Die NIS2-Richtlinie wurde im Bundesgesetzblatt verkündet und trat am 6.12.2025 in Kraft. Damit einher gehen nun strengere Meldepflichten und verschärfte IT-Sicherheitsmaßnahmen für Unternehmen.
Alexander Dobrindt (CSU), Bundesminister des Innern, vertrat bei der Debatte im Deutschen Bundestag zur Verabschiedung der NIS-2-Richtlinie am 13. November 2025, die Bundesregierung.
(Bild: Vogel IT-Medien GmbH)
Über ein Jahr nach Ablauf der NIS2-Umsetzungsfrist der EU hat der Deutsche Bundestag am 13. November 2025 endlich das NIS2-Umsetzungsgesetz verabschiedet. Nach einer halbstündigen Debatte hat der Bundestag den Gesetzentwurf der Bundesregierung „zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ angenommen. Am 5. Dezember 2025 wurde die NIS2-Richtlinie zudem im Bundesgesetzblatt verkündet. Damit – und mit der erfolgten Unterzeichnung durch Bundespräsident Frank-Walter Steinmeier – trat NIS2 am 6. Dezember 2025 endlich final in Kraft.
Zuvor hatte der Innenausschuss einige Anpassungen vornehmen müssen. Denn der jüngste Vorschlag zu NIS2 erhielt allerlei Kritik von den Sachverständigen, Wirtschaftsverbänden und aus der Opposition. Auch, weil die Vorgaben ursprünglich nicht für Behörden der Bundesverwaltung gelten sollten. Marc Henrichmann (CDU), begrüßte es der Deutschen Presse-Agentur (DPA) zufolge, dass dies nach parlamentarischen Beratungen geändert wurde. Denn es wäre ein ganz falsches Signal gewesen, „der Wirtschaft zu sagen, ‚Ihr müsst nachschärfen!‘, aber der eigenen Bundesverwaltung zu sagen ‚Ihr nicht, weil es kompliziert und teuer ist.‘“
NIS2 ist gesetzt!
Laut Bundesregierung hat die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft identifiziert. Die NIS2-Richtlinie hat demnach das Ziel, die EU-Staaten resilienter gegen Cyberangriffe zu machen. Schätzungsweise 29.850 deutsche Unternehmen aus den Bereichen Energie, Gesundheit, Transport und digitale Dienste werden davon betroffen sein. Sie müssen bestimmte Sicherheitsmaßnahmen einführen, wie Risikoanalysen, Notfallpläne, Backup-Konzepte und Verschlüsselungslösungen. Dabei unterscheiden sich die konkreten Vorgaben je nach Bedeutung der jeweiligen Einrichtung. Das NIS2-Umsetzungsgesetz umfasst die Novellierung des BSI-Gesetzes, welches lediglich 4.500 Organisationen umfasste. Deutschland befinde sich hinsichtlich der täglich stattfindenden hybriden Kriegsführung unter einem ständigen Stresstest, so Alexander Dobrindt (CSU), Bundesminister des Innern, der bei der Debatte im Bundestag am 13. November 2025 für die Bundesregierung sprach. „Ein Stresstest, ob wir diesen Bedrohungen als Staat, als Wirtschaft, als Gesellschaft standhalten können. Wir nehmen diesen Stresstest an und geben eine klare Antwort: Wir schaffen Sicherheit durch Stabilität und Stärke. Und NIS2 erfüllt genau das.“
Unterstützung durch das BSI
Mit NIS2 gilt ein dreistufiges Melderegime. Wird ein Unternehmen Opfer eines Cyberangriffs, muss es dies innerhalb von 24 Stunden nach Entdeckung des Vorfalls an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Nach 72 Stunden muss das Unternehmen einen Zwischenstand und innerhalb eines Monats einen Abschlussbericht vorlegen, ebenfalls an das BSI, welches mehr Aufsichtsbefugnisse bekommen soll. In der Bundesverwaltung wird darüber hinaus ein zentraler Koordinator für Informationssicherheit (CISO Bund) eingerichtet, der die Ressorts bei der Umsetzung der Vorgaben zum Informationssicherheitsmanagement unterstützt.
