NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

NIS2UmsuCG – NIS2 Umsetzungs- und Cyberresilienzstärkungs-Gesetz

Inhalte der NIS2UmsuCG

Das NIS2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz (NIS2UmsuCG) setzt die NIS2-Richtlinie NIS2-Richtlinie (RICHTLINIE (EU) 2022/2555) n deutsches Recht um. Eine EU-Richtlinie ist – anders als eine Verordnung – nicht unmittelbar anwendbar, sondern richtet sich an die Mitgliedstaaten, die sie in nationales Recht überführen müssen.

Der Deutsche Bundestag hat das NIS2UmsuCG am 13. November 2025 in zweiter und dritter Lesung beschlossen. Damit liegt nun eine politische verabschiedete Fassung vor, die nach Bundesratsbefassung und Verkündung im Bundesgesetzblatt in Kraft treten wird (Stand: 14.11.2025)frühere Versionen und einen Vergleich der Versionen haben wir in den Links bereitgestellt.

Das NIS2UmsuCG ändert eine Vielzahl anderer Gesetze.
Kernstück ist die weitgehende Neufassung des BSI-Gesetzes (BSIG).
Dort finden sich die eigentlichen materiellen Pflichten aus der NIS2-Richtlinie, insbesondere:

  • der neue Anwendungsbereich für Unternehmen (wichtige / besonders wichtige Einrichtungen) – §28 BSIG,
  • Anforderungen an das Risikomanagement und die technischen/organisatorischen Maßnahmen§30 BSIG,
  • Meldepflichten bei Sicherheitsvorfällen – §32 BSIG ,
  • Pflichten und Haftung des Managements§38 BSIG,
  • Aufsichtsbefugnisse und Bußgeldtatbestände – z.B. §65 BSIG.

Das NIS2UmsuCG ändert eine Vielzahl von anderen Gesetzen.
Hauptteil aber ist die vollständige Neufassung des BSI-Gesetzes (BSIG). Dieses enthält auch die eigentlichen Bestimmungen der NIS2-Richtlinie, insbesondere die Anforderungen an die Unternehmen. Daher haben wir die Neufassung des BSIG separat aufbereitet.

Zeitplan für die NIS2-Gesetzgebung in Deutschland

  • Die NIS2-Richtlinie ist bereits am 16. Januar 2023 in Kraft getreten;
    die Mitgliedstaaten mussten sie bis 17. Oktober 2024 in nationales Recht umsetzen – das hat Deutschland nicht geschafft.
    Anwendbar ist die Richtlinie unionsweit seit 18. Oktober 2024.
  • Am 18.10.2024 hat die EU-Kommission die NIS2-Umsetzzungsverordnung (NIS2UmsVO – oder: „delegierter Durchführungsrechtsakt C(2024) 7151 der EU-Kommission zur NIS2-Richtlinie EU 2022/2555 für grenzüberschreitende Dienste“) beschlossen.
    Sie enthält sowohl Definitionen, was ein „erheblicher Sicherheitsvorfall“ ist, der nach BSIG meldepflichtig wäre,
    wie auch umfangreiche Details zu den Implementierungsanforderungen im Annex der Verordnung.

Für Unternehmen bedeutet das:

Die Zeit „vor dem Gesetz“ ist vorbei – die Inhalte sind politisch gesetzt, es fehlt nur noch die formelle Verkündung.

Direkte Anwendbarkeit der NIS2-Richtlinie ohne Umsetzungsgesetz?

Immer wieder wird behauptet, die NIS2-Richtlinie sei inzwischen „direkt anwendbar“ und deutsche Unternehmen könnten bereits heute unmittelbar aus der EU-Richtlinie heraus adressiert oder sanktioniert werden.

Juristisch ist das so nicht richtig:

  • Richtlinien richten sich an die Mitgliedstaaten, nicht direkt an Unternehmen.
  • Für die operative Umsetzung (zuständige Behörden, Meldewege, Bußgeldstellen etc.) braucht es ein nationales Gesetz – in Deutschland das NIS2UmsuCG/BSIG-neu.

Solange das NIS2UmsuCG noch nicht verkündet ist, gilt daher:

  • Es gibt keine nationale Rechtsgrundlage, auf deren Basis eine deutsche Behörde allein wegen NIS2-Verstößen Bußgelder verhängen könnte.
  • Entsprechendes bestätigen auch die öffentlichen Informationen und FAQ von BSI und Landesbehörden, die klar betonen, dass die Richtlinie erst mit der nationalen Umsetzung praktisch durchgesetzt wird.

