Magazin
NIS2-Umsetzung in Deutschland: Wie ist der aktuelle Stand beim NIS2UmsuCG?

NIS2-Umsetzung in Deutschland: Wie ist der aktuelle Stand beim NIS2UmsuCG?

Letztes Update:
29
.
07
.
2025
Lesezeit:
0
Min
Während Länder wie Italien und Belgien die NIS2-Richtlinie bereits in nationales Recht umgesetzt haben, hinkt Deutschland bei der NIS2-Umsetzung hinterher. Wann tritt das „NIS2UmsuCG“ für Deutschland in Kraft und was müssen die über 30.000 betroffenen Unternehmen jetzt schon wissen?
NIS2-Umsetzung in Deutschland: Wie ist der aktuelle Stand beim NIS2UmsuCG?
Die wichtigsten Erkenntnisse
  • Die NIS2-Umsetzung in Deutschland hätte zum 17. Oktober 2024 erfolgen sollen. Diese Frist hat Deutschland verpasst
  • Aktuell (Stand August 2025) befindet sich ein neuer Referentenentwurf in Abstimmung.
  • Ein konkretes Datum für die Umsetzung von NIS2 in Deutschland gibt es nicht, aber ein Gesetz könnte noch 2025 verabschiedet werden.
  • Zusätzlich zu KRITIS-Betreibern erweitert NIS2 den Anwendungsbereich auf mehr Branchen, strenge Sicherheitsanforderungen für kritische Dienste.
  • Da das NIS2UmsuCG keine Übergangsfristen vorsieht, sollten Unternehmen sich frühzeitig vorbereiten.

NIS2-Umsetzungsgesetz: Mehr Sicherheit für infrastrukturkritische Branchen

In der heutigen digitalen Ära sind Sicherheitsmaßnahmen von entscheidender Bedeutung, insbesondere für Unternehmen, die kritische Infrastrukturen betreiben oder digitale Dienste anbieten. Die Europäische Union reagiert auf diese Bedrohung mit NIS2 (Netzwerk- und Informationssicherheit). 2022 hat die EU mit der NIS2-Bestimmung eine entsprechende Richtlinie auf den Weg gebracht, die „eine Kultur der Sicherheit in allen Sektoren, die für unsere Wirtschaft und Gesellschaft von entscheidender Bedeutung sind“ und einheitlich hohe Sicherheitsstandards für alle Mitgliedsstaaten schaffen soll. Die NIS2-Richtlinie bringt deutlich mehr Verpflichtungen für betroffene Unternehmen und Organisationen mit sich als ihr Vorgänger NIS1

Alles über NIS2

Was bedeutet die NIS2-Richtlinie für Ihr Unternehmen und welche Pflichten kommen mit der NIS2-Umsetzung in Deutschland auf Sie zu? Unser Leitfaden bringt Klarheit.

Zum kostenlosen NIS2-Leitfaden

Was ist das NIS2UmsuCG und wer ist betroffen?

Alle EU-Staaten hatten bis Oktober 2024 Zeit, NIS2 in nationales Recht umzuwandeln. Die NIS2-Umsetzung in Deutschland soll durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erfolgen. Allerdings hat die Bundesrepublik die Umsetzungsfrist längst überschritten. Die Umsetzung hat sich unter anderem durch lange Abstimmungsschleifen und die Neuwahlen verzögert.

Zusammen mit dem KRITIS-Dachgesetz betrifft NIS2 eine größere Anzahl an Einrichtungen. Experten gehen davon aus, dass rund 30.000 Unternehmen und Organisationen betroffen sein werden. Ein deutlicher Anstieg zur bisherigen Regelung. In unserem Magazin erfahren Sie, welche Unternehmen konkret von der NIS2-Richtlinie betroffen sind.

Kernziele der deutschen Umsetzung der NIS2-Richtlinie

Das NIS2-Umsetzungsgesetz verfolgt mehrere zentrale Ziele:

1. Erhöhung der Cybersicherheit durch verbesserte Schutzmaßnahmen

Das Gesetz verlangt von Unternehmen und Organisationen robustere Sicherheitsvorkehrungen, um Cyberangriffe besser zu verhindern und die digitale Infrastruktur widerstandsfähiger zu machen. Dazu gehören technische und organisatorische Maßnahmen, wie etwa die Implementierung eines Informationssicherheits-Managementsystems (ISMS) oder der regelmäßige Einsatz von Risikoanalysen und Penetrationstests.

2. Harmonisierung der Cybersicherheitsstandards innerhalb der EU

Mit der NIS2-Umsetzung werden einheitliche Cybersicherheitsanforderungen für Unternehmen in der gesamten EU geschaffen. Dies erleichtert insbesondere grenzüberschreitend tätigen Unternehmen die Compliance mit Sicherheitsstandards und sorgt für eine einheitliche Mindestanforderung an die IT-Sicherheit.

