NIS-2-Hammer: Bundestag beschließt neues Cybersicherheitsgesetz, tausende Firmen betroffen

Der Bundestag hat den Hammer fallen lassen. Das neue NIS-2-Umsetzungsgesetz wurde am 13. November 2025 beschlossen. Damit folgt der Bund den Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik), das erst kürzlich gewarnt hatte, die Cybersicherheitslage in Deutschland sei extrem angespannt. Die Bundesregierung reagiert nun auf diesen Weckruf. Das neue Cybersicherheitsgesetz, offiziell "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" (NIS2UmsuCG), so der volle Name, soll die IT-Sicherheit jetzt fundamental umkrempeln. Der größte Paukenschlag ist die Ausweitung der Betroffenen. Bisher galten die strengen Regeln des BSI-Gesetzes (BSIG) nur für etwa 4.500 Betreiber Kritischer Infrastrukturen (KRITIS). Diese Zahl explodiert jetzt. Künftig stehen rund 29.500 Einrichtungen in Deutschland unter der Aufsicht des BSI. Das NIS-2-Gesetz teilt diese in "wichtige Einrichtungen" und "besonders wichtige Einrichtungen". Diese neue Security-Pflicht trifft nun 18 Sektoren. Darunter sind nicht nur die üblichen Verdächtigen wie Energie, Verkehr und Gesundheit, sondern auch digitale Dienste, Post- und Kurierdienste, die öffentliche Verwaltung und sogar der Weltraumsektor. Im Klartext: Tausende neue Unternehmen müssen jetzt strenge Vorgaben für ihre IT-Sicherheit und ein aktives Risikomanagement umsetzen.

Die neuen Pflichten für die fast 30.000 Unternehmen haben es in sich. Kern des NIS-2-Gesetzes sind verbindliche Maßnahmen zum Risikomanagement. Alle betroffenen Einrichtungen müssen nachweisbare technische und organisatorische Maßnahmen (TOMs) implementieren, um ihre Security und Cybersicherheit zu gewährleisten. Das BSI wird zur zentralen Aufsichtsbehörde für all diese Unternehmen. Bei Verstößen gegen die Cybersicherheit-Vorgaben drohen schärfere Sanktionen. Eine weitere wichtige Neuerung ist die Meldepflicht. Bisherige einstufige Meldungen werden durch ein neues dreistufiges Melderegime für Sicherheitsvorfälle ersetzt. Das BSI bekommt als Bundesamt für Sicherheit in der Informationstechnik also deutlich mehr Aufsichtsbefugnisse. Auch die Bundesverwaltung selbst wird in die Pflicht genommen. Das BSI übernimmt hier die zentrale Rolle des "Chief Information Security Officer des Bundes" (CISO Bund) und koordiniert die Informationssicherheit und Security der Behörden des Bundes. Politisch brisant ist eine weitere Änderung, die der Bundestag beschloss: Das Bundesinnenministerium kann künftig den Einsatz von kritischen Komponenten (der sogenannte "Huawei-Paragraph") untersagen, wenn die öffentliche Sicherheit bedroht ist. BSI-Präsidentin Claudia Plattner nannte das Gesetz einen "wichtigen Meilenstein" für die Cybersicherheit und die Resilienz der Bundesregierung und des Wirtschaftsstandorts Deutschland. Das BSI plant ein "Starterpaket" und Seminare für die vielen neuen betroffenen Unternehmen.