Trotzdem ist NIS2 faktisch nicht folgenlos:

  • Auftraggeber aus EU-Staaten, die bereits umgesetzt haben, können NIS2-konforme Nachweise im Rahmen der Lieferantensicherheit verlangen.
  • Versicherungen oder internationale Konzerne können sich in Vertragsbeziehungen auf NIS2 berufen, um bestimmte Mindeststandards als vertragliche Pflicht zu definieren.

Warum Unternehmen trotzdem jetzt handeln sollten:

Die Verzögerung der formellen Umsetzung ist kein Argument, mit der Umsetzung zu warten:

  • Die Richtung ist gesetzt: Der vom Bundestag beschlossene BSIG-neu-Text und die NIS2UmsVO bestimmen, wie Aufsichtsbehörden und Gerichte NIS2 verstehen werden.
  • Mit Inkrafttreten des NIS2UmsuCG gilt ein breiter adressierter Kreis („wichtige“ und „besonders wichtige Einrichtungen“). Es ist nicht realistischerweise möglich, ein vollständiges ISMS „über Nacht“ nachzuziehen.

Geeignete Rechtsgrundlagen für den Start im Unternehmen sind daher:

  1. Die vom Bundestag beschlossene Neufassung des BSIG (BSIG-neu)
    • Sie enthält die zentralen NIS2-Pflichten (Risikomanagement, Sicherheitsmaßnahmen, Meldepflichten, Aufsicht, Bußgelder).
    • Kleinere redaktionelle Anpassungen bis zur Verkündung im BGBl sind möglich, grundlegende Änderungen sind aber nicht mehr zu erwarten.
  2. Die NIS2-Durchführungsverordnung („NIS2UmsVO“) der EU

Praktisch empfiehlt es sich, die eigene Umsetzung an der Kombination auszurichten aus:

  • BSIG-neu in der Bundestagsfassung des NIS2UmsuCG und
  • den Anforderungen der NIS2-Durchführungsverordnung (Annex)
  • sowie den Orientierungshilfen und FAQ des BSI (#nis2know, NIS2-FAQ).

So sind Sie rechtssicher unterwegs und auf der sicheren Seite, wenn das Gesetz im Bundesgesetzblatt erscheint und die Pflichten „scharf geschaltet“ werden.

NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Artikel 1 NIS2UmsuCG – Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG)
Artikel 2 – Änderung des BND-Gesetzes
Artikel 3 – Änderung der Sicherheitsüberprüfungsfeststellungsverordnung
Artikel 4 – Änderung des Telekommunikation-Digitale-Dienste-Datenschutz- Gesetzes
Artikel 5 – Änderung der Gleichstellungsbeauftragtenwahlverordnung
Artikel 6 – Änderung des Zweiten Gesetzes zur Erhöhung der Sicherheit in- formationstechnischer Systeme
Artikel 7 Änderung der BSI-Zertifizierungs- und Anerkennungsverordnung
Artikel 8 – Änderung der BSI-Kritisverordnung
Artikel 9 – Änderung der BSI IT-Sicherheitskennzeichenverordnung
Artikel 10 – Änderung des De-Mail-Gesetzes
Artikel 11 – Änderung des E-Government-Gesetz
Artikel 12 – Änderung der Passdatenerfassungs- und Übermittlungsverordnung
Artikel 13 – Änderung der Personalausweisverordnung
Artikel 14 – Änderung des Hinweisgeberschutzgesetzes
Artikel 15 – Änderung der Kassensicherungsverordnung
Artikel 16 Änderung des Gesetzes über die friedliche Verwendung der Kernenergie und den Schutz gegen ihre Gefahren
Artikel 17 – Änderung des Energiewirtschaftsgesetze
Artikel 18 – Änderung des Messstellenbetriebsgesetzes
Artikel 19 – Änderung des Energiesicherungsgesetzes
Artikel 20 – Änderung des Wärmeplanungsgesetzes
Artikel 21 Änderung des Fünften Buches Sozialgesetzbuch
Artikel 22 Änderung der Digitale Gesundheitsanwendungen-Verordnung
Artikel 23 Änderung der Verordnung zum Barrierefreiheitsstärkungsgesetz
Artikel 24 Änderung des Elften Buches Sozialgesetzbuch
Artikel 25 Änderung des Telekommunikationsgesetzes
Artikel 26 Änderung des Telekommunikationsgesetzes
Artikel 27 Änderung der Außenwirtschaftsverordnung
Artikel 28 Änderung des Vertrauensdienstegesetzes
Artikel 29 Außerkrafttreten
Artikel 30 Inkrafttreten