Datennetz, Schloss

NIS2-Umsetzungsgesetz ist in Kraft getreten – Was sich mit der Umsetzung der NIS2-Richtlinie für Unternehmen ändert

8. Dezember 2025

Der Bundestag hat am 13.11.2025 das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) beschlossen. Das Gesetz ist nunmehr am 6.12.2025 in Kraft getreten; eine Übergangsfrist ist nicht vorgesehen. Damit müssen sich betroffene Unternehmen u. a. innerhalb von drei Monaten nach dem Inkrafttreten der neuen Regelungen registrieren, ansonsten drohen Bußgelder. Unternehmen sollten daher sofort prüfen, welcher Einrichtungsart sie zuzuordnen sind, welche Pflichten sich daraus ergeben und wie IT-Sicherheitsstrukturen kurzfristig angepasst werden können.

Wer ist betroffen? – Erweiterter Adressatenkreis

Das NIS2UmsuCG betrifft weit mehr Unternehmen als die bisherigen KRITIS-Regelungen. Neben klassischen kritischen Anlagen (zuvor: Kritische Infrastrukturen) fallen künftig auch mittelgroße Unternehmen unter das Gesetz, sofern sie in kritischen Bereichen wie z. B. der Energieversorgung, Trinkwasserversorgung und Abwasserbeseitigung oder Abfallbewirtschaftung tätig sind. Zu den erfassten Einrichtungsarten gehören unter anderem:

  • Strom- und Gaslieferanten
  • Ladepunktbetreiber
  • Betreiber von Fernwärme- und Fernkälteversorgung
  • Wasserversorger und Abwasserbeseitigung
  • Unternehmen der Abfallbewirtschaftung

Der Anwendungsbereich wird wesentlich durch neue Unternehmensgrößenschwellen erweitert. Als wichtige Einrichtung gelten künftig bereits Unternehmen mit mindestens 50 Beschäftigten oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Mio. Euro. Gehört ein Unternehmen zu einer Unternehmensgruppe, müssen unter Umständen die Kennzahlen der gesamten Gruppe mitberücksichtigt werden.

Anzeigepflicht von kritischen Komponenten entschärft

Die zuletzt viel diskutierte Anzeigepflicht von kritischen Komponenten wurde auf der Grundlage der Beschlussempfehlung des Innenausschusses entschärft. Eine Anzeige vor dem erstmaligen geplanten Einsatz einer kritischen Komponente in einer kritischen Anlage wird nun nicht mehr notwendig sein. Es verbleibt jedoch bei der Befugnis des Bundesministeriums des Innern gegenüber den Betreibern kritischer Anlagen, den Einsatz einer kritischen Komponente zu untersagen.

Ausblick KRITIS-Dachgesetz – ein neuer Rahmen für physische Resilienz

Parallel zum NIS2UmsuCG treibt die Bundesregierung das KRITIS-Dachgesetz (KRITIS-DachG) voran, das die Richtlinie 2022/2557 über die Resilienz kritischer Einrichtungen (CER-Richtlinie) umsetzen soll. Nach erster Lesung Anfang November im Bundestag fand zuletzt, am 1.12.2025, eine Expertenanhörung zu dem Gesetzentwurf im Innenausschuss statt. Mit dem KRITIS-DachG soll ein sektorübergreifender Rahmen geschaffen werden, der neben der Identifizierung kritischer Anlagen auch den physischen Schutz dieser kritischen Anlagen stärkt. Ziel ist es, kritische Anlagen gegenüber physischen Bedrohungen wie Sabotage, Naturkatastrophen oder Ausfällen robuster aufzustellen.

Betroffene Sektoren und versorgungsrelevante Schwellenwerte

Das KRITIS-Dachgesetz soll insgesamt zehn Sektoren umfassen, darunter u. a. Energie, Wasser, Transport und Verkehr, Siedlungsabfallentsorgung sowie Informationstechnik und Telekommunikation.

Zudem soll grundsätzlich an der bisherigen Systematik der versorgungsrelevanten Schwellenwerte festgehalten werden: Anlagen sollen in der Regel dann erfasst werden, wenn sie eine Versorgung von mehr als 500.000 Personen sicherstellen. Daneben können weitere Faktoren die Schwellenwerte beeinflussen – etwa das geografische Gebiet einer kritischen Anlage, das von einem Vorfall betroffen wäre, der Marktanteil des Betreibers der kritischen Anlage oder das Ausmaß der Abhängigkeit anderer kritischer Sektoren von der von der Anlage erbrachten Dienstleistung.

