Zum Inhalt springen
Nahaufnahme der rechten Hand einer Person, die auf der Tastatur eines aufgeklappten Laptops ist. Über das Bild sind mehrere Schlösser gelegt. Um jedes Schloss ist ein Kreis oder ein Sechseck. Die Schlösser sind durch Linien miteinander verbunden
© Michael Traitov | stock.adobe.com

Deutschland beschließt NIS-2-Umsetzungsgesetz

Gesetz auch für viele heimische Unternehmen relevant

Lesedauer: 2 Minuten

27.11.2025

Am 13. November 2025 hat der Deutsche Bundestag das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie verabschiedet, der Bundesrat hat am 20. November zugestimmt. Es ist daher damit zu rechnen, dass das Gesetz voraussichtliche Ende 2025/Anfang 2026 in Kraft tritt. Damit wird das deutsche IT-Sicherheitsrecht grundlegend modernisiert und deutlich ausgeweitet. Ziel ist es, die Cybersicherheit in Unternehmen und der Bundesverwaltung nachhaltig zu stärken.

Die betroffenen Unternehmen und Einrichtungen müssen künftig Schutzmaßnahmen wie etwa Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen ergreifen. Cyberangriffe müssen binnen 24 Stunden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, das mit dem Gesetz mehr Aufsichtsbefugnisse erhält und bei schwerwiegenden Verstößen Bußgelder verhängen kann.

Relevanz für Unternehmen in Österreich

Das deutsche Gesetz ist auch für österreichische Unternehmen relevant, insbesondere

  • in der Konzernstruktur (wenn zB die deutsche Muttergesellschaft interne RL vorgibt, die auch für öst. Tochtergesellschaften gelten) oder
  • in der Lieferkette, wenn heimische Unternehmen deutsche NIS-2-Einrichtungen beliefern und diese vertraglich Cybersicherheitsanforderungen entsprechend dem NIS-2-Umsetzungsgesetz einfordern.

Rechtslage in Österreich

In Österreich wurde das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) am 20.11.2025 im Ministerrat beschlossen. Das Gesetz dient der Umsetzung der NIS-2- Richtlinie und soll – nach dem parlamentarischen Gesetzgebungsprozess - 9 Monate nach Kundmachung im Bundesgesetzblatt mit dem nächstfolgenden Monatsersten in Kraft treten (weitere Infos).

Erweiterter Anwendungsbereich und neue Pflichten

Kernstück des Gesetzes ist die Novellierung des BSI-Gesetzes (BSIG). Während bisher rund 4.500 Einrichtungen unter das BSIG fielen – darunter Betreiber Kritischer Infrastrukturen und Anbieter digitaler Dienste – erweitert das neue Gesetz den Kreis auf etwa 29.500 Einrichtungen.

Anmerkung für Österreich: In Österreich geht man derzeit von ca. 4.000 Einrichtungen im direkten NIS-2-Anwendungsbereich aus, zusätzlich sind zigtausende Dienstleister und Lieferanten indirekt betroffen.

Ein großer Unterschied zwischen Deutschland und Österreich ist, dass es in Deutschland bisher schon eine KRITIS-Gesetzgebung gibt, auf die der Gesetzgeber aufbauen kann bzw. auch Rücksicht nehmen muss, während es in Österreich noch keine umfassende gesetzliche Regelung für die kritische Infrastruktur gibt.

Neu hinzu kommen die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“.

Hinweis
Anmerkung für Österreich: Der Gesetzesentwurf NISG 2024 verwendet anders als in Deutschland ebenso wie die NIS-2-Richtlinie die Begriffe „wesentliche“ und „wichtige Einrichtungen“ („important and essential entities“).

Für diese Unternehmen gelten künftig umfassende gesetzliche Pflichten:

  • Registrierung beim BSI
  • Meldung erheblicher IT-Sicherheitsvorfälle
  • Umsetzung technischer und organisatorischer Maßnahmen zum Risikomanagement
  • Berücksichtigung der Sicherheit in der Lieferkette
  • Verantwortung der Geschäftsleitung für die Einhaltung der Vorgaben
Hinweis
Anmerkung für Österreich: Auch der Gesetzesentwurf NISG 2024 sieht diese Pflichten vor, wobei die Behördenstruktur in Österreich beim BMI angesiedelt werden soll.

Keine Übergangsfrist vorgesehen

Das Gesetz sieht keine Übergangsfrist für die Umsetzung vor, Unternehmen müssen daher rasch entsprechende Maßnahmen umsetzen.

Die Veröffentlichung im Bundesgesetzblatt und die Unterzeichnung durch den Bundespräsidenten stehen noch aus, das Inkrafttreten wird jedoch sehr bald erwartet.

Anforderungen an die Bundesverwaltung

Auch die Bundesverwaltung wird verpflichtet, Mindeststandards der Informationssicherheit einzuhalten. Diese orientieren sich unter anderem am IT-Grundschutz-Kompendium des BSI. Darüber hinaus soll eine ressortübergreifende IT-Governance-Struktur etabliert werden, um Cybersicherheit gemeinsam und kontinuierlich weiterzuentwickeln. Die Koordination übernimmt auch hier das BSI als CISO Bund.

Fazit: Jetzt handeln – NIS-2 rasch umsetzen!

Die Verabschiedung des NIS-2-Umsetzungsgesetzes in Deutschland zeigt deutlich: Die Anforderungen an die Cybersicherheit steigen europaweit – und zwar ohne Übergangsfristen. Auch in Österreich steht die Umsetzung der NIS-2-Richtlinie bevor. Unternehmen, die in den Anwendungsbereich der Richtlinie fallen oder derartigen Einrichtungen als Kunden haben, sind daher gut beraten, jetzt aktiv zu werden.

Was ist zu tun?

  • Rechtliche Einordnung prüfen: Gehört mein Unternehmen zu den „wesentlichen“ oder „wichtigen Einrichtungen“? Ist mein Unternehmen Lieferant oder Dienstleister für NIS-2 Einrichtungen in der EU?
  • Pflichten analysieren: Welche Anforderungen gelten konkret – z. B. in Bezug auf Risikomanagement, Meldepflichten oder Lieferkettensicherheit? Was davon ist schon umgesetzt, was muss noch umgesetzt werden?
  • Maßnahmen umsetzen: Aufbau oder Anpassung eines angemessenen Informationssicherheitsmanagementsystems (ISMS), Schulung der Geschäftsleitung, Etablierung von Meldeprozessen u.v.m.