Zwischen Brüssel und Berlin: Was KMU zur NIS2-Richtlinie wissen müssen

Die EU-NIS2-Richtlinie ist beschlossen – doch in Deutschland lässt das nationale Umsetzungsgesetz weiter auf sich warten. Der ursprünglich geplante Gesetzentwurf, das sogenannte NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), konnte aufgrund der politischen Lage im Bundestag nicht verabschiedet werden. Damit fehlt bisher ein rechtsverbindlicher nationaler Rahmen. Und viele Unternehmen fragen sich: Was bedeutet das jetzt konkret für uns – und wann müssen wir aktiv werden? 

Die klare Antwort lautet: jetzt. 

Politische Verzögerung – aber keine Pause bei der Bedrohungslage 

Deutschland hat die Frist zur Umsetzung der NIS2-Richtlinie verpasst. Auch wenn derzeit Schwung in den Gesetzgebungsprozess kommt und ein handfestes NIS2-Gesetz immer näher rückt, bleibt der springende Punkt:  Die EU-Richtlinie gilt bereits. Unternehmen können sich also nicht darauf verlassen, erst mit dem nationalen Gesetz tätig werden zu müssen. 

Zudem bleibt die Cybersicherheitslage angespannt. Gerade kleine und mittlere Unternehmen (KMU) stehen zunehmend im Fokus von Cyberangriffen – sei es als Zulieferer in globalen Lieferketten, als Betreiber vernetzter Produktionsanlagen oder als IT-Dienstleister. Angriffe können existenzbedrohende Folgen haben – unabhängig davon, ob das nationale Gesetz steht. 

Was NIS2 verlangt – und wen es betrifft

NIS2 verschärft die Anforderungen im Vergleich zur bisherigen EU-Richtlinie deutlich. Unternehmen müssen künftig: 

• ein strukturiertes Risikomanagement aufbauen, 

• technische und organisatorische Schutzmaßnahmen umsetzen, 

• Sicherheitsvorfälle innerhalb von 24 Stunden melden, 

• ihre Lieferkette absichern, 

• und regelmäßig Mitarbeitende schulen und sensibilisieren. 

Der Geltungsbereich wurde deutlich erweitert: Auch KMU fallen unter die Vorgaben, wenn sie in sogenannten kritischen oder wichtigen Sektoren tätig sind – dazu zählen etwa die Energieversorgung, Gesundheitswesen, Transport, Abfallwirtschaft, Lebensmittelproduktion, der Maschinenbau oder die IT-Branche.

Referentenentwurf vom 2. Juni 2025: Was sich ändert

Ein aktualisierter Referentenentwurf zur nationalen Umsetzung liegt seit dem 2. Juni 2025 vor und wird aktuell zwischen Bundesinnenministerium, Bundeskanzleramt und Bundesfinanzministerium abgestimmt. Die darin enthaltenen Änderungen sind auch für KMU relevant: Nebentätigkeiten eines Unternehmens, die im Gesamtbild vernachlässigbar sind, sollen künftig nicht mehr automatisch zur Einstufung als „wichtige Einrichtung“ führen. Das kann Bürokratie und Aufwand reduzieren, insbesondere für mittelständische Unternehmen mit breit aufgestelltem Portfolio. 

Mehr Einfluss für das BSI 

Im Energiesektor wird die Zuständigkeit für IT-Sicherheit zwischen der Bundesnetzagentur und dem BSI neu geordnet. Ziel ist ein einheitliches Sicherheitsniveau über alle KRITIS-Sektoren hinweg – das stärkt die Rolle des BSI als zentrale Cybersicherheitsbehörde. Zusätzlich wird dem BSI die Umsetzung des EU Cyber Resilience Act (CRA) zugewiesen.  

IT-Grundschutz wird gestärkt 

Für die Bundesverwaltung soll der IT-Grundschutz künftig verbindlich werden – inklusive einer stärkeren Verzahnung mit Geheimschutzverantwortlichen. Das unterstreicht die wachsende Bedeutung von Cybersicherheit als ressortübergreifende Aufgabe.

Weniger Mitspracherecht für Wirtschaft und Wissenschaft 

Bei der Ausarbeitung von Rechtsverordnungen – etwa zur Einstufung von KRITIS oder zur Definition von Sicherheitsvorfällen – sollen künftig keine Anhörungen von Wissenschaft und Wirtschaftsverbänden mehr notwendig sein. Diese Änderung wird aus Fachkreisen kritisch betrachtet. 

Update: Referentenentwurf vom 23. Juni 

Mit dem offiziellen Referentenentwurf vom 23. Juni 2025 liegt nun die Fassung des Gesetzes zur Umsetzung der NIS2-Richtlinie vor, die in das parlamentarische Verfahren gehen soll. Eine darin enthaltene Neuregelung sorgt allerdings für Diskussionen – vornehmlich mit Blick auf den Geltungsbereich des Gesetzes. 

