NIS2 kurz vor der Umsetzung – Update Juni 2025

NIS2 kurz vor der Umsetzung – Update Juni 2025

Avatar of Tamara Heene
Tamara Heene
26. Juni 2025
5 min Lesezeit
Informationssicherheit

Was Führungskräfte jetzt wissen müssen

Was ist neu? Der BMI-Referentenentwurf vom 23. Juni 2025 ist nun die offizielle Grundlage der Verbände- und Fachkreisbeteiligung. Das 206-seitige Dokument löst den Entwurf vom 02. Juni 2025 (209 Seiten) ab.

Der Fokus liegt auf der Privatwirtschaft:

Mit den jüngsten Ausnahmen für große Teile der Bundesverwaltung wird klar: Die volle regulatorische Aufmerksamkeit gilt nun dem privaten Sektor.

Größerer Anwendungsbereich?

Im neuen Entwurf wurde die vage Formulierung in § 28 Abs. 3 NIS2UmsuCG („vernachlässigbare Tätigkeiten") beibehalten, die für Diskussion und Kritik sorgt, da sie den Kreis der betroffenen Unternehmen massiv ausweiten könnte, ohne eine klare Definition zu geben. Bei der Prüfung müssen jetzt sämtliche Unternehmensaktivitäten berücksichtigt werden – nur solche, die als „vernachlässigbar“ eingestuft werden können, bleiben außen vor. Viele könnten unerwartet in den Fokus rücken.

Da es (noch) keine Legaldefinition von „vernachlässigbar“ gibt, könnten Unternehmen andererseits versuchen, sich durch eine weitgehende Auslegung der eigenen Aktivitäten der Verantwortung zu entziehen und relevante Geschäftstätigkeiten aus dem Anwendungsbereich herauszunehmen. Dies könnte dazu führen, dass der eigentlich beabsichtigte Schutzbereich der Vorschrift unterlaufen wird.

Dies führt somit sowohl zu Unsicherheiten hinsichtlich der Reichweite als auch zu Risiken bei der Anwendung der Vorschrift – sowohl in Richtung einer zu weitgehenden Einbeziehung als auch einer möglichen Lücke durch gezieltes Heraushalten von Unternehmen.

Persönliche Haftung ist real:

Die NIS-2-Umsetzung zielt unmittelbar auf die Geschäftsführung ab – Unwissenheit oder Delegation schützt nicht vor Bußgeldern und persönlicher Verantwortung. Prüfen Sie deshalb umgehend Ihre Governance- und Kontrollstrukturen und verankern Sie regelmäßige Prüf- und Freigabeprozesse direkt auf Geschäftsleitungsebene. Die Übertragung der Verantwortung auf die IT-Abteilung oder externe Dienstleister genügt nicht, um die Geschäftsleitung von ihrer Pflicht zu befreien. Eigenverantwortung und aktive Steuerung bleiben unerlässlich.

Compliance ist ein Wettbewerbsvorteil:

Unternehmen, die jetzt proaktiv handeln, sichern sich nicht nur rechtlich ab, sondern bauen eine digitale Resilienz auf, die zum entscheidenden Vorteil im Markt wird.

Ein unterschätzter Faktor für Ihre strategische Planung

Die Frist für die Umsetzung der NIS2-Richtlinie rückt näher, und mit dem neuesten Entwurf des deutschen Umsetzungsgesetzes (NIS2UmsuCG) vom 23. Juni 2025 wird die Lage für rund 30.000 Unternehmen in Deutschland ernster. Es geht längst nicht mehr nur um ein weiteres IT-Compliance-Thema. Es geht um strategisches Risikomanagement, operative Kontinuität und die persönliche Haftung der Unternehmensleitung.

Deep Dive: Die entscheidenden Erkenntnisse aus dem Gesetzentwurf

Die „Vernachlässigbarkeits“-Falle

Im Referentenentwurf heißt es in § 28 Abs. 3 NIS2UmsuCG:

Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind.

Was das wirklich bedeutet:

Blog post image

Fazit für die Praxis

Die Klausel zur „Vernachlässigbarkeit“ ist juristisch wacklig, operativ unklar und strategisch riskant. Statt Zeit in Grenzwert-Gymnastik zu stecken, sollten Unternehmen jetzt robuste Informationssicherheits- und Risikomanagement-Strukturen aufbauen. Wer proaktiv in Cyber-Resilienz investiert, ist unabhängig davon geschützt, ob die Ausnahme letztlich Bestand hat oder nicht:

  1. Scope breit anlegen – Kritikalität statt Umsatz quotieren.
  2. Sofort in ein belastbares ISMS (ISO 27001/BSI-Grundschutz), Incident-Playbooks und belastbare Lieferkettenkontrollen investieren.
  3. Ressourcen in Security-Reife statt in Grenzwert-Gymnastik stecken – so ist Ihr Unternehmen geschützt, egal wie die Klausel politisch endet.

Mehr als nur IT: Warum NIS2 ein Thema für die gesamte Geschäftsführung ist

Viele Führungskräfte delegieren Cybersicherheit fälschlicherweise ausschließlich an die IT-Abteilung. Das ist unter NIS2 ein strategischer Fehler, der direkt zur persönlichen Haftung führen kann.