3. Stärkung kritischer Infrastrukturen gegen Cyberbedrohungen

Die Vorschriften betreffen vornehmlich kritische Infrastrukturen sowie Einrichtungen aus wichtigen Branchen wie Gesundheitswesen, Energieversorgung, Verkehr, Finanzwesen und öffentliche Verwaltung. Ziel ist es, die Widerstandsfähigkeit gegenüber Cyberangriffen zu verbessern, um eine Unterbrechung wichtiger Dienstleistungen zu vermeiden.

4. Verbesserung der Krisenbewältigung bei Cybervorfällen

Mit dem NIS2UmsuCG sollen staatliche und unternehmensinterne Reaktionsmechanismen auf Cybervorfälle verbessert werden. Dazu gehören:

  • Verpflichtende Notfallpläne für IT-Sicherheitsvorfälle
  • Schnellere Erkennung und Reaktion auf Cyberangriffe
  • Bessere Koordination zwischen Behörden und Unternehmen im Krisenfall

5. Erweiterung der Meldepflichten für Cybervorfälle

Unternehmen müssen Cyberangriffe und IT-Sicherheitsvorfälle schneller und detaillierter melden. Diese verschärften Meldepflichten sollen eine frühzeitige Reaktion auf Bedrohungen ermöglichen und helfen, Angriffe auf nationale und europäische Infrastrukturen effizienter zu bekämpfen.

Aktueller Stand der NIS2-Richtlinie: Umsetzung in Deutschland noch offen

Deutschland hat die NIS2-Umsetzung nicht fristgerecht zum Stichtag 17. Oktober 2024 implementiert. Durch den Bruch der Ampel-Koalition und die Neuwahlen im Februar 2025 könnte das NIS2-Umsetzungsgesetz erst Ende 2025 oder Anfang 2026 verabschiedet werden.  

Seit Juni 2025 gibt es einen neuen Referentenentwurf des Bundesinnenministeriums, den nun unter anderem die Bundesländer und Verbände kommentieren dürfen, bevor im nächsten Schritt ein Regierungsentwurf entstehen kann.

Obwohl sich die Umsetzung verzögert, sollten Unternehmen nicht auf das Inkrafttreten warten, sondern bereits jetzt handeln. Zwar ist es unwahrscheinlich, dass deutsche Behörden schon jetzt entsprechende NIS2-Nachweise sehen wollen. Allerdings könnten Unternehmen aus EU-Ländern, in denen die NIS2-Umsetzung bereits erfolgt ist, entsprechende Belege anfordern. Außerdem sind für die Umsetzung der NIS2-Richtlinie in Deutschland keine Übergangsfristen vorgesehen.  

Aktueller Stand der NIS2-Richtlinie: Umsetzung in Deutschland noch offen

Deutschland hat die NIS2-Umsetzung nicht fristgerecht zum Stichtag 17. Oktober 2024 implementiert. Durch den Bruch der Ampel-Koalition und die Neuwahlen im Februar 2025 könnte das NIS2-Umsetzungsgesetz erst Ende 2025 oder Anfang 2026 verabschiedet werden.  

Seit Juni 2025 gibt es einen neuen Referentenentwurf des Bundesinnenministeriums, den nun unter anderem die Bundesländer und Verbände kommentieren dürfen, bevor im nächsten Schritt ein Regierungsentwurf entstehen kann.

Obwohl sich die Umsetzung verzögert, sollten Unternehmen nicht auf das Inkrafttreten warten, sondern bereits jetzt handeln. Zwar ist es unwahrscheinlich, dass deutsche Behörden schon jetzt entsprechende NIS2-Nachweise sehen wollen. Allerdings könnten Unternehmen aus EU-Ländern, in denen die NIS2-Umsetzung bereits erfolgt ist, entsprechende Belege anfordern. Außerdem sind für die Umsetzung der NIS2-Richtlinie in Deutschland keine Übergangsfristen vorgesehen.  

So gelingt die Umsetzung von NIS2 in Deutschland in der Praxis

Die Implementierung des NIS2-Umsetzungsgesetzes erfordert eine proaktive Herangehensweise und die Zusammenarbeit verschiedener Abteilungen innerhalb eines Unternehmens.

  • Bewertung der Betroffenheit: Identifizierung, ob das Unternehmen nach NIS2 als Betreiber wesentlicher Dienste oder als digitaler Diensteanbieter qualifiziert ist. Davon hängt u. a. ab, welche Anforderungen konkret gelten.
  • Implementierungsplan: Entwicklung eines detaillierten Plans zur Umsetzung der erforderlichen Maßnahmen.
  • Schulungen: Schulung der Mitarbeiter über die neuen Anforderungen und Best Practices.
  • Sicherheitsbewusstsein: Förderung eines Sicherheitsbewusstseins auf allen Ebenen des Unternehmens.
  • Regelmäßige Audits: Durchführung regelmäßiger Audits und Überprüfungen, um die Einhaltung der Richtlinie sicherzustellen.
  • Technologische Unterstützung: Einsatz von spezialisierten Cybersicherheits-Tools und -Lösungen.

