NIS-2-Umsetzung im Bundestag beschlossen

Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

[datensicherheit.de, 13.11.2025] Mit der Verabschiedung des Gesetzes zur Umsetzung der EU-Richtlinie NIS-2 am 13. November 2025 durch den Bundestag wird nach Ansicht des Digitalverbands Bitkom die Cybersicherheit in Deutschland gestärkt und mehr Rechtssicherheit für Unternehmen geschaffen. Zugleich könnten die Neuregelungen für den Einsatz sogenannter Kritischer Komponenten erhebliche Auswirkungen auf die Investitionsentscheidungen von Unternehmen und damit die Digitalisierung in Deutschland haben.

Foto: Bitkom

Dr. Ralf Wintergerst warnt: Unternehmen brauchen verlässliche Rahmenbedingungen, Verbote können erhebliche Auswirkungen auf die Geschäftstätigkeit haben!

NIS-2-Richtlinie soll zur Stärkung der Resilienz und Cybersicherheit in der EU führen

„Die Umsetzung der europäischen NIS-2-Richtlinie war überfällig. Cyberangriffe bedrohen Wirtschaft, Verwaltung und Gesellschaft. Den deutschen Unternehmen ist so zuletzt ein jährlicher Schaden von 202 Milliarden Euro entstanden“, kommentiert der Bitkom-Präsident, Dr. Ralf Wintergerst.

• Ziel der NIS-2-Richtlinie sei die Stärkung von Resilienz und Cybersicherheit in den Mitgliedstaaten. Dafür sei unter anderem die Definition Kritischer Infrastruktur (KRITIS) erweitert und damit eine Vielzahl von Unternehmen zu besonderen Sicherheitsvorkehrungen verpflichtet worden.

Als „äußerst positiv“ bewertet Bitkom, dass im nun verabschiedeten Gesetz nachgelagerte Bundesbehörden in den Anwendungsbereich von NIS-2 einbezogen werden. Besonders in sensiblen Bereichen der Bundesverwaltung könnten Sicherheitslücken erhebliche finanzielle Schäden verursachen und das Vertrauen in demokratische Institutionen beschädigen.

Konsequent und richtig, dass auch Bundesbehörden NIS-2 genügen müssen

„Eine wirksame und glaubwürdige Cybersicherheitsarchitektur setzt voraus, dass der Staat selbst höchste Sicherheitsstandards einhält!“, betont Wintergerst. Es sei nur konsequent und richtig, dass Bundesbehörden künftig denselben Anforderungen beim Risikomanagement unterlägen wie regulierte Unternehmen.

• Dagegen seien die zuletzt in das Gesetzgebungsverfahren eingebrachten Neuregelungen zu sogenannten Kritischen Komponenten eher schädlich. Vorgesehen sei nun, dass das Bundesinnenministerium (BMI) in Abstimmung mit anderen Ressorts Kritische Komponenten definiere und künftig auch eigenständig deren Einsatz untersagen könne.

„Unternehmen brauchen verlässliche Rahmenbedingungen, Verbote können erhebliche Auswirkungen auf die Geschäftstätigkeit haben. Vor solch wichtigen Entscheidungen müssen die Betroffenen unbedingt vorab konsultiert werden“, unterstreicht Wintergerst.

Bitkom-Forderung, „KRITIS-Dachgesetz“ an „NIS-2-Umsetzungsgesetz“ anzupassen und zeitnah umzusetzen

Die Definition Kritischer Komponenten sollte nach Ansicht des Bitkom auch künftig auf Grundlage technischer Kriterien durch die Bundesnetzagentur (BNetzA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen.

• Um Deutschland vor Cyberangriffen zu schützen und einen ganzheitlichen Ansatz für digitale Sicherheit zu schaffen, sollten Unternehmen bei der praktischen Umsetzung der NIS-2-Anforderungen durch das BSI unterstützt werden.

Zudem müsse nun auch das „KRITIS-Dachgesetz“ an das „NIS-2-Umsetzungsgesetz“ angepasst und zeitnah umgesetzt werden.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Ralf Wintergerst – Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

datensicherheit.de, 13.11.2025
NIS-2 in Deutschland: Später Start erfordert nun Vertrauen und Klarheit zu schaffen / Die Umsetzung der NIS-2-Richtlinie steht unmittelbar auf der Agenda – die neuen Vorgaben sollen ohne Übergangsfrist gelten

datensicherheit.de, 18.10.2025
Umsetzung der NIS-2-Richtlinie: Verschleppung der Cybersicherheitsreform kritisiert / Die EU war lange Vorreiter bei Cybersicherheitsgesetzen – doch NIS-2 gilt als Richtlinie und nicht als direkt geltende Verordnung, wodurch ein „Flickenteppich“ nationaler Lösungen droht

datensicherheit.de, 16.10.2025
NIS-2: Genug Vorlauf – eco fordert nun Präzision / Der eco begrüßt sehr wohl die intensive politische Diskussion um die NIS-2-Richtlinie, betont aber, dass es nun an der Zeit ist, Rechtssicherheit zu schaffen

datensicherheit.de, 13.09.2025
Bitkom betont herausragende Bedeutung des KRITIS-Dachgesetzes für Deutschland / Die Umsetzungsfrist für das „KRITIS-Dachgesetz“ ist bereits am 18. Oktober 2024 verstrichen – gegen Deutschland läuft bereits ein „Vertragsverletzungsverfahren“ der EU-Kommission

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden