NIS-2-Umsetzungsgesetz in Kraft: Verpflichtende Umsetzungsphase lässt keine weiteren Verzögerungen zu

Die NIS-2-Vorgaben gelten nunmehr für viele Organisationen in „wichtigen“ und „kritischen“ Sektoren und reichen deutlich weiter als bisherige KRITIS-Regelungen

[datensicherheit.de, 07.12.2025] Roland Stritt, CRO beim deutschen Hard- und Softwarehersteller FAST LTA, kommentiert den Umstand, dass Bundestag und Bundesrat das NIS-2-Umsetzungsgesetz verabschiedet haben: „Damit startet für rund 30.000 Unternehmen in Deutschland eine verpflichtende Umsetzungsphase, die keine Verzögerungen zulässt!“ Die Vorgaben gelten demnach für viele Organisationen in „wichtigen“ und „kritischen“ Sektoren und reichten deutlich weiter als bisherige KRITIS-Regelungen. „Ob ein Unternehmen betroffen ist, hängt von seiner Rolle und Tätigkeit im jeweiligen Bereich ab“, betont Stritt und erläutert, welche Aufgaben nun auf rund 30.000 Unternehmen warten:

Foto: FAST LTA

Roland Stritt: Die regulatorische Welle nimmt Tempo auf: Für Unternehmen zählt jetzt nicht mehr, ob sie handeln, sondern wie schnell und wie wirksam!

NIS-2-Anforderungen sollen Resilienz der Unternehmen erhöhen und Sicherheit zentraler Dienstleistungen stärken

Unternehmen müssten sich innerhalb von drei Monaten nach den gesetzlichen Vorgaben registrieren. „Die Umsetzungspflichten gelten sofort, es gibt keinen Aufschub und keine Schonfrist!“

• Diese umfassten eine klare „Scope“-Definition, ein wirksames Risikomanagement, feste Meldewege und umfassende Cybersecurity-Maßnahmen.

„Die Anforderungen sollen die Resilienz der Unternehmen erhöhen und die Sicherheit zentraler Dienstleistungen stärken“, so Stritt.

Nach NIS-2 stehen noch weitere Regulierungen an

Parallel liefen weitere regulatorische Prozesse an. Das „KRITIS-Dachgesetz“ befinde sich in Vorbereitung und sehe verschärfte physische und digitale Schutzmaßnahmen vor. Es bringe neue Meldepflichten und eine zusätzliche Aufsicht durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

• „Im Energiesektor werden neue IT-Sicherheitskataloge der Bundesnetzagentur erwartet. Sie sollen NIS-2 und das KRITIS-Dachgesetz zusammenführen und Nachweispflichten aus dem Energiewirtschaftsgesetz einbinden.“

„Cloud“- und IT-Dienstleister müssten zudem den „EU Implementing Act“ erfüllen. „Die Vorgaben aus § 30 BSIG-E decken diese Anforderungen nicht ab.“ Auch die „KRITIS-Verordnung“ werde überarbeitet. Welche Sektoren und Schwellenwerte künftig gelten, sei aktuell noch offen.

Wegen verspäteter NIS-2-Umsetzung EU-Vertragsverletzungsverfahren gegen Deutschland

„Die EU beobachtet die Entwicklung genau. Wegen der verspäteten Umsetzung läuft ein Vertragsverletzungsverfahren gegen Deutschland“, erläutert Stritt. Andere EU-Mitgliedstaaten warteten auf ein deutsches Gesetz, welches als Orientierung dienen könnte.

• „Die regulatorische Welle nimmt Tempo auf: Für Unternehmen zählt jetzt nicht mehr, ob sie handeln, sondern wie schnell und wie wirksam!“ Cybersecurity und Resilienz seien indes keine reine „Compliance“-Aufgabe. Sie würden zum festen Bestandteil der Geschäftsstrategie und zum Wettbewerbsfaktor.

Stritt gibt abschließend zu bedenken: „Wir empfehlen, die neuen Vorgaben frühzeitig in eine übergreifende Sicherheits- und Datenstrategie einzubetten! Unternehmen, die früh planen, sichern sich klare Vorteile.“

Weitere Informationen zum Thema:

FAST LTA
Hallo. Unsere Produkte und Services helfen unseren mittelständischen Kunden, Datensicherung und Datenmigration zu vereinfachen, rechtliche und regulatorische Risiken zu minimieren, und das langfristige Risiko, Daten zu verlieren, zu verringern.

CRN.DE, Folker Lück, 10.06.2025
Neuer Vertriebschef für Fast LTA / Der On-Premises Enterprise-Storage-Lösungsanbieter Fast LTA GmbH hat Roland Stritt mit Wirkung zum 1. Mai 2025 zum Chief Revenue Officer (CRO) ernannt. Damit verantwortet Roland Stritt künftig die Bereiche Vertrieb und Marketing. Er soll die strategische Ausrichtung im europäischen Markt voranbringen.

datensicherheit.de, 06.12.2025
Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam / Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben dennoch nicht aus

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen / Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

datensicherheit.de, 13.11.2025
NIS-2 in Deutschland: Später Start erfordert nun Vertrauen und Klarheit zu schaffen / Die Umsetzung der NIS-2-Richtlinie steht unmittelbar auf der Agenda – die neuen Vorgaben sollen ohne Übergangsfrist gelten