Was passiert bei Verstößen gegen das NIS2UmsuCG?

Implementieren Unternehmen nicht die geforderten Sicherheitsmaßnahmen oder versäumen ihre Meldepflichten, sieht der bisherige Entwurf des deutschen NIS2-Umsetzungsgesetzes erhebliche Geldstrafen vor. Die Höhe der Bußgelder variiert je nach Art der Einrichtung und Schwere des Verstoßes:

  • Besonders wichtige Einrichtungen und Betreiber kritischer Anlagen: Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens – je nachdem, welcher Betrag höher ist.
  • Wichtige Einrichtungen: Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes des Unternehmens – abhängig davon, welcher Betrag höher ist. 

Die NIS2-Umsetzung in Deutschland betont darüber hinaus die Verantwortung der obersten Führungsebene für die Cybersicherheit. Bei Verstößen können Mitglieder der Geschäftsleitung persönlich haftbar gemacht werden, insbesondere wenn sie ihre Überwachungs- und Umsetzungspflichten vernachlässigen.

Mögliche Verstöße bei NIS2, die erhebliche Strafen mit sich ziehen, sind beispielsweise: Unternehmen sind verpflichtet, angemessene technische und organisatorische Sicherheitsvorkehrungen zum Schutz ihrer IT-Infrastruktur zu implementieren. Ein Versäumnis dieser, stellt einen Verstoß dar, der mit Bußgeldern geahndet werden kann. Ein weiteres Beispiel ist die verspätete oder unterlassene Meldung von Sicherheitsvorfällen. Zudem können unvollständige oder fehlerhafte Mitteilungen an Kunden oder die Öffentlichkeit bei NIS2 ebenfalls unter Strafe gestellt werden.

Fazit: Jetzt handeln und auf die NIS2-Umsetzung vorbereitet sein

Das NIS2-Umsetzungsgesetz stellt eine wichtige Entwicklung im Bereich der Cybersicherheit dar und hat weitreichende Auswirkungen auf Unternehmen in Deutschland. Durch die Erfüllung der Vorgaben können Unternehmen nicht nur ihre eigene Sicherheit verbessern, sondern auch zur eigenen Cyberresilienz und der Resilienz des gesamten digitalen Ökosystems beitragen.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
IT-Sicherheit
Datenschutz im Unternehmen
Technisch organisatorische Maßnahmen
NIS2
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von datenschutzexperte.de dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Stefan Rühl
Information Security Lead
In seiner Funktion als Leiter des Bereiches InfoSec und als ISO27001 Lead Auditor unterstützt Stefan unsere Kunden bei der Implementierung- und Optimierung von ISMS Systemen. Sein spezieller Bereich ist der Aufbau von BCM-Umgebungen, Notfall- und Krisenstäben sowie die Erstellung und Verprobung von Notfallprozessen, sowohl bei KMUs als auch bei Konzernstrukturen. Darüber hinaus berät er Geschäftsführer und Vorstände bei der Entscheidungsfindung zur Cyberresilienz und der Optimierung von IT-Organisationen.
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

First Party Data: Der Schlüssel für datenschutzkonformes Marketing
08
.
04
.
2025
First Party Data: Der Schlüssel für datenschutzkonformes Marketing
Damit Unternehmen zielgruppenspezifisch kommunizieren können, benötigen sie Informationen über potenzielle Kunden und ihre Bedürfnisse. Mit First Party Data erhalten Sie diese Kundendaten ohne den Umweg über Drittanbieter. Erfahren Sie in diesem Artikel alles, was Sie über First Party Data wissen müssen.
Telegram und Datenschutz: Diesen Gefahren sind User ausgesetzt
09
.
11
.
2022
Telegram und Datenschutz: Diesen Gefahren sind User ausgesetzt
Telegram gilt seit langem als sichere Alternative zu WhatsApp und Co, da die Angabe einer Telefonnummer entfällt. Diese Begeisterung ließ jedoch nach, als sich radikalere Gruppen mit Botendiensten und geplanten Verbrechen verbanden. Aber auch die Kritik am Datenschutz ist lauter geworden, hier erfahren Sie mehr über den Datenschutz bei Telegram.
Wie Unternehmen KI datenschutzkonform einsetzen können
10
.
12
.
2024
Wie Unternehmen KI datenschutzkonform einsetzen können
Der Einsatz von Künstlicher Intelligenz (KI) bietet Unternehmen immense Chancen: Von der Automatisierung von Geschäftsprozessen über die Analyse großer Datenmengen bis hin zur Optimierung von Kundenerlebnissen. Doch der Einsatz von KI wirft auch Fragen auf, insbesondere im Hinblick auf den Datenschutz und die Einhaltung der Datenschutz-Grundverordnung (DSGVO). Viele Unternehmen fragen sich: Wie können wir KI nutzen, ohne gegen Datenschutzvorschriften zu verstoßen?
Datenschutz und Sicherheit bei Cloud-Anbietern
07
.
09
.
2022
Datenschutz und Sicherheit bei Cloud-Anbietern
Das Auslagern von Daten in einen Cloud-Dienst ist mittlerweile zur Normalität geworden. Dabei spielt Datenschutz eine sehr wichtige Rolle. Wir gehen darauf ein, was Cloud-Anbieter bezogen auf die DSGVO beachten müssen und geben Ihnen praktische Tipps für die richtige Wahl eines Cloud-Anbieters. 
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

