NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation

Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden

[datensicherheit.de, 01.08.2025] Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie werde das deutsche IT-Sicherheitsrecht umfassend modernisiert und der angespannten Bedrohungslage im Cyberraum Rechnung getragen – dem Bundesamt für Sicherheit in der Informationstechnik (BSI) fällt dabei nach eigenen Angaben „eine Schlüsselrolle“ zu.

Foto: BMI, Hennig Schacht

Claudia Plattner: Das BSI unterstützt Unternehmen mit Beratungsangeboten und wird die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten

Im Zuge der NIS-2-Umsetzung wird das BSI künftig rund 29.500 Einrichtungen beaufsichtigen

Der Gesetzesentwurf sieht demnach unter anderem vor, das BSI-Gesetz (BSIG) zu novellieren und den Kreis der regulierten Organisationen um die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ zu erweitern.

• Bislang waren laut BSI ca. 4.500 Einrichtungen vom BSIG erfasst: Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Mit der Erweiterung werde das BSI künftig rund 29.500 Einrichtungen beaufsichtigen, für die neue gesetzliche Pflichten in der IT-Sicherheit greifen.

So müssten sich etwa „besonders wichtige“ und „wichtige“ Einrichtungen registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Risikomanagement-Maßnahmen implementieren. Dazu zählten unter anderem Risikoanalysen, Konzepte zur Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Schulungen und Sensibilisierungsmaßnahmen, Multi-Faktor-Authentifizierung und sichere Kommunikation.

NIS-2-Richtlinie macht Cybersicherheit zur „Chefsache“

Zudem mache die NIS-2-Richtlinie Cybersicherheit zur „Chefsache“: Geschäftsführungen betroffener Einrichtungen seien dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen.

• Von Einrichtungen der Bundesverwaltung verlange der vorliegende Gesetzesentwurf, Mindestanforderungen der Informationssicherheit zu erfüllen, „die sich u.a. aus dem IT-Grundschutz-Kompendium des BSI und Mindeststandards für die Sicherheit in der Informationstechnik des Bundes ergeben“.

Die BSI-Präsidentin, Claudia Plattner, kommentiert: Mit dem Regierungsentwurf gehe Deutschland einen „wichtigen Schritt in Richtung einer resilienten Cybernation“. Um Wohlstand und Stabilität weiterhin sichern zu können, müssten Wirtschaft und Staat sich besser gegen Cybergefahren wappnen. Die Wirtschaft brauche dabei Planungssicherheit: „Unternehmen müssen schnell und rechtssicher feststellen können, ob sie von der NIS-2-Richtline betroffen sind.“

BSI-Webseite stellt interaktive NIS-2-Betroffenheitsprüfung online zur Verfügung

Plattner erläutert: „Das BSI unterstützt sie dabei mit Beratungsangeboten schon heute und wird die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten. Für den Cyberschutz des Staates ist der Regierungsentwurf ebenfalls ein wichtiger Meilenstein: Dass Einrichtungen der Bundesverwaltung BSI-Standards wie den IT-Grundschutz umsetzen, ist dafür wesentliche Voraussetzung.“

• Der stetig wachsenden Bedrohungslage im Cyberraum müsse besonders in der Bundesverwaltung zudem eine wirkungsvolle Antwort in Form einer robusten IT-Governance-Struktur entgegengesetzt werden. Diese Struktur sollte sich über alle Ressorts, Behörden und Institutionen der Bundesverwaltung erstrecken und dem Ziel dienen, IT-Sicherheit gemeinsam zu organisieren und kontinuierlich zu verbessern.

Um Einrichtungen zu informieren, die potenziell von neuen gesetzlichen Pflichten betroffen sind, erstellt das BSI fortlaufend Unterstützungsangebote und umfangreiche Informationen – einschließlich einer auf einer BSI-Webseite veröffentlichten interaktiven NIS-2-Betroffenheitsprüfung.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
NIS-2-regulierte Unternehmen / Informationen für „besonders wichtige“ und „wichtige“ Einrichtungen

Bundesamt für Sicherheit in der Informationstechnik
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG)

Bundesministerium des Innern, 30.07.2025
Stärkerer Schutz vor Cyberangriffen: Bundesregierung bringt neues IT-Sicherheitsgesetz auf den Weg / Rund 29.500 Unternehmen sollen aktiv zur Cybersicherheit beitragen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält mehr Möglichkeiten zur Unterstützung und Kontrolle.

datensicherheit.de, 31.07.2025
Bitkom-Forderung, das NIS-2-Umsetzungsgesetz nach der Sommerpause endgültig im Bundestag zu verabschieden / Das Bundeskabinett hat am 30. Juli 2025 das Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung beschlossen

datensicherheit.de, 31.07.2025
NIS-2: eco begrüßt Kabinettsbeschluss – und moniert noch offene Fragen / Damit kehrt das Thema Cybersicherheit endlich auf die politische Bühne zurück – überfällig angesichts der sicherheitspolitischen Lage, so Ulrich Plate, Leiter der eco-Kompetenzgruppe „KRITIS“

datensicherheit.de, 30.07.2025
NIS-2: Nationales Umsetzungsgesetz soll Cybersicherheit der deutschen Wirtschaft stärken / Der TÜV-Verband begrüßt NIS-2-Umsetzung und fordert Nachbesserungen: Ausnahmeregelungen seien zu schärfen oder zu streichen, damit Unternehmen klare Vorgaben erhalten, wie Nachweise für die Umsetzung zu erbringen sind

datensicherheit.de, 15.07.2025
Erfahrungsbericht WienIT: Reduzierung des Backup-Datenspeichers um 50 Prozent und NIS-2-Konformität / WienIT sorgt im Hintergrund dafür, dass die IT-Infrastruktur der Wiener Stadtwerke-Gruppe nebst wichtiger Back-Office-Prozesse und Services möglichst reibungslos zur Verfügung steht

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 06.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 10.02.2025
Cyber-Nation: TeleTrusT veröffentlicht Forderungskatalog zur Umsetzung des Konzeptes / Insbesondere Kommunikation, Kooperation und Koordination auf Basis gemeinsamer Grundwerte berührt – der TeleTrusT richtet zentrale Forderungen an die Stakeholder

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen