EU-Recht: Was sich im Entwurf der NIS2-Richtlinienumsetzung verändert hat

Inhaltsverzeichnis

Im Rahmen der EU-NIS2-Richtlinie (EU) 2022/2555 entwickelte Europa Vorgaben für mehr defensive Resilienz im Cyberraum. Die Richtlinie wurde schon 2022 verabschiedet und die Mitgliedsstaaten hatten eine Frist bis zum 17. Oktober 2024, sie in nationale Gesetzgebung zu überführen. Der alte Bundestag hatte den Gesetzesentwurf der Ampel nicht mehr beschlossen, er musste daher aufgrund des Diskontinuitätsprinzips neu eingebracht und verhandelt werden.

Mehr zu IT-Security

• EU-Recht: Was sich im Entwurf der NIS2-Richtlinie verändert hat
• Samba: Mehr Sicherheit mit Authentication Silos
• Security: Data Loss Prevention im Eigenbau
• Sicherheitskultur etablieren: Schutz vor dem Human Risk
• SOC 3.0: Transformation zur Resilienz
• Der Cyber Resilience Act und der Stand der Technik
• Vertrauenswürdige E-Mail: Spoofing-Schutz über DNS einrichten
• NIS2: Schulungspflicht für Geschäftsleitungen
• Interview: So können sich Nutzer und Firmen vor Phishing schützen

Jetzt gibt es einen weiteren Anlauf mit dem Referentenentwurf vom 23. Juni 2025, den "Entwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung".

iX-tract

• Der neue Referentenentwurf zur Umsetzung der NIS2-Richtlinie geht in vielen Teilen nicht auf Bedenken und Vorschläge der Fachverbände ein.
• Stein des Anstoßes ist ein unscharf formulierter Geltungsbereich, der es erlaubt, bestimmte Geschäftstätigkeiten als vernachlässigbar einzustufen.
• Kritisch hinsichtlich der Transparenz: Es bleibt weiterhin unklar, wie und warum die Definition branchenspezifischer Schwellenwerte zustande kommt.

Rund zwei Wochen hatten Fachkreise und Verbände nun Zeit, eine Stellungnahme einzureichen. Viele machten davon regen Gebrauch – fanden sie doch den Entwurf weder widerspruchsfrei noch zufriedenstellend. Am 4. Juli 2025 fand dann eine Fachkreise- und Verbändeanhörung statt. Doch schon im Mai und Juni 2025 veröffentlichte die unabhängige Interessengemeinschaft AG KRITIS einige geleakte Vorab-Fassungen, die einen Ausblick auf die kommenden Änderungen gewährten. (Transparenzhinweis: Der Autor ist Gründer und Sprecher der AG KRITIS.)

Das war die Leseprobe unseres heise-Plus-Artikels "EU-Recht: Was sich im Entwurf der NIS2-Richtlinienumsetzung verändert hat". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.