Wir stellen heute die etwas provokante Frage: „Hat die deutsche Regierung NIS-2 vergessen?“ und schauen, wie der aktuelle Stand zur Sommerpause 2025 aussieht.
Was ist NIS-2 und das NIS2UmsuCG?
Die NIS-2 Richtline wurde am 14. Dezember 2022 im europäischen Parlament beschlossen und sollte ab dem 17. Oktober 2024 Anwendung in den einzelnen Mitgliedstaaten finden. Ziel ist es, einen einheitlichen IT-Sicherheitsstandard für Firmen in Europa festzulegen und somit die europäischen Staaten besser vor Cyberattacken zu schützen.
NIS2UmsuCG ist das deutsche Gesetz, welches die Umsetzung der Richtlinie in Deutschland regeln wird. Ursprünglich sollte dieses auch passend zum 17. Oktober 2024 fertig werden. An für sich standen die meisten Maßnahmen für die zukünftige Cybersecurity Ende 2024 fest. Dennoch konnte sich die Ampelregierung nicht einigen. Dadurch und durch die Neuwahlen verzögerte sich die Verabschiedung jedoch deutlich. Mit der neuen Regierung wurde es dann erst einmal still um das Gesetz.
Ist das Thema NIS-2 nun erst einmal vom Tisch?
Tatsächlich nicht. Das Gesetz muss durch den Regierungswechsel noch einmal den gesamten Weg vom Referentenentwurf bis zum Gesetz gehen. Im Mai 2025 wurde die Arbeit dazu wieder verstärkt aufgenommen und der erste Referentenentwurf wurde in der neuen Regierung entwickelt. Am 23. Juni 2025 gab es die letzte Kabinettsabstimmung und seit dem 25. Juli auch eine entsprechende Kabinettsversion. Die Mühlen arbeiten langsam, aber sie malen immerhin wieder. Das Thema ist damit nicht vom Tisch , sondern nach einigen Verzögerungen auch wieder aktuell in der Politik. Dennoch wird es noch einen Moment dauern, bis es durch den Bundesrat und dann schlussendlich auch durch den Bundestag gegangen ist, um ein vollständiges Gesetz zu werden.
Ist in der aktuellen Kabinettsversion alles eindeutig geregelt?
Einige Punkte sind immer noch unklar und eher schwammig beschrieben. Beispielsweise gibt es die Möglichkeit die Rolle bestimmter kritischer Unternehmen als vernachlässigbar einzustufen. Hier sind die Schwellenwerte nicht klar definiert, so dass nicht deutlich wird, welche Unternehmen, sich darunter einstufen können. Auch die Regelung zu kritischen Komponenten ist noch nicht final geregelt. Der Breko (Bundesverband Breitbandkommunikation) befürchtet, dass dies den Ausbau von Glasfasernetzen erheblich stören könnte.
Für öffentliche Stellen scheint der aktuelle Entwurf ein Hintertürchen offen halten zu wollen, um diese von dem eigentlichen Gesetz befreien zu können. Dies wird von mehreren Stellen kritisch betrachtet. Öffentliche Stellen nicht einmal gleichzusetzen mit wichtigen Unternehmen, ist nicht gerechtfertigt. Es kam in den vergangenen Jahren zu verstärkten Angriffen auf Behörden und das wird auch in Zukunft nicht abnehmen. Allein dies sollte ein Zeichen dafür sein, dass auch öffentliche Einrichtungen mehr Sicherheit benötigen. Hinzu kommt, dass in diesen Bereichen häufiger mit veralteter IT gearbeitet wird, die anfälliger für Sicherheitslücken ist.
Es bleibt abzuwarten, ob diese Punkte in der nächsten Instanz abschließend geklärt werden können und wie die Bundesregierung noch Änderungen einbringt.
Was bedeuten diese Verzögerungen für Deutschland?
Zunächst einmal gibt es zwar bereits Sanktionsandrohungen durch die EU. Aber bis diese wirklich umgesetzt werden, kann es noch etwas dauern. Für Unternehmen hingegen bedeutet es zunächst noch einmal eine gewisse weitere „Gnadenfrist“ bis das Gesetz tatsächlich festgesetzt ist und Maßnahmen verpflichtend werden. Allerdings raten wir Unternehmen dennoch dazu sich ihrer anstehenden Verantwortung bewusst zu werden. Die meisten Anforderungen an Unternehmen stehen schon fest und man kann bereits jetzt viel tun, um die eigene Cybersecurity zu erhöhen. Leider scheinen viele damit zu warten, bis das Gesetz wirklich endgültig feststeht. Dabei beachten vor allem Geschäftsführer gleich zwei Punkte nicht ausreichend:
1. Das Gesetz fordert nur ein Mindestmaß an IT-Sicherheit für wichtige Unternehmen. Alle die diesen nicht haben, werden zukünftig ein ganz anderes Problem haben als gegen ein zukünftiges Gesetz zu verstoßen. Viel schwerwiegender und naheliegender ist ein gelungener Cyberangriff. Dieser kann nämlich dafür sorgen, dass eine Firma komplett insolvent geht.
2. Bereits jetzt gibt es einen Mangel an IT-Experten und IT-Sicherheitsspezialisten. So bald das NIS-2 Gesetz verabschiedet wurde, werden einige Unternehmen sich zeitgleich an die Umsetzung machen. Durch diese beiden Faktoren, wird sich der Fachkräftemangel noch stärker erhöhen und es kann passieren, dass sich die eigentliche Umsetzung ungewollt deutlich verzögern wird. Auch wenn es eine gewisse Übergangsfristen geben wird, wird es wenig Nachsicht geben und es drohen Sanktionen für Unternehmen und Geschäftsführer.
Fazit
Auf die gestellte Frage, ob die Regierung die NIS-2 Richtlinie vergessen hat, gibt es eine klare Antwort: Nein, es wurde nicht vergessen. Tatsächlich sind gerade medial nur andere Themen der Bundesregierung wichtiger, auch wenn weiter an dem Gesetz zur Cybersicherheit gearbeitet wird. Ob es bis Ende des Jahres verabschiedet wird, lässt sich nur schwer abschätzen. Wir raten aber unabhängig davon dazu, sich bereits jetzt darum zu kümmern. Es geht dabei nicht nur, etwas salopp gesagt, um irgendein Gesetz, sondern es geht darum Ihr Unternehmen vor Cyberangriffen zu schützen.