalisierung und der eskalierenden Cyber-Bedrohungslage ist die NIS2-Richtlinie der EU ein zentrales regulatorisches Vorhaben. Für Unternehmen in Deutschland wird die Umsetzung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) verbindlich. Mit heutigem Stand vom 23. September 2025 hat der Gesetzgebungsprozess entscheidende Phasen erreicht. Dieser Beitrag fasst den aktuellen Stand, die jüngsten technischen Konkretisierungen und die nächsten Schritte für Sie zusammen.


Aktueller Legislativstand: Die Zeit drängt


Nachdem Deutschland die ursprüngliche Umsetzungsfrist (17. Oktober 2024) verstreichen ließ und die EU-Kommission im Mai 2025 ein Vertragsverletzungsverfahren einleitete, hat die Bundesregierung gehandelt. Am 30. Juli 2025 wurde der finale Regierungsentwurf des NIS2UmsuCG vom Kabinett verabschiedet. Dieser durchläuft nun das parlamentarische Verfahren in Bundestag und Bundesrat.

Es wird erwartet, dass das Gesetz Ende 2025 oder Anfang 2026 in Kraft tritt. Ein entscheidender Punkt ist, dass nach der Verkündung keine zusätzlichen Übergangsfristen vorgesehen sind. Die Anforderungen gelten somit unmittelbar ab dem Tag des Inkrafttretens.


Technische Konkretisierungen im Gesetzentwurf


Im Vergleich zu früheren Entwürfen wurden im parlamentarischen Prozess wichtige technische Details geschärft, die für Ihre Compliance-Strategie von Bedeutung sind:

  • Von "Verschlüsselung" zu "kryptographischen Verfahren": Diese Änderung ist mehr als nur eine semantische Anpassung. Sie erweitert den Fokus von der reinen Datenverschlüsselung (at-rest und in-transit) auf ein ganzheitliches Kryptokonzept. Dies schließt explizit Verfahren für das Schlüsselmanagement (Key-Lifecycle-Management), die Sicherstellung der Datenintegrität (z.B. durch Hashing und digitale Signaturen) und Authentizität mit ein. Im Rahmen der Risikoanalyse müssen Unternehmen nun die Angemessenheit ihrer gesamten kryptographischen Architektur bewerten.

  • Präzisierung der Lieferkettensicherheit: Die Verantwortung für die Sicherheit der Lieferkette wird nun auf "unmittelbare Anbieter und Dienstleister" fokussiert. Das bedeutet, dass Sie die Cybersicherheitsmaßnahmen Ihrer direkten Vertragspartner (Tier-1-Supplier) bewerten und vertraglich absichern müssen. Dies erfordert robuste Prozesse für das Third-Party-Risk-Management, einschließlich Sicherheitsaudits, vertraglicher Sicherheitsanforderungen und der Überprüfung der Sicherheitslage Ihrer wichtigsten Zulieferer.

  • Detaillierte Risikomanagementmaßnahmen: Der Entwurf konkretisiert die mindestens umzusetzenden technischen und organisatorischen Maßnahmen (TOMs) gemäß Artikel 21 der NIS2-Richtlinie. Dazu zählen unter anderem:

    • Richtlinien zur Risikoanalyse und zur Sicherheit für Informationssysteme.

    • Incident-Management: Konzepte zur Prävention, Detektion, Reaktion und Bewältigung von Sicherheitsvorfällen.

    • Business Continuity und Krisenmanagement: Dies umfasst explizit Backup-Management, Disaster Recovery-Pläne und die Fähigkeit zur Wiederherstellung des Betriebs.

    • Sicherheitsmaßnahmen in der Entwicklung: Implementierung von Security-by-Design-Prinzipien und sicheren Entwicklungsprozessen (DevSecOps), einschließlich eines strukturierten Schwachstellenmanagements (Vulnerability Handling and Disclosure).

    • Konzepte zur Wirksamkeitsprüfung: Regelmäßige Überprüfung und Bewertung der Effektivität Ihrer Cybersicherheitsmaßnahmen (z.B. durch Penetrationstests, Audits).

    • Sicherheitsbewusstsein und Schulungen: Umfassende Schulungsprogramme, die über einfache "Cyberhygiene" hinausgehen.

    • Zugriffskontrolle und Asset Management: Strikte Richtlinien für den Zugriff auf Systeme und Daten (z.B. nach dem Need-to-know-Prinzip) und ein vollständiges Inventar Ihrer IT-Assets.

    • Einsatz von Multi-Faktor-Authentifizierung (MFA) oder vergleichbaren Lösungen zur starken Authentifizierung für alle relevanten Zugänge.



Verschärftes, mehrstufiges Meldeverfahren


Die Meldepflichten bei erheblichen Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden technisch präzisiert und sind streng gestaffelt:

  1. Erstmeldung (innerhalb von 24 Stunden): Unverzüglich nach Kenntniserlangung muss eine initiale Meldung erfolgen. Diese soll angeben, ob der Verdacht auf eine rechtswidrige oder böswillige Handlung besteht und ob grenzüberschreitende Auswirkungen möglich sind.

  2. Bewertungsmeldung (innerhalb von 72 Stunden): Eine detailliertere Meldung mit einer ersten Bewertung des Vorfalls, einschließlich Schweregrad, Auswirkungen und, falls verfügbar, erster Kompromittierungsindikatoren (Indicators of Compromise, IoCs).

  3. Abschlussbericht (innerhalb eines Monats): Ein finaler Bericht, der eine ausführliche Beschreibung des Vorfalls, der Ursache, der getroffenen Abhilfemaßnahmen sowie der grenzüberschreitenden Auswirkungen enthält.



Ausblick und Handlungsempfehlung


Die Verabschiedung des NIS2UmsuCG ist nur noch eine Frage von Wochen. Die Zeit des Abwartens ist vorbei. Unternehmen, die in den Anwendungsbereich fallen, müssen jetzt ihre technischen und organisatorischen Weichen stellen. Überprüfen Sie Ihre bestehenden Prozesse und Maßnahmen anhand der oben genannten technischen Anforderungen. Insbesondere die Implementierung eines umfassenden Risikomanagements, die Absicherung Ihrer direkten Lieferanten und die Etablierung eines reaktionsschnellen, mehrstufigen Meldewesens erfordern sofortige Aufmerksamkeit.

Jetzt Beratungstermin buchen

René Matis

Kategorien :
Tags :