BSI-Präsidentin Claudia Plattner kommentiert: „Mit diesem Gesetz hat Deutschland einen wichtigen Meilenstein auf dem Weg zu einer resilienten Cybernation erreicht, denn wir schützen damit einen entscheidenden Teil unserer digitalen Angriffsfläche viel besser als bisher. Es ist von großem Nutzen, dass Mandat, Expertise und Ressourcen für die operative Umsetzung von Cybersicherheit innerhalb der Bundesverwaltung nun an einer Stelle gebündelt und stringent eingesetzt werden können. Diese Aufgabe nehmen wir gerne an, wir sind uns ihrer Größe aber auch mehr als bewusst. Daher werden wir in kollegialer Zusammenarbeit mit den Regierungsressorts die dringend benötigte Resilienz der Bundesverwaltung signifikant stärken, Digitalisierungsprojekte des Bundes konstruktiv begleiten und dabei nicht nur die nötige Fachkompetenz, sondern auch Neutralität, Aufwandseffizienz und Kontinuität sicherstellen. Für die von der NIS2-Regulierung erfassten Unternehmen tun wir bereits jetzt sehr viel mit vielseitigen Beratungs- und Unterstützungsangeboten. Diese werden wir mit Inkrafttreten des Gesetzes erneut ausweiten.“
Das BSI stellt betroffenen Unternehmen ein Starterpaket bereit, in dem es ihnen klare Informationen an die Hand gibt, um die Verpflichtungen aus NIS2 umzusetzen. Zudem will das Bundesamt mit Inkrafttreten der Richtlinie virtuelle Kick-off-Seminare anbieten, in denen Unternehmen Schritt-für-Schritt-Anleitungen für die Betroffenheitsprüfung sowie Registrierungs- und Meldeprozesse erhalten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Für die am 13. November verabschiedete Version von NIS2 hatten CDU/CSU, AfD und SPD gestimmt, dagegen war Bündnis 90/Die Grünen. Die Linke enthielt sich. Beraten wurde in dieser Sitzung des Bundestages erstmals über einen Antrag der Fraktion Bündnis 90/Die Grünen mit dem Titel „Deutschland resilient machen – Für einen ganzheitlichen Schutz unserer kritischen Infrastruktur“. Dieser wurde zur weiteren Beratung an die Ausschüsse übergeben. Darin fordert die Fraktion die Bundesregierung auf, den Entwurf für ein Kritis-Dachgesetz vorzulegen, das „einen effektiven und einheitlichen Kritis-Schutz schafft, der die EU-Vorgaben für die physische und digitale Sicherheit vereinheitlicht, Betreiber kritischer Anlagen künftig nur noch durch das Dachgesetz und die dazugehörige Rechtsverordnung bestimmt und Deutschland insbesondere durch das Schaffen von einheitlichen Mindeststandards, Risikoanalysen und ein Störungsmonitoring insgesamt widerstandsfähiger gegen Krisen und Angriffe macht“.
Die Forderung beinhalte auch die Frage nach einer einheitlichen Meldestelle für die Betreiber kritischer Anlagen. Zudem solle dem Antrag zufolge das nationale IT-Sicherheitsrecht systematisiert werden und einheitliche IT-Sicherheitsstandards für Bund und Länder gelten. Auch sollten die öffentliche Verwaltung in den Schutzbereich aufgenommen und Bereichsausnahmen für die Bundesverwaltung gestrichen werden. Des Weiteren plädierte die Fraktion dafür, mit dem Gesetzentwurf unter anderem die Unabhängigkeit des BSI zu stärken und den Bundestag „in den Definitionsrahmen einer Kritischen Infrastruktur“ aufzunehmen. Außerdem sollten „die zahlreichen kleinen und mittleren Unternehmen, die durch die Absenkung von Schwellenwerten neu unter den Kritis-Schutz fallen und die gesetzgeberischen Vorgaben umzusetzen haben, bestmöglich beraten werden“. Die Bundesregierung wurde dabei zugleich aufgefordert, ein „One-Stop-Shop“-Verfahren zu implementieren, bei dem sich der Betreiber nur an eine Aufsichtsbehörde wenden muss.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f6/51/f651404395d1655ecfa20879930712cd/0129045915v2.jpeg "Gregor Liedhegener gehört nun zur Firmenleitung von Enreach am deutschen Standort Bochum. (Bild: © Enreach)")
:quality(80)/p7i.vogel.de/wcms/76/71/7671625a0fed3298a58928830fccd075/0129044146v2.jpeg "Ben Jones, Chief Technology Officer (CTO) bei Infinigate (Bild: Infinigate)")
