Am 13. November 2025 hat der Deutscher Bundestag nach über einem Jahr Verzögerung das Gesetz zur Umsetzung der NIS2-Richtlinie verabschiedet. Damit setzt Deutschland die neue EU-Cybersecurity-Norm nun doch in nationales Recht um – und zwar mit unmittelbaren Konsequenzen für große Teile der Wirtschaft und Verwaltung.
Deutlich erweiterter Anwendungsbereich – auch Ihr Unternehmen kann betroffen sein
Ein zentraler Punkt des Gesetzes ist die Ausweitung kritischer Infrastrukturen: Zukünftig sind deutlich mehr Unternehmen verpflichtet, besondere Sicherheitsvorkehrungen zu treffen und bei Sicherheitsvorfällen umfangreiche Meldepflichten zu erfüllen Neben klassischen Betroffenen wie Energieversorgern oder Telekommunikationsanbietern rücken nun weitere Sektoren in den Fokus. Auch nachgelagerte Bundesbehörden werden künftig denselben Anforderungen unterliegen wie regulierte Unternehmen. Für Geschäftsführer, CIOs und IT-Leiter heißt das: Auch wenn Ihr Unternehmen bisher nicht im klassischen KRITIS-Umfeld war, kann es jetzt in den Anwendungsbereich fallen.
Definition kritischer Komponenten durch das Bundesinnenministerium
Eine besonders spannende und zugleich kontroverse Neuerung im Gesetz ist: Das Bundesinnenministerium erhält die Befugnis, in Abstimmung mit anderen Ressorts bestimmte „kritische Komponenten“ zu definieren und deren Einsatz eigenständig zu untersagen. Das schafft Gestaltungsspielräume – aber auch erhebliche Unsicherheit, etwa für IT-Lieferketten oder für System- und Komponenten-anbieter. Unternehmen sollten proaktiv prüfen: Wo könnten wir betroffen sein? Welche Komponenten könnten entsprechend definiert werden? Welche Auswirkungen hätte ein Verbot?
Die Umsetzung stellt Unternehmen vor Herausforderungen
Die praktische Umsetzung der umfangreichen Anforderungen dürfte für viele Organisationen anspruchsvoll werden. Insbesondere die Anpassung des nationalen KRITIS-Dachgesetzes wird noch folgen, und das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird dabei eine zentrale Unterstützerrolle spielen. Unternehmen sollten daher nicht einfach abwarten, sondern frühzeitig mit der Analyse beginnen: Ist unser Risikomanagement ausreichend? Sind unsere Meldeprozesse bei Sicherheitsvorfällen aufgesetzt? Entsprechen unsere Lieferketten- und Komponentenbewertungen bereits dem erhöhten Anspruch?
Quelle: it-daily.net
Ihr nächster Schritt – Jetzt handeln, nicht nur reagieren
Für Sie als Geschäftsführer oder IT-Leiter heißt es: Die Weichenstellung muss jetzt erfolgen. Überprüfen Sie kritisch:
- Fällt Ihr Unternehmen bereits unter die neue Definition eines „betroffenen Unternehmens“?
- Welche technischen und organisatorischen Maßnahmen sind bereits vorhanden – und wo bestehen Lücken?
- Wie gut sind Ihre Prozesse zur Meldung von Cybervorfällen dokumentiert und geübt?
- Welche Komponenten in Ihrer Infrastruktur könnten künftig als „kritisch“ definiert werden – und wie können Sie sich darauf vorbereiten?
Nutzen Sie die Gelegenheit, Sicherheit und Compliance in einem strategischen Projekt zu verbinden – statt erst dann zu reagieren, wenn die Meldepflicht greift oder ein Lieferkettenverbot droht. Die Umsetzung von NIS2-Anforderungen ist kein IT-Kleinkram, sondern ein geschäftskritisches Thema für alle Führungsebenen.
Für eine vertiefte Analyse oder Beratung zur konkreten Umsetzung stehen wir Ihnen gern zur Verfügung.