EU-Standardvertragsklauseln: So gelingt der internationale Datentransfer
31
.
07
.
2025
EU-Standardvertragsklauseln: So gelingt der internationale Datentransfer
Für die Übermittlung personenbezogener Daten in Drittländer - etwa in die USA – gelten seit Kurzem neue Standardvertragsklauseln, die von der EU in einer überarbeiteten Version verabschiedet wurden. Wir zeigen Ihnen, wie Sie die aktuellen SCC in der Praxis korrekt umsetzen.
WeTransfer & Datenschutz: Wie sicher ist Ihre Datenübertragung wirklich?
30
.
07
.
2025
WeTransfer & Datenschutz: Wie sicher ist Ihre Datenübertragung wirklich?
Dateiübertragungen sind mehr als nur Cloud–Upload – sie sind ein Datenschutzrisiko. WeTransfer ist ein beliebter Online-Dienst für das Versenden großer Dateianhänge. Mit der kostenlosen Version können Dateien mit einer Größe von bis zu 2 Gigabyte versendet werden. Das ist für AnwenderInnen besonders komfortabel, wenn beispielsweise Fotos oder Videos zu groß für den Versand per E-Mail sind, aber gebündelt und mit hoher Qualität versandt werden sollen. Doch kürzlich hat WeTransfer seine AGBs geändert, was die Frage aufwirft, wie sicher ist diese praktische Möglichkeit der Datenübertragung in Hinblick auf den Datenschutz noch ist. Der folgende Artikel liefert einen Überblick, welche Aspekte aus Sicht der DSGVO als kritisch zu betrachten sind und wie gut SwissTransfer als Alternative abschneidet.
NIS2-Geschäftsführerhaftung: Was Verantwortliche jetzt wissen müssen
25
.
07
.
2025
NIS2-Geschäftsführerhaftung: Was Verantwortliche jetzt wissen müssen
Schon heute sind Geschäftsführer verpflichtet, für IT-Sicherheit zu sorgen. Doch mit der neuen NIS2-Richtlinie wird klar: Die Verantwortung liegt unmissverständlich beim Management. Wer Pflichten ignoriert, Maßnahmen nicht überwacht oder auf Schulungen verzichtet, haftet unter Umständen persönlich. Erfahren Sie in diesem Artikel alles über die NIS2-Haftung und warum IT-Sicherheit Chefsache ist.
Interview mit Dr. Herrmann: Alles rund um Digitalisierung, Datenschutz und KI
24
.
07
.
2025
Interview mit Dr. Herrmann: Alles rund um Digitalisierung, Datenschutz und KI
Im Zentrum eines erkenntnisreichen Gesprächs mit Dr. Herrmann, Leiter der Bayerischen Staatskanzlei, standen die Themenschwerpunkte Datenschutz, Bürokratieabbau, Künstliche Intelligenz (KI) und Cybersicherheit. Die folgenden Fragen und Antworten unterstreichen Dr. Herrmanns optimistische Einschätzungen und zeigen Lösungen und Chancen für die digitale Zukunft auf.
datenschutz-Muster

Kostenlose Materialien zum Thema

Datenschutzerklärung für Bewerber
Erfüllen Sie die DSGVO-Datenschutzpflicht für Bewerber mit unserer Vorlage einfach & sicher.
Datenschutzerklärung für Kunden
Erfüllen Sie mit unserer Vorlage die DSGVO-Datenschutzinformationspflicht für Ihre Kunden.
Auftrags­verarbeitungsvertrag (AV-Vertrag)
Erstellen Sie mit unserem kostenlosen Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Einwilligungserklärung: Kostenloses Muster
Nutzen Sie unsere kostenlose Vorlage für eine Einwilligungserklärung zur Erhebung personenbezogener Daten.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!