:quality(80)/p7i.vogel.de/wcms/ec/57/ec578f26cbc8dd2cb06a61728c77afde/0129045922v1.jpeg "Michael Stuhr übernimmt als Country Manager die Leitung von Acer Deutschland. (Bild: Acer)")
:quality(80)/p7i.vogel.de/wcms/41/75/41755062d6019da04cfc7a8d8cdece50/0129024223v1.jpeg "Jakob Saga ist neuer Vorstand bei dem IT-Distributor Herweck. (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/33/cb/33cb307d4589586381bd14375db1b0fd/0128956017v1.jpeg "Digitale Souveränität ist keine passive Eigenschaft, sondern muss aktiv hergestellt werden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/65/ca/65caf26a0edab21ed681959e43563a72/0129034174v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/cb/53cbcd51e8acac98d6143c439041a659/0129049626v1.jpeg "Der IT-Branche geht es gut, vor allem Software und Cloud sind Erfolgsgaranten. (Bild: © metamorworks - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ad/1f/ad1f9112b6fbb20d996ed43967b24018/0128993706v1.jpeg "Der Dokumentenscanner ADS-4550W verarbeitet mit seinen beiden Scanzeilen bis zu 35 doppelseitig bedruckte DIN-A4-Seiten pro Minute. Der automatische Vorlageneinzug fasst bis zu 70 Blatt. (Bild: Brother)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/07/e0/07e07ee324199940b030411e90ffb7a7/0128970749v2.jpeg "KI-Security kann nur mit klaren Governance-Strukturen, Verantwortlichkeiten und menschlichem Einsatz wirksam zur Prävention beitragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/34/25346a6de4fae49d5134a5d87fa16b68/0128837620v1.jpeg "Cloud Computing und Künstliche Intelligenz sind eng miteinander verwoben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/04/51/045147bb59a65fc397dbc16c853a021b/0128604323v2.jpeg "Mobile IT entwickelt sich 2026 zu einem vernetzten Ökosystem aus Geräten, Services und KI-gestützten Funktionen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e2/77/e27778e620a361b893b926153234cd09/0128440397v1.jpeg "Kaum zu glauben, aber wahr: Es gibt Datacenter-Stilllegungen und Schließungen, trotz KI und Bau-Boom. Das Autoren-Duo Anna Kobylinska und Filipe Martins kümmern sich umd das Aus und beschreiben, wo das Pendel am stärksten ausschlägt. (Bild: © trahko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/85/aa853f49052d57a3aee3e482f5a4f052/0129026996v2.jpeg "KMU erhalten nun einfachen Zugang zu bewährten IT-Sicherheitslösungen. (Bild: © Cisco Team)")
:quality(80)/p7i.vogel.de/wcms/3e/fa/3efacb47d1c6a526f593592dc476ac21/0129029791v2.jpeg "Mit dem Entwurf zur Überarbeitung des Cybersecurity Act will die EU-Kommission die Cybersecurity in der EU stärken und harmonisieren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/132900/132945/65.jpg "Logo_AfB_sgIT_400x400px.jpg ()")
:quality(80)/p7i.vogel.de/wcms/45/96/4596d2bb47d7e50fb1261cfa87688992/0125812908v2.jpeg "Mit den NIS-2-Infopaketen gibt das BSI Unternehmen und Organisationen Hilfestellungen an die Hand, um die angekündigten Vorgaben umzusetzen. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/ca/f2caeff6d3d3110297c88f5b46e78f50/0126729662v2.jpeg "Das BMI hat die Schwerpuntke des nun beschlossenen Entwurfs zum KRITIS-Dachgesetz zusammengefasst. (Bild: XaMaps - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c1/dc/c1dcf1b1bcda75f0bda9245f9e51a0b9/0125246301v2.jpeg "Es ist richtig und wichtig, dass die Umsetzung der NIS-2-Richtlinie priorisiert erfolgt, damit die deutschen Unternehmen und auch die öffentlichen Einrichtungen Rechtssicherheit erhalten. (Bild: © Muhammad - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a0/93a0504222a784d74e5d8e0deb576889/0127375001v1.jpeg "In Anbetracht geopolitischer Spannungen und steigender Cyberbedrohungen sehen die Sachverständigen einen enormen Zeitdruck hinter der Umsetzung von NIS 2 in nationales Recht. (Bild: Midjourney / KI-generiert)")