EU-Kommission reagiert auf ausbleibende Umsetzung
Stand Juni 2025 haben 20 EU-Mitgliedsstaaten, darunter auch Deutschland, die NIS2-Richtlinie noch nicht in nationales Recht umgesetzt. Dabei ist die Frist zur Umsetzung bereits am 17. Oktober 2024 abgelaufen. Die EU-Kommission reagiert nun mit Nachdruck: Ein EU-weites Vertragsverletzungsverfahren vor dem Europäischen Gerichtshof ist in Vorbereitung.
Deutschland: Referentenentwurf liegt vor, aber noch kein Gesetz
In Deutschland ist das Bundesinnenministerium (BMI) für die Umsetzung der NIS2-Richtlinie zuständig. Im Mai 2025