Zum Inhalt springen
Eine Analyse von Manuel Atug

Der aktuelle Stand zur Umsetzung der NIS2-Richtlinie in Deutschland

Die EU hat mit der NIS2-Richtlinie eine defensive Cybersicherheitsstrategie für alle EU-Mitgliedsstaaten vorgeben. In dieser Analyse wird der deutsche Referentenentwurf auf den Prüfstand gehoben. Kann Deutschland durch das kommende Gesetz eine sichere und resiliente Cybernation werden? Oder muss die Regierung noch deutlich nachbessern?

Autor: Manuel Atug / Redaktion: Diana Künstler • 13.11.2025 • ca. 3:20 Min

NIS2
© shutterstock.com / connect professional
Inhalt
  1. Der aktuelle Stand zur Umsetzung der NIS2-Richtlinie in Deutschland
  2. Kommunen, Landkreise, Bundesverwaltung und Bildungseinrichtungen
  3. IT-Sicherheitskatalog nach EnWG und Ablaufplan

Mit der EU-NIS2-Richtlinie (EU) 2022/2555 hat Europa Vorgaben für mehr defensive Resilienz im Cyberraum und zur Stärkung des europäischen Wirtschaftsraumes (EWR) entwickelt. Die Richtlinie wurde bereits im Jahre 2022 verabschiedet und den Mitgliedsstaaten wurde Frist zur Umsetzung bis 17. Oktober 2024 gegeben, diese Richtlinie in nationale Gesetzgebungen zu überführen. Der Bundestag aus der Ampelregierung hatte den Gesetzesentwurf nicht mehr beschlossen. Er musste daher aufgrund des Diskontinuitätsprinzips neu eingebracht und verhandelt werden, was mit dem neuen Bundestag spät aber immerhin in die Wege geleitet wurde.

Der neue Anlauf ist jetzt soweit fortgeschritten, dass derzeit der Referentenentwurf (RefE) vom 08. September 2025 mit dem Namen „Entwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ als Drucksache 21/1501 vorliegt.

Zwischenzeitlich gab es viele Entwürfe und auch geleakte Fassungen, aus denen man einige Entwicklungsschritte aber auch Stillstand an vielen Stellen herauslesen konnte. Alle öffentlich gewordenen Fassungen listet die unabhängige AG KRITIS auf ihrer Webseite auf. (Transparenzhinweis: Der Autor ist Gründer und Sprecher der AG KRITIS.)

Anbieter zum Thema

Hier könnte auch Ihr Logo stehen.
zu Matchmaker+
Manuel Atug
Manuel Atug ist Berater und Prüfer für Kritische Infrastrukturen, Cyberresilienz, digitaler Katastrophenschutz und Bevölkerungsschutz. Er ist Gründer und Sprecher der unabhängigen AG KRITIS und im Netz als @HonkHase aktiv. Er ist Experte der EU REA und berät Bundesregierung und Bundesländer in Fragen der Cybersicherheit und Katastrophenschutz.
© Katrin Chodor Photography

Betroffenheit der Einrichtungen

Das deutsche NIS2-Umsetzungsgesetz (kurz NIS2UmsuCG) soll Paragrafen verschiedener Gesetze, insbesondere des BSI-Gesetzes, aktualisieren und neu fassen, sodass diese den Anforderungen der EU NIS2 Richtlinie gerecht werden. Einen der größten Diskussionspunkte stellt dabei der darin neue enthaltene § 28 (3) BSI-Gesetz RefE im Referentenentwurf zu „Besonders wichtige Einrichtungen“ (bwE) und „wichtige Einrichtungen“(wE) dar, der den Geltungsbereich des Gesetzes im Sinne der Betroffenheit der jeweiligen Einrichtungen regeln soll: „Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. “

Wann aber eine Geschäftstätigkeit als vernachlässigbar gilt, definiert der Referentenentwurf leider nicht näher. Es handelt sich daher um einen unbestimmten Rechtsbegriff, der mehr Unsicherheit als Rechtssicherheit schaffen wird. Besser wäre in solch einem Fall, die EU-NIS2-Vorgaben für den Geltungsbereich eins zu eins zu übernehmen. Derzeit sind nach Angaben des Bundesinnenministeriums circa 30.000 Einrichtungen in Deutschland von Cybersicherheitsmaßnahmen nach NIS2 betroffen, die hier durch Unklarheit verunsichert werden. Des Weiteren konterkariert darüber hinaus die Einschränkung durch „vernachlässigbare Geschäftstätigkeiten“ das eigentliche Gesamtziel der europäischen NIS2-Richtlinie, eine defensive Cybersicherheitsstrategie in allen EU-Mitgliedsstaaten umzusetzen und so die Resilienz des europäischen Wirtschaftsraumes auch in der Cybersicherheit zu adressieren.