Konkret sieht der Entwurf in § 28 Abs. 3 BSIG-E vor, dass sogenannte „vernachlässigbare Geschäftstätigkeiten“ bei der Einordnung eines Unternehmens als wichtige oder besonders wichtige Einrichtung unberücksichtigt bleiben dürfen. Ziel ist es, kleinere Nebentätigkeiten aus dem Geltungsbereich auszuklammern, um eine übermäßige Belastung insbesondere kleiner und mittlerer Unternehmen zu vermeiden. 

Was aus Perspektive der Wirtschaft wie eine Entlastung erscheint, wird von Fachkreisen jedoch kritisch bewertet. So warnt etwa die auf IT- und Datenschutzrecht spezialisierte Kanzlei Reuschlaw in einer aktuellen Stellungnahme vor rechtlichen und sicherheitsbezogenen Risiken dieser Regelung. Die Kritik: Die Formulierung „vernachlässigbar“ bleibt im Gesetzesentwurf undefiniert, ist damit auslegungsoffen und rechtlich schwer handhabbar. Zudem droht aus Sicht von Reuschlaw eine Abweichung vom europarechtlich vorgesehenen einheitlichen Schutzniveau – was sowohl die Rechtssicherheit als auch die Cybersicherheit schwächen könnte. 

Die Empfehlung aus der Praxis: Anstatt Zeit und Ressourcen in unklare Grenzprüfungen zu investieren, sollten Unternehmen ihre Betroffenheit direkt anhand der EU-Richtlinie prüfen – und im Zweifel proaktiv handeln. Denn Cyberbedrohungen machen keinen Halt vor gesetzlichen Definitionen. Wer heute in Cybersicherheit investiert, schafft Schutz – unabhängig von der formalen Einstufung im Gesetz. 

Die vollständige Stellungnahme von Reuschlaw soll in den nun beginnenden Anhörungsprozess eingebracht werden – mit dem Ziel, im weiteren Verfahren eine rechtssichere und praxisnahe Umsetzung zu erreichen. 

Vorbereitung lohnt sich – auch ohne fertiges Gesetz

Das nationale Gesetz lässt auf sich warten – aber Unternehmen sollten diese Zeit nicht ungenutzt verstreichen lassen. Wer jetzt vorsorgt, reduziert Risiken, erfüllt EU-Vorgaben und stärkt die eigene Position im Wettbewerb. 

Was KMU jetzt konkret tun können: 

• Aufbau eines Informationssicherheitsmanagementsystems (ISMS) 

• Nutzung des CyberRisiko-Checks (DIN SPEC 27076) als Einstieg 

• Sensibilisierung der Mitarbeitenden für Cyberrisiken 

• Prüfung der Lieferkette und IT-Dienstleister 

• Dokumentation von Schutzmaßnahmen und Vorfällen 

Unterstützung auf einen Klick: Der neue FitNIS2-Navigator

Ein praktisches neues Online-Tool hilft kleinen und mittleren Unternehmen jetzt dabei, sich gezielt auf NIS2 vorzubereiten: Der FitNIS2-Navigator liefert mit wenigen Klicks Antworten auf zentrale Fragen – Bin ich betroffen? Wo stehe ich in Sachen Cybersicherheit? Was sind die nächsten Schritte? 

Direkt ausprobieren unter: www.fitnis2.de 

Fazit: NIS2 kommt – und KMU sollten vorbereitet sein

Auch ohne formale Gesetzgebung auf Bundesebene entfaltet NIS2 bereits Wirkung. Kleine und mittlere Unternehmen, die heute Strukturen schaffen, sichern sich frühzeitig ab – und profitieren dabei von mehr Resilienz, größerem Vertrauen auf Kundenseite und einer stärkeren Position im Wettbewerb. 

Jetzt ist der richtige Zeitpunkt, aktiv zu werden. 

Update Juli 2025: Das Bundeskabinett hat den Regierungsentwurf zur Umsetzung der NIS2-Richtlinie beschlossen. Vorgesehen ist unter anderem, dass das künftige Digitalministerium die Verantwortung für die Kommunikationstechnik des Bundes übernimmt. Die umstrittene Ausnahmeregelung zu „vernachlässigbaren Geschäftstätigkeiten“ bleibt weiterhin Teil des Gesetzes. Positiv zu werten ist hingegen die Klarstellung, dass freiwillige Meldungen nicht zulasten der meldenden Einrichtungen ausgelegt werden dürfen. Für bestehende KRITIS-Betreiber wurde eine Übergangsfrist von zwölf Monaten eingeräumt. Die Nachweisfrist für die Bundesverwaltung wurde auf fünf Jahre verlängert. Darüber hinaus enthält der Entwurf redaktionelle Anpassungen an den Sektordefinitionen. Das Inkrafttreten ist für Dezember 2025 oder Januar 2026 vorgesehen.