Der Bundestag hat den Gesetzentwurf der Bundesregierung »zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung« angenommen. Das Gesetz wird voraussichtlich Anfang 2026 in Kraft treten.
Mit jahrelanger Verzögerung, aber wie geplant nach halbstündiger Debatte hat der Bundestag am 13. November 2025 das NIS-2-Umsetzungsgesetz beschlossen. Dafür stimmten CDU/CSU, SPD und AfD, dagegen Bündnis 90/Die Grünen; die Linke enthielt sich. Das Gesetz umfasst eine Novellierung des BSI-Gesetzes (BSIG), von dem bislang ca. 4.500 Einrichtungen des Wirtschaftraums erfasst waren: Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Mit dem Inkrafttreten des NIS-2-Umsetzungsgesetzes wird dieser Radius um die Kategorien »wichtige Einrichtungen« und »besonders wichtige Einrichtungen« erheblich erweitert, so dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig rund 29.500 Einrichtungen beaufsichtigen wird, für die neue gesetzliche Pflichten in der IT-Sicherheit gelten. Betroffene Unternehmen müssen sich beim BSI registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Risikomanagement-Maßnahmen implementieren. Besondere Risiken schafft das Gesetz für die Geschäftsleitungen juristischer Personen; § 38 BSIG sieht Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen vor, deren Verletzung gesellschaftsrechtliche Schadensersatzansprüche auslösen kann. Auch bei Einschaltung von Hilfspersonen bleibt das jeweilige Leitungsorgan letztverantwortlich.
Anlässlich der zweiten und dritten Lesung im Bundestag kam es noch zu geringfügigen Änderungen am bisher vorliegenden Gesetzesentwurf. So soll dem BSI ermöglicht werden, gegenüber bisher von der Regelung nicht erfassten Anbietern von öffentlich zugänglichen Telekommunikationsdiensten mit 100.000 oder weniger Kunden Anordnungen zur Abwehr erheblicher Gefahren auszusprechen. Ohne diese Erweiterung würde eine Vielzahl von Nutzern, denen über kleinere (etwa regionale) Anbieter Telekommunikationsdienstleistungen zur Verfügung gestellt werden, nicht entsprechend geschützt werden. Des Weiteren ist nun unter anderem vorgesehen, dass das Bundesinnenministerium gegenüber dem Betreiber kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers im Benehmen mit den für den jeweiligen Sektor genannten Bundesministerien sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen kann, wenn der Einsatz die öffentliche Ordnung oder Sicherheit voraussichtlich beeinträchtigt. Um alle Neuregelungen bekannt zu machen, will das BSI betroffenen Unternehmen mit einem Starterpaket Informationen an die Hand geben, um die Verpflichtungen, die sich aus der NIS-2-Richtlinie ergeben, erfolgreich umzusetzen. Mit Inkrafttreten wird das BSI zudem virtuelle Kick-off-Seminare anbieten, in denen Unternehmen unter anderem Schritt-für-Schritt-Anleitungen für die Betroffenheitsprüfung sowie Registrierungs- und Meldeprozesse erhalten.
Bei eco Verband der Internetwirtschaft eV begrüßte man die Umsetzung der NIS-2-Richtlinie, sieht aber weiterhin Schwächen. So habe man vergeblich gewarnt, dass die Eingriffsbefugnisse bei den »kritischen Komponenten« zu Unsicherheit führen. Neu ist, dass das Bundesinnenministerium künftig auch ohne Meldung des Betreibers aktiv werden kann, um Komponenten zu verbieten. Für Unternehmen bedeutet das nach Einschätzung von Ulrich Plate, Leiter der Kompetenzgruppe KRITIS beim eco, dass Einschätzungen des Innenministeriums kostspielige Austauschpflichten nach sich ziehen können. Die Bedeutung und der Stellenwert einer BSI-Zertifizierung bleibe für die Wirtschaft schwer einschätzbar. Bis das Umsetzungsgesetz in Kraft tritt, wird es noch etwas dauern; zunächst ist der Bundesrat am Zug, dann folgt die Verkündung im Bundesgesetzblatt. Die Neuregelung wird daher nach aktuellem Stand erst Anfang 2026 in Kraft treten.