NIS-2 stockt – Was Unternehmen jetzt wissen müssen
Die Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit (NIS-2) sollte bis zum 17. Oktober 2024 in nationales Recht überführt werden. Doch die Realität sieht anders aus: Die NIS-2 stockt. Während in anderen EU-Staaten bereits erste Gesetze in Kraft treten, herrscht in Deutschland weiterhin Unklarheit über die konkrete Ausgestaltung. Für Unternehmen und Betreiber kritischer Infrastrukturen schafft das eine rechtliche und strategische Grauzone.
Klar geregelt, aber nicht umgesetzt – Wo steht NIS-2 wirklich?
Die NIS-2-Richtlinie wurde am 14. Dezember 2022 verabschiedet und verpflichtet die Mitgliedstaaten laut Art. 41 Abs. 1 der Richtlinie EU 2022/2555 dazu, die Vorgaben bis spätestens 17. Oktober 2024 in nationales Recht zu überführen. Ab dem 18. Oktober sollte sie dann wirksam werden. Doch aktuell befindet sich der Gesetzesentwurf in Deutschland noch vor der zweiten Lesung im Parlament. Es gibt keinen offiziellen Zeitplan, keine verabschiedete Regelung – und auch keine klare Aussage des Bundesministeriums des Innern und für Heimat (BMI).
Die EU hat mit NIS-2 einen klaren Rahmen geschaffen: Betreiber wesentlicher Dienste, digitale Dienstleister, mittelgroße und große Unternehmen in bestimmten Sektoren sowie Produkthersteller sollen künftig strengere Cybersicherheitsmaßnahmen umsetzen. Die Richtlinie erweitert die Vorgaben der ursprünglichen NIS von 2016 deutlich – sowohl hinsichtlich der Meldepflichten bei Sicherheitsvorfällen als auch in Bezug auf den Kreis der betroffenen Unternehmen. Dass die NIS-2 stockt, macht die rechtliche Lage nicht einfacher – im Gegenteil: Es entstehen Unsicherheiten auf mehreren Ebenen.
Deutschland zögert – Wie lange können Unternehmen warten?
Dass die NIS-2 stockt, hat mehrere Ursachen. Schon Mitte 2024 zeichnete sich ab, dass Deutschland die Frist kaum einhalten wird. Während andere EU-Länder wie Frankreich, Dänemark oder die Niederlande bereits nationale Gesetze verabschiedet haben, liegt in Deutschland bislang nur ein Regierungsentwurf vor. Eine öffentliche Konsultation oder ein breiter politischer Diskurs sind bisher ausgeblieben.
Das Schweigen des BMI verstärkt die Unsicherheit in der Wirtschaft. Für viele Unternehmen stellt sich die Frage: Müssen wir uns bereits an NIS-2 halten – oder können wir abwarten, bis ein nationales Gesetz verabschiedet ist?
Tatsächlich verpflichtet Art. 41 EU 2022/2555 die Mitgliedstaaten zur Umsetzung, aber solange Deutschland kein konkretes Gesetz vorlegt, bleibt nur der Rückgriff auf das supranationale Recht. Nationale Gerichte müssen bestehende Gesetze „richtlinienkonform“ auslegen. Das bedeutet: Unternehmen können unter Umständen schon heute an den Zielen der NIS-2 gemessen werden – ohne dass sie wissen, wie genau sie diese erfüllen sollen. Während die NIS-2 stockt, wächst der Handlungsdruck.
Rechtsunsicherheit auf Seiten der Wirtschaft
Gerade für Unternehmen in kritischen Sektoren – etwa Energie, Finanzen, Gesundheit, Transport oder digitale Infrastruktur – bedeutet die Verzögerung ein erhebliches Risiko. Die Unsicherheit betrifft nicht nur Haftungsfragen, sondern auch Investitionen in Sicherheitsarchitekturen, Audits und Prozesse.
