Das seit langem überfällige Gesetz zur Umsetzung der NIS-2-Richtlinie biegt in die Zielgerade ein: am Donnerstag, den 13. November 2025 soll der Bundestag über den Entwurf eines Gesetzes »zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung« abstimmen.
Gerade einmal acht der insgesamt 27 EU-Mitgliedsländer haben es geschafft, die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) wie geplant in nationales Recht umzusetzen. Die Bundesrepublik Deutschland war nicht darunter; erst nach einem Regierungswechsel und der Einleitung eines Vertragsverletzungsverfahrens der EU-Kommission wurde im Sommer 2025 der Entwurf eines »Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung« vorgelegt. Er ähnelt inhaltlich stark den letzten Entwürfen des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das noch von der Ampelkoalition verhandelt worden war. Waren bislang ca. 4.500 Einrichtungen vom Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) erfasst, gelten künftig für rund 29.500 Einrichtungen neue gesetzliche Pflichten in der IT-Sicherheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält hierzu Aufsichtsinstrumente, um Unternehmen gezielter zu begleiten und die Einhaltung der Sicherheitsstandards zu überwachen. An letzten Details feilte die Regierungskoalition jedoch bis zuletzt.
Diese Verhandlungen nähern sich ihrem Ende. Wie der Bundestag auf seiner Website mitteilt, wird am Donnerstag, dem 13. November 2025, nach halbstündiger Debatte in 2./3. Lesung über die von der Bundesregierung geplante Umsetzung der NIS-2-Richtlinie der EU abgestimmt. Zu dem Gesetzentwurf (21/1501, 21/2072, 21/2146 Nr. 1.11) wird der Innenausschuss eine Beschlussempfehlung abgeben und der Haushaltsausschuss einen Bericht gemäß § 96 der Geschäftsordnung des Bundestages zur Finanzierbarkeit vorlegen. Der Entwurf sieht vor, dass der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen ausgeweitet wird und neue Einrichtungskategorien eingeführt werden. Zudem soll die bislang einstufige Meldepflicht bei Sicherheitsvorfällen durch ein dreistufiges Melderegime ersetzt werden. Das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll im Hinblick auf Aufsichtsmaßnahmen erweitert werden. Darüber hinaus soll in der Bundesverwaltung ein zentraler Koordinator (CISO Bund) für Maßnahmen zur Informationssicherheit in deren Einrichtungen etabliert werden; dieser soll auch die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützen. Erstmals beraten werden soll im Rahmen der Debatte auch ein von der Fraktion Bündnis 90/Die Grünen angekündigter Antrag mit dem Titel »Deutschland resilient machen – Für einen ganzheitlichen Schutz unserer kritischen Infrastruktur«. Der Antrag soll schließlich an die Ausschüsse überwiesen werden.
Die BSI-Präsidentin Claudia Plattner, die als Sachverständige in den Ausschuss geladen war, geht nach einer Meldung von netzpolitik.org davon aus, dass die neuen Anforderungen für 29.500 Unternehmen verbindlich sein werden; viele dieser Unternehmen wüssten aber noch gar nicht, dass sie betroffen sind. Hier fordert der Branchenverband bitkom, der Staat müsse »pro-aktiv informieren«. Ausgeklammert von einigen der neuen Pflichten sind hingegen zum Beispiel die Strafverfolgungsbehörden und deren Dienstleister, aber auch das Auswärtige Amt oder das Bundeskanzleramt sowie die Bundesverwaltung. Dies führte zu scharfer Kritik von Manuel Atug, Gründer und Sprecher der AG Kritis:
In der Wirtschaft werden längst höhere Maßstäbe angesetzt, die staatliche Einrichtungen und öffentliche Verwaltungen nicht leisten müssen. Wenn aus Deutschland eine Cybernation werden soll, dann muss die Regierung aufhören hier Ausnahmen zu machen, sondern hart arbeiten, anpacken und kompromisslos umsetzen.
Mit Änderungen ist insoweit aber nicht mehr zu rechnen. Für das Informationssicherheitsmanagement in der Bundesverwaltung hätten sich »die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen«, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen, heißt es im Entwurf.