Das Risikomanagement

In § 30 BSI-Gesetz RefE „Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“ ist Absatz 1 im Vergleich zur Fassung der Ampelregierung unverändert geblieben. Dieser Absatz definiert, wie Risikomanagement für betroffenen Einrichtungen vorzunehmen ist und welche Maßnahmen zu berücksichtigen sind. In Absatz 2 passte man die Maßnahmen leicht an, die den Stand der Technik darlegen und dabei eine Auflistung von zehn Punkten als Minimum aufführen. Da sie allerdings keine vollständige Aufgaben- oder Checkliste darstellen, sind die Details nahezu unerheblich.

Betroffene Einrichtungen müssen daher weiterhin ein Informationssicherheitsmanagement (ISMS) mit Business Continuity Management (BCM) und IT Service Continuity Management (ITSCM) umsetzen und auf Verlangen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber nachweisen. Für Betreiber kritischer Anlagen gilt alle drei Jahre eine sogenannte Nachweiserbringung zur Einhaltung des Gesetzes gegenüber Prüfern.

Keine Drohnen in Sicht

Die aktuelle Bedrohungslage der Drohnensichtungen und der damit einhergehenden Gefährdungen für die kritischen Infrastrukturen zeigen wesentliche Defizite auf und verunsichern die Bevölkerung. Auch erheblichere Störungen von Flughäfen sind keine Seltenheit mehr. In München wurden Drohnen sogar innerhalb von 24 Stunden zweimal gesichtet.

Leider verliert der NIS2-Referentenentwurf so wie auch der aktuelle Entwurf des Kritis Dachgesetzes kein Wort über die Detektion, Meldung und Abwehr von Drohnen und unbemannten Luftfahrtsystemen, Landsystemen und Wassersystemen oder zu Lagebildern. Hier sollte der Gesetzgeber dringend nachbessern und die notwendige Sicherheitskette (Prävention, Detektion, Alarmierung, Verifikation, Intervention, Lessons Learned) aufgrund von unbemannten Luftfahrtsystemen, Landsystemen und Wassersystemen berücksichtigen.

Die Kritisverordnung

In § 56 BSI-Gesetz RefE, also die „Ermächtigung zum Erlass von Rechtsverordnungen“, wurden nur noch in wenigen Teilen die betroffenen Wirtschaftsverbände berücksichtigt. Die ehemals enthaltenen Vertreter der Wissenschaft sind ausnahmslos gestrichen worden. An vielen Stellen versprach der Koalitionsvertrag die stärkere Beteiligung der Zivilgesellschaft. Im NIS2UmsuCG ist dies gar nicht berücksichtigt worden.

Auch die bisher vorhandene Festlegung in § 56 (4) BSI-Gesetz RefE, dass der Zugang zu den Akten, die die Erstellung oder Änderung der Kritisverordnung betreffen, verwehrt wird, wird weiterhin beibehalten. Daher bleibt weiterhin intransparent, warum welche kritischen Dienstleistungen als relevant erachtet werden und welche Gründe hinter der Bestimmung und Definition branchenspezifischer Schwellenwerte stehen. Es bleibt also weiterhin – statt bei einem transparenten Verfahren auf Basis von wissenschaftlicher Evidenz – bei einem Verfahren der Scheinsicherheit a la „Security through obscurity“.

Nächste Seite
1 2 3
Mehr passende Artikel
Digitale Identität per Smartphone nutzbar Estland startet App für digitale Ausweisnutzung
Investition
Effiziente IT-Sicherheit unter Budgetdruck Sicherheit: Wo sich Investitionen wirklich lohnen – und wo nicht
NIS2
Eine Analyse von Manuel Atug Der aktuelle Stand zur Umsetzung der NIS2-Richtlinie in Deutschland
251104-vertragsunterzeichnung-michael-goerner-li-christian-werner-re-bild-td-synnex
Distributionsvertrag mit digit solutions TD Synnex erweitert SOC-Service-Portfolio
Bitdefender GravityZone Business Security Premium im Test, November 2025
Endpoint-Sicherheit Bitdefender GravityZone Business Security Premium im Test
Weiter zur Startseite