Nach den Vorgaben der EU hätte die NIS-2-Richtlinie bis spätestens 17. Oktober 2024 in nationales Recht überführt werden müssen. Doch infolge der Bundestagsneuwahl vom 23. Februar 2025 mussten alle noch nicht beschlossenen Gesetzesvorhaben neu eingebracht werden – auch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) lag auf Eis.
Seit Anfang Juni 2025 wird über neue Referentenentwürfe aus dem Bundesinnenministerium berichtet. Noch liegt keine offizielle Veröffentlichung vor – dennoch markiert dies den inoffiziellen Neustart des Gesetzgebungsprozesses. Die Dynamik im Gesetzgebungsprozess zeigt sich allein daran, dass in den vergangenen Wochen drei Versionen des Entwurfs – mit Bearbeitungsdatum vom 26. Mai, 2. Juni und 23. Juni 2025 – öffentlich geworden sind, wobei die jüngste Fassung zugleich mit der Aufforderung zur Stellungnahme an die Verbände versandt wurde.
Zwei wesentliche Neuigkeiten an der Schnittstelle zwischen Aufsicht und zukünftig regulierten Unternehmen ergeben sich in der letzten Version vom 23. Juni 2025.
Dr. Michael Falk
Partner, Consulting, Cyber Security
KPMG AG Wirtschaftsprüfungsgesellschaft
Im Rahmen der Betroffenheitsanalyse ist eine wichtige Änderung in § 28 Abs. 3 (Besonders wichtige Einrichtungen und wichtige Einrichtungen) vorgenommen worden. Darin wird klargestellt, dass bei der Zuordnung der Einrichtungsarten solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind.
Die Intention dieser Änderung ist nachvollziehbar und eine wichtige Rückbesinnung auf das Ziel der europäischen Cybersicherheitsstrategie. Es geht um die Widerstandsfähigkeit der europäischen Wirtschaft und ihrer Akteure gegen Cyberbedrohungen. Vernachlässigbare Tätigkeiten (z. B. der Betrieb einer Photovoltaikanlage auf dem Dach von Verwaltungs-/Logistik- oder Produktionsgebäuden) sollten nicht als Energieerzeuger qualifizieren. Der Begriff der „Vernachlässigbarkeit“ als relativer Bezug zur Gesamtleistung des Unternehmens ist als unbestimmter Rechtsbegriff unglücklich gewählt und wird bereits wenige Tage nach der Veröffentlichung juristisch heiß diskutiert. Wenn es schon bei „vernachlässigbar“ bleiben soll, ist als das Bezugsobjekt nicht das Unternehmen, sondern in Relation die Auswirkung auf die Branche oder den regulierten Sektor im jeweiligen Land zu wählen.
Die zweite Änderung betrifft die Notwendigkeit zur Abstimmung von Rechtsverordnungen mit Wissenschaft, Betreibern von kritischen Infrastrukturen (KRITIS) und Verbänden. Die verpflichtende Abstimmung ist sowohl bei der Definition des KRITIS-Anlagenbegriffes als auch in der Definition des erheblichen Sicherheitsvorfalls gestrichen worden. Diese Änderung ist aus Sicht der Wirtschaft kritisch einzuordnen und kann zu einer Überregulierung führen. Gleichfalls besteht die Hoffnung, dass der bereits in vielen Teilen initiierte Dialog mit Wissenschaft, KRITIS-Betreibern und Verbänden intensiviert wird und lediglich der formale Anker im Verfahren zur Beschleunigung und Vereinfachung beiträgt.
Inhaltlich orientieren sich die Entwürfe an bekannten Strukturen, insbesondere am risikobasierten Ansatz zur IT-Sicherheit. Die Anpassungen im Bereich der Risikomanagement-Maßnahmen sind zwar überschaubar, geben aber wichtige Hinweise auf die spätere Auslegung in der Praxis:
Die neue Formulierung betont die Sicherheit der Lieferkette „einschließlich sicherheitsbezogener Aspekte der Beziehungen zu unmittelbaren Anbietern oder Diensteanbietern“. Der bisherige Verweis auf Beziehungen „zwischen den einzelnen Einrichtungen“ wurde gestrichen. Unternehmen müssen damit in erster Linie die direkte Beziehung zu ihren Zulieferern bewerten – nicht jedoch die untereinander bestehenden Abhängigkeiten in der Lieferkette.
Der Begriff „Cyberhygiene“ ist aus dem Maßnahmenkatalog verschwunden. Stattdessen ist nun von „grundlegenden Schulungen und Sensibilisierungsmaßnahmen“ die Rede. Diese Änderung wird von den Autoren dieses Beitrags kritisch gesehen, da der Begriff „grundlegend“ Interpretationsspielraum lässt – und zudem von der EU-Directive abweicht. Hier wird von „grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit“ gesprochen. Der deutsche Gesetzgeber verändert hier die Anforderungen der EU.