Ohne klare nationale Vorgaben können Unternehmen kaum prüfen, ob ihre Maßnahmen den Anforderungen entsprechen. Gleichzeitig steigt der Druck: Ein Verstoß gegen die (bald geltenden) Vorschriften kann empfindliche Bußgelder nach sich ziehen. Die Europäische Kommission hat bereits angekündigt, Vertragsverletzungsverfahren einzuleiten, wenn Länder ihre Pflichten nicht erfüllen. Laut Art. 258 AEUV kann dies im Extremfall zu Klagen vor dem Europäischen Gerichtshof führen. Dass die NIS-2 stockt, schützt Unternehmen nicht vor der Pflicht, vorbereitet zu sein.
Kommt die Umsetzung erst 2025? Was Branchen jetzt vermuten
In verschiedenen Fachportalen, LinkedIn-Beiträgen und Branchennachrichten mehren sich die Hinweise, dass mit einer tatsächlichen Umsetzung in Deutschland nicht vor 2025 zu rechnen ist. Doch eine offizielle Stellungnahme seitens der Bundesregierung gibt es bisher nicht. Auch eine Zwischenlösung, wie etwa ein vorläufiger Anwendungshinweis oder eine Übergangsregelung, wurde bislang nicht veröffentlicht. Die Diskussion über die Gründe, warum die NIS-2 stockt, bleibt damit öffentlich unbeantwortet.
Für betroffene Unternehmen bedeutet das: Die NIS-2 stockt – aber sie bleibt verbindlich. Wer auf Sicherheit setzt, sollte sich bereits jetzt mit den Inhalten der Richtlinie vertraut machen und interne Strukturen auf mögliche Anforderungen prüfen.
Diese Pflichten bringt die NIS-2 mit sich
NIS-2 legt einen klaren Fokus auf das Risikomanagement. Unternehmen müssen künftig Cybersicherheitsmaßnahmen nicht nur technisch, sondern auch organisatorisch und prozessual verankern. Dazu zählen unter anderem:
- eine kontinuierliche Risikoanalyse,
- verpflichtende Sicherheitsberichte,
- klare Meldewege bei Vorfällen,
- Schulungen für Führungskräfte,
- und ein dokumentierter Notfallplan.
Auch kleinere Unternehmen können betroffen sein, wenn sie als Zulieferer für größere Organisationen agieren oder in sensiblen Sektoren tätig sind. Die Richtlinie nutzt unter anderem die EU-Kriterien aus der Empfehlung 2003/361/EG zur Bestimmung der Unternehmensgröße. Obwohl die NIS-2 stockt, sollten Unternehmen die Umsetzung der genannten Pflichten nicht auf die lange Bank schieben.
Warten ist keine Strategie – So bereiten Sie sich vor
Die NIS-2 stockt – und das bringt Unsicherheit mit sich. Doch wer auf die Umsetzung wartet, riskiert unnötige Verzögerungen bei der Anpassung seiner Sicherheitsprozesse. Unternehmen tun gut daran, sich bereits jetzt an den Maßstäben der Richtlinie zu orientieren. Das umfasst technische Schutzmaßnahmen ebenso wie interne Prozesse und Dokumentation.
Auch ohne nationales Gesetz gilt: Die Pflicht zur Cybersicherheit ist da – und wird kommen. Wer heute investiert, ist morgen vorbereitet.
Offizielle Informationen zur Richtlinie finden Sie direkt bei der EU-Kommission zur NIS-2-Richtlinie.
Eine Übersicht über laufende Gesetzgebungsverfahren erhalten Sie über das Bundesministerium des Innern und für Heimat.
Jetzt Kontakt aufnehmen und individuelle Beratung zur NIS-2 erhalten
Disclaimer:
Die von uns verwendeten Links sind am 22.4.2025 gesetzt worden und enthielten zu diesem Zeitpunkt keine rechtswidrigen Inhalte. Sie können nach diesem Datum jedoch zu fremden Inhalten führen, die wir nicht regelmäßig überprüfen können und für die wir keine Verantwortung übernehmen.