Rufen Sie uns kostenlos rund um die Uhr an:   +49 (0) 800 - 5200 112
zurück zu News/Artikel
Allgemein
31.07.2025

NIS2: Aktueller Umsetzungsstand

NIS2 2025: Aktueller Umsetzungsstand in Deutschland und Österreich

NIS2 auf einen Blick

  • Ziel: Stärkung der Cybersicherheit und Resilienz in der EU
  • Inkrafttreten (EU): 16. Januar 2023
  • Frist zur nationalen Umsetzung: 17. Oktober 2024
  • Status Deutschland: Gesetzgebungsverfahren läuft, Umsetzung verzögert sich bis mindestens Q3 2025
  • Status Österreich: Entwurf 2024 abgelehnt, Umsetzung weiter offen
  • Betroffene Unternehmen: Unternehmen ab mittlerer Größe aus kritischen oder wichtigen Sektoren (z.  B. Energie, IT, Gesundheit)

NIS2: Der Versuch, Europas Cybersicherheit zu harmonisieren

Mit der NIS2-Richtlinie (EU 2022/2555) wurde ein ambitionierter Rahmen geschaffen, um die Cybersicherheit innerhalb der Europäischen Union auf ein einheitlich hohes Niveau zu heben. Die neue Richtlinie ersetzt die bisherige NIS1 und erweitert sowohl den Anwendungsbereich als auch die Anforderungen an betroffene Organisationen erheblich.

Der Fokus liegt dabei auf Risikomanagement, Meldepflichten, Resilienz in der Lieferkette und der klaren Verantwortlichkeit der Geschäftsleitung. Gleichzeitig verschärft sich der Bußgeldrahmen deutlich.

Verschärfte Anforderungen – und ein deutlich größerer Kreis an Betroffenen

Die NIS2-Richtlinie richtet sich an Unternehmen, die als wesentlich oder wichtig für das Funktionieren der Gesellschaft gelten. Neu ist, dass bereits mittelgroße Unternehmen (ab 50 Mitarbeitenden oder 10 Mio. Euro Umsatz) betroffen sein können, sofern sie in einem der benannten Sektoren tätig sind – darunter Energie, Gesundheit, Transport, digitale Dienste, aber auch öffentliche Verwaltungen oder Hersteller von kritischen Gütern.

Im Mittelpunkt stehen insbesondere:

  • Einführung eines systematischen Risikomanagements
  • Verpflichtende Meldung von Sicherheitsvorfällen (innerhalb von 24 h / 72 h / 1 Monat)
  • Maßnahmen zur Sicherung von Lieferketten und Dienstleistern
  • Verantwortlichkeit des Managements für die Umsetzung
  • Dokumentations- und Prüfpflichten
  • Strafen von bis zu 2 % des weltweiten Jahresumsatzes

Umsetzung in der EU: Uneinheitlich und verspätet

Obwohl die Richtlinie seit Januar 2023 gilt und bis Oktober 2024 in nationales Recht überführt werden sollte, haben bis Mitte 2025 lediglich neun EU-Mitgliedstaaten die vollständige Umsetzung geschafft. Dazu zählen unter anderem Italien, Kroatien und Ungarn.

Die EU-Kommission hat deshalb Vertragsverletzungsverfahren gegen 18 Staaten – darunter auch Deutschland und Österreich – eingeleitet. Parallel dazu wurde der Druck auf die Regierungen erhöht, nationale Gesetzgebungsverfahren zügig abzuschließen.

Deutschland: Verzögerte Umsetzung und politischer Stillstand

In Deutschland liegt ein Entwurf für das sogenannte NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vor. Der erste Referentenentwurf aus dem Jahr 2024 wurde jedoch nicht rechtzeitig verabschiedet – unter anderem wegen Regierungswechsel und offener Abstimmungen zwischen Ministerien.

Ein aktualisierter Entwurf wurde am 26. Mai 2025 veröffentlicht. Er umfasst rund 200 Seiten und befindet sich derzeit im parlamentarischen Verfahren. Frühestens im 3. Quartal 2025 ist mit einem Inkrafttreten zu rechnen – ein genaues Datum ist weiterhin offen.

Trotz fehlender Rechtsverbindlichkeit raten Experten zur frühzeitigen Vorbereitung. Denn viele der geforderten Maßnahmen sind ohnehin Bestandteil guter IT-Governance und lassen sich nicht kurzfristig implementieren.

Österreich: Umsetzung weiter offen

In Österreich wurde ein erster Entwurf zur Novellierung des Netz- und Informationssicherheitsgesetzes (NISG) im Frühjahr 2024 vorgestellt, jedoch im Parlament abgelehnt. Der Gesetzgebungsprozess läuft aktuell weiter, ein konkreter Zeitplan oder Inkrafttretensdatum liegt bisher nicht vor.

Auch wenn die gesetzliche Grundlage noch fehlt, ist absehbar, dass betroffene Organisationen – ähnlich wie in Deutschland – Maßnahmen ergreifen müssen, um die Anforderungen der Richtlinie zu erfüllen.

Relevanz für die Praxis: Betroffenheit prüfen und vorbereiten

Für Unternehmen stellt sich zunächst die Frage: Bin ich betroffen?
Hierfür ist die Kombination aus Unternehmensgröße und Sektor entscheidend. Auch wenn bisher keine Pflicht besteht, empfiehlt es sich, bereits jetzt zu handeln:

  • Durchführung einer Scope-Analyse: Prüfen, ob Größe und Sektor zur Einstufung führen
  • Aufbau eines Risikomanagement-Systems gemäß NIS2-Vorgaben
  • Erstellung oder Überarbeitung von Meldeprozessen und Notfallplänen
  • Identifikation und Bewertung von Risiken in der Lieferkette
  • Einbindung der Geschäftsleitung und Definition klarer Zuständigkeiten
  • Dokumentation der Maßnahmen zur späteren Nachweispflicht

Die Erfahrung aus NIS1 und KRITIS zeigt: Frühzeitige Vorbereitung zahlt sich aus – auch um spätere operative Belastung zu minimieren.

Ausblick: NIS2 ist erst der Anfang

NIS2 steht nicht allein. Weitere europäische Regulierungen wie die CER-Richtlinie, der Cyber Resilience Act (CRA) und DORA folgen ähnlichen Zielen und adressieren teils überlappende Zielgruppen. Unternehmen tun gut daran, ihre Cybersicherheitsstrategie künftig stärker regulatorisch integriert zu denken.

Fazit

Die NIS2-Richtlinie bringt spürbare Veränderungen für Unternehmen in ganz Europa – auch wenn sich die nationale Umsetzung verzögert. Die Anforderungen sind umfangreich, aber auch sinnvoll. Für betroffene Unternehmen heißt das: Jetzt vorbereiten, statt später unter Druck reagieren.

CHRIST Security GmbH steht Ihnen als Partner bei der Vorbereitung und Umsetzung gerne beratend zur Seite.

GRATIS ERSTGESPRÄCH
Weitere Artikel Entdecken
Webcast/Podcast

Jubiläumsfolge mit Jannik Christ

16.06.2025
Allgemein

Business Continuity - Disaster Recovery

29.04.2025
Allgemein

Frohe Ostern 2025

17.04.2025
Impressum | Datenschutz