Der Business-Impact im Fokus:

  • ROI: Die Investition in ein robustes Informationssicherheits-Managementsystem (ISMS) nach ISO 2700I ist kein reiner Kostenfaktor. Sie ist Ihre Versicherung gegen Bußgelder und gegen existenzbedrohende Betriebsausfälle. Der Return on Investment ist die Sicherung Ihrer Geschäftskontinuität.
  • Risikominimierung: Das Gesetz verpflichtet die Geschäftsleitung explizit zur Überwachung der Cybersicherheitsmaßnahmen. Wer diese Pflicht verletzt, haftet persönlich. Dies schließt die gesamte Lieferkette ein. Ein schwaches Glied bei einem Zulieferer fällt auf Sie zurück.
  • Operative Effizienz: Ein nach NIS2-Standards aufgebautes ISMS zwingt Sie zur Optimierung Ihrer Prozesse. Sie identifizieren Schwachstellen, schaffen klare Verantwortlichkeiten und verbessern Ihre Reaktionsfähigkeit. Das Ergebnis ist eine schlankere, sicherere und widerstandsfähigere Organisation.NIS2-Standards aufgebautes ISMS zwingt Sie zur Optimierung Ihrer Prozesse. Sie identifizieren Schwachstellen, schaffen klare Verantwortlichkeiten und verbessern Ihre Reaktionsfähigkeit. Das Ergebnis ist eine schlankere, sicherere und widerstandsfähigere Organisation.

Ihr Fahrplan zur NIS2-Compliance: Ein strategischer 5-Schritte-Plan

Anstatt nur Checklisten abzuhaken, sollten Sie die Umsetzung als strategisches Projekt begreifen.

Schritt 1: Scope-Analyse

Beginnen Sie sofort mit einer neuen, ehrlichen Analyse Ihrer Geschäftstätigkeiten unter der Prämisse der „Nicht-Vernachlässigbarkeit". Welche Services, die Sie vielleicht als Randaktivität betrachten, könnten Sie in den Anwendungsbereich ziehen?

Schritt 2: ISMS als strategisches Asset implementieren

Sehen Sie die Einführung eines ISMS (z.B. nach ISO 27001 oder BSI IT-Grundschutz) nicht als bürokratische Hürde, sondern als das zentrale Nervensystem Ihrer digitalen Verteidigung.

Schritt 3: Lieferketten-Sicherheit zur Chefsache machen

Auditieren Sie die Cybersicherheit Ihrer kritischen Lieferanten und Dienstleister. Verankern Sie klare Sicherheitsanforderungen vertraglich. Ihre Resilienz ist nur so stark wie die Ihres schwächsten Partners.

Schritt 4: Incident Response als Markenschutz begreifen

Ein Sicherheitsvorfall wird wahrscheinlich irgendwann eintreten. Entscheidend ist, wie Sie reagieren. Ein erprobter und schneller Melde- und Reaktionsprozess (Meldung innerhalb von 24 Stunden an das BSI) schützt nicht nur vor Strafen, sondern auch vor massivem Reputationsschaden.

Schritt 5: Dokumentation als Haftungsschutz verstehen

Sorgfältige Dokumentation ist Ihr wichtigster Beweis gegenüber den Behörden. Sie zeigt, dass Sie Ihre Pflichten ernst genommen und nach bestem Wissen gehandelt haben. Dies ist Ihr entscheidender Schutzschild im Falle einer Prüfung.

Strategische Implikationen für Entscheidungsträger

Vom Pflichterfüller zum Gestalter:NIS2 ist kein reines Compliance-Thema mehr. Es ist ein Katalysator für die digitale Transformation. Unternehmen, die jetzt die richtigen Weichen stellen, werden agiler, sicherer und vertrauenswürdiger sein als ihre Wettbewerber.

Risikobewusstsein als neue Währung:Die Fähigkeit, Cyber-Risiken nicht nur technisch, sondern auch geschäftlich zu bewerten und zu managen, wird zu einer Kernkompetenz erfolgreicher Führungskräfte. Die unklare Rechtslage erfordert eine konservative, risikobewusste Haltung.

Die Lieferkette als strategisches Schlachtfeld:Die Sicherheit Ihrer Lieferkette wird zu einem entscheidenden Differenzierungsmerkmal. Wer nachweisen kann, dass seine gesamte Wertschöpfungskette sicher ist, gewinnt das Vertrauen von Kunden und Partnern.

Fazit: Ihr nächster logischer Schritt

Die jüngsten Änderungen im NIS2-Umsetzungsgesetz sind ein klares Signal: Abwarten ist keine Option mehr. Die Umsetzung wird aktuell mit Hochdruck vorangetrieben.

Ihre Aufgabe als Führungskraft ist es, diese regulatorische Herausforderung in eine strategische Chance zu verwandeln. Beginnen Sie nicht mit der Suche nach Schlupflöchern, sondern mit dem Aufbau einer robusten digitalen Festung.

Der logische nächste Schritt ist eine unverzügliche und umfassende Gap-Analyse. Die Einholung externer Expertise zur Navigation durch diese rechtliche Unsicherheit ist dabei kein Zeichen von Schwäche, sondern ein Akt strategischer Weitsicht.

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten