Cybersicherheit: Das ändert sich durch das NIS2-Umsetzungsgesetz

Inhaltsverzeichnis

Mit dem NIS2-Umsetzungsgesetz beginnt in Deutschland ein neues Kapitel der Cybersicherheitsregulierung. Das Gesetz setzt die europäische NIS2-Richtlinie in nationales Recht um und wird am Tag nach seiner Veröffentlichung im Bundesgesetzblatt wirksam. Nach der Zustimmung des Bundesrats, die kurz nach der Verabschiedung im Bundestag erfolgte, wurde das Gesetz am 5. Dezember 2025 im Bundesgesetzblatt verkündet und trat am 6. Dezember in Kraft.

Es löst nicht nur bestehende Fragmentierungen im IT-Sicherheitsrecht ab, sondern verschärft die Anforderungen teils erheblich. Die Regelungen zwingen Unternehmen und staatliche Stellen dazu, Informationssicherheit als strategische Daueraufgabe zu begreifen. Vieles daran ist nicht völlig neu, doch erstmals sind die Pflichten umfassend, durchsetzbar und rechtlich sanktioniert.

iX-tract

• Mit dem deutschen Umsetzungsgesetz der europäischen NIS2-Richtlinie sind die Weichen für mehr Cybersicherheit gestellt.
• Das Gesetz strebt eine umfassende, durchsetzbare Regulierung mit rechtlichen Sanktionen an und erhöht die Anforderungen an Unternehmen und staatliche Einrichtungen, indem es Informationssicherheit als strategische Dauerpflicht definiert.
• Die deutschen Vorschriften gehen teilweise über die europäischen Mindeststandards hinaus. Der Anwendungsbereich des Gesetzes ist breit angelegt und macht auch vor kleineren und mittelständischen Unternehmen nicht Halt. Diese Flexibilität soll das Reagieren auf aktuelle Entwicklungen ermöglichen.
• Den Geschäftsführenden wird eine stärkere Rolle zugedacht: Das bloße Genehmigen von Sicherheitsstrategien reicht nicht aus. Vielmehr müssen sie diese aktiv überwachen, gegebenenfalls verbessern und ausreichende finanzielle und personelle Mittel bereitstellen.

Mehr zu IT-Security

• Sicherheitslücken vorbeugen: Auf Credential-Suche mit TruffleHog
• Cybersicherheit: Das ändert sich durch das NIS2-Umsetzungsgesetz
• Die neuen OWASP Top Ten 2025
• Angreifer täuschen: Honeypots und Co.
• Sicherheit: Windows härten mit Microsoft-Tools
• IT-Sicherheit: Mit KI Schwachstellen finden und ausnutzen
• BBOT: Angriffsflächen automatisch erkennen und Risiken reduzieren
• Von Beruf Hackerjäger: Was macht eigentlich ein Threat Intelligence Researcher?
• Kurz erklärt: Confidential Computing und wie es funktioniert

Tobias Haar

Tobias Haar ist Rechtsanwalt mit Schwerpunkt IT-Recht bei Vogel & Partner in Karlsruhe. Er hat zudem Rechtsinformatik studiert und hält einen MBA.

Schon im Vorfeld hatten viele Unternehmen die Hoffnung, Deutschland könnte die europäische Richtlinie möglichst zurückhaltend umsetzen. Diese Erwartung hat sich nicht erfüllt. Der Gesetzgeber nutzt den Spielraum der Richtlinie konsequent aus und geht teilweise auch darüber hinaus, indem er Anforderungen detailliert ausführt, Befugnisse der Behörden erweitert und die Reichweite des Gesetzes breit anlegt. Während die NIS2-Richtlinie selbst aus der Perspektive der Europäischen Union eine Mindestharmonisierung darstellt, betrachtet das deutsche Gesetz Cybersicherheit als gesamtgesellschaftliche Infrastrukturaufgabe. Das macht den Rechtsrahmen komplexer, gibt ihm aber zugleich eine politische Richtung: weniger Freiwilligkeit, mehr Pflicht und mehr staatliche Intervention.

Das war die Leseprobe unseres heise-Plus-Artikels "Cybersicherheit: Das ändert sich durch das NIS2-Umsetzungsgesetz". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.