Gerade dieser letzte Faktor kann sich besonders auf die Schwellenwerte im Bereich der Energieversorgung auswirken.  Der Gesetzesbegründung lässt sich sogar entnehmen, dass in einer Anlagenkategorie alle Anlagen unabhängig von einem Schwellenwert als kritisch gelten können.

Resilienzpflichten und Resilienzpläne

Betreiber kritischer Anlagen müssen umfassende Maßnahmen ergreifen, um Vorfälle zu verhindern, ihre Anlagen physisch zu schützen, bei Vorfällen angemessen reagieren zu können und die Dienstleistungen der kritischen Anlagen schnell wiederherzustellen. Grundlage dafür sollen nationale sowie unternehmensinterne Risikoanalysen und Risikobewertungen sein, auf deren Basis technische, organisatorische und sicherheitsbezogene Maßnahmen nach dem Stand der Technik und unter Berücksichtigung der Verhältnismäßigkeit umzusetzen sind. Alle Maßnahmen sind in einem Resilienzplan zu dokumentieren und regelmäßig zu aktualisieren.

Im Rahmen des Gesetzgebungsverfahrens wird aktuell insbesondere diskutiert, ob die Abwehr von auffälligen oder sicherheitsrelevanten unbemannten Luftfahrtsystemen, womit Drohnen gemeint sind, in die Auflistung der mit den Maßnahmen zu verfolgenden Ziele in § 13 Abs. 1 KRITIS-DachG aufgenommen werden soll.

Erweiterung der IT-Sicherheitskataloge um physische Nachweispflichten

Zudem sollen durch das KRITIS-DachG die Nachweispflichten in den IT-Sicherheitskatalogen erweitert werden. Betroffen wären voraussichtlich Betreiber kritischer Anlagen der Stromversorgung, Gasversorgung und Wasserstoffversorgung. Die spezialgesetzlichen Regelungen sehen neben der Umsetzung eines Sicherheitskatalogs für die physische Resilienz der BNetzA auch die Dokumentation über die Einhaltung der Resilienzpflichten vor.

Fazit und Ausblick: Resilienzmaßnahmen schneller und umfassender ausbauen

Die aktuelle Gesetzgebung zeigt deutlich, dass Unternehmen in kritischen und versorgungsrelevanten Bereichen ihre Sicherheits- und Resilienzmaßnahmen schneller und umfassender ausbauen müssen als je zuvor. Mit dem NIS2UmsuCG und dem kommenden KRITIS-Dachgesetz entstehen zwei zentrale Regelwerke, die IT-Sicherheit und physischen Schutz erstmals gemeinsam in den Fokus einer modernen Sicherheitsarchitektur rücken.

Ansprechpartner:innen: Thomas Schmeding/Dr. Julien Wilmes-Horváth/Alexander Bartsch

Weitere Ansprechpartner:innen: Kathrin Lemke/Victor Stocker/Lukas Haun

P.S.: Sie interessieren sich für das Thema? Dann nehmen Sie doch am Webinar „IT-Sicherheit stärken, Bußgelder vermeiden: Das neue NIS2-Gesetz verstehen und umsetzen“ am 17.12.2025 oder 07.1.2026 teil.

Hinweise zu den nunmehr gesetzlich verpflichtenden Schulungen für Geschäftsleitungen finden Sie hier:

Share
Weiterlesen
Frau in Anzug und Brille lächelt

18 Januar

Interview: Wasserwirtschaftliche Jahrestagung mit Ulrike Franzke, Vorständin, Stadtentwässerungsbetriebe Köln

Vom 28.1.2026 bis 30.1.2026 findet in Meisenheim die Wasserwirtschaftliche Jahrestagung „Wachsende Investitionen in der (Ab-)Wasserwirtschaft erfolgreich umsetzen“ statt. Die Branche steht vor enormen Herausforderungen: Ein großer Teil der Infrastruktur erreicht das Ende seiner Nutzungsdauer, Klimawandel, demografische Veränderungen und neue Vorschriften...

Weiterlesen
Mann in Anzug und Brille lehnt an einem Tisch.

17 Januar

Interview: Wasserwirtschaftliche Jahrestagung mit Lars Schmidt, Kaufmännischer Geschäftsführer, Harzwasserwerke GmbH

Vom 28.1.2026 bis 30.1.2026 findet in Meisenheim die Wasserwirtschaftliche Jahrestagung „Wachsende Investitionen in der (Ab-)Wasserwirtschaft erfolgreich umsetzen“ statt. Die Branche steht vor enormen Herausforderungen: Ein großer Teil der Infrastruktur erreicht das Ende seiner Nutzungsdauer, Klimawandel, demografische Veränderungen und neue Vorschriften...

Weiterlesen