Die zuvor geforderte Erstellung von Konzepten zum Management physischer Anlagen entfällt. Verbleibende Anforderungen betreffen nun primär die Sicherheit des Personals, die Zugriffskontrolle sowie die Verwaltung von IKT-Systemen, -Produkten und -Prozessen. Ob dies der Realität hybrider IT/OT-Infrastrukturen noch gerecht wird, bleibt offen.
Durch die Veränderungen in § 44 (Vorgaben des Bundesamtes) erhalten die BSI-Standards und das IT-Grundschutzkompendium für die Einrichtungen der Bundesverwaltung faktisch Gesetzesrang und werden somit aufgewertet. Es bleibt abzuwarten, ob und in welcher Form der IT-Grundschutz auch für privatwirtschaftliche Unternehmen als Maßstab zur Umsetzung der Risikomanagementmaßnahmen Anwendung findet.
Auch wenn die Änderungen nicht revolutionär sind, machen sie deutlich: Die Umsetzung der NIS2-Richtlinie rückt näher. Der neue Referentenentwurf ist mehr als ein Zwischenschritt – er ist ein deutliches Signal, dass Unternehmen die Vorbereitungen auf die kommenden Pflichten nicht weiter aufschieben sollten.
Hintergrund: Was die NIS-2-Richtlinie für Unternehmen bedeutet
Die NIS-2-Richtlinie ist das zentrale EU-Instrument zur Stärkung der Cybersicherheit in Europa. Sie richtet sich an Unternehmen und Organisationen, die für das Funktionieren grundlegender gesellschaftlicher und wirtschaftlicher Prozesse essenziell sind – etwa aus den Sektoren Energie, Gesundheit, Verkehr, Finanzwesen, Verwaltung oder digitaler Infrastruktur.
Ziel ist ein europaweit einheitliches, hohes Sicherheitsniveau für Netz- und Informationssysteme. Um das zu erreichen, legt die Richtlinie fest, dass Unternehmen in bestimmten Sektoren strenge Sicherheitsanforderungen erfüllen müssen, um ihre Netzwerke und Systeme gezielt vor Cyber-Attacken zu schützen. Konkret verpflichtet NIS-2 betroffene Einrichtungen dazu, Risiken systematisch zu managen, geeignete technische und organisatorische Schutzmaßnahmen umzusetzen und schwerwiegende Sicherheitsvorfälle innerhalb definierter Fristen zu melden.
Nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) fallen in Deutschland rund 29.000 Unternehmen und Einrichtungen unter den Anwendungsbereich der Richtlinie – eingestuft als „wesentlich“ oder „wichtig“ im Sinne des Gesetzes.
Vertragsverletzungsverfahren: Deutschland unter Druck
Dass die geleakten Referentenentwürfe informell zirkulieren, verdeutlicht den politischen Handlungsdruck: Deutschland hat die Umsetzungsfrist der NIS-2-Richtlinie deutlich überschritten. Am 28. November 2024 leitete die EU-Kommission deshalb ein Vertragsverletzungsverfahren gegen Deutschland und 22 weitere Mitgliedstaaten ein.
Am 7. Mai 2025 folgte die zweite Stufe – eine mit Gründen versehene Stellungnahme, auf die die Bundesregierung nun reagieren muss. Sollte keine zügige Umsetzung folgen, drohen finanzielle Sanktionen.
Was Unternehmen jetzt tun sollten – konkrete Empfehlungen nach BSI-Standard
Bevor konkrete Maßnahmen umgesetzt werden, sollten Unternehmen zunächst prüfen, ob sie überhaupt unter die NIS-2-Richtlinie fallen – und in welchem Umfang. Ist Ihr Unternehmen von der NIS-2-Richtlinie betroffen? Machen Sie jetzt unseren kostenlosen Quick-Check und finden es heraus.
Ist die Betroffenheit geklärt, benennt das BSI vier zentrale Handlungsfelder, mit denen sich Unternehmen strukturiert und wirksam auf die Anforderungen vorbereiten können:
- Kontaktstelle einrichten und Kommunikationswege sichern
- Risikoanalyse systematisch durchführen
- NIS2-Maßnahmen umsetzen – wirksam, angemessen und dokumentiert
- Meldefähigkeit sicherstellen – klare Abläufe, schnelle Reaktion
KPMG unterstützt Sie bei der Umsetzung der NIS-2 Anforderungen mit unserer langjährigen Erfahrung. Erfahren Sie mehr unter NIS-2-Richtlinie: Ihre IT-Sicherheit verbessern - KPMG in Deutschland
Mitgewirkt an diesem Beitrag haben: Tommy Scheffczyk (tscheffczyk@kpmg.com), Finja Hage (finjahage@kpmg.com) und Stephan Senzel (ssenzel@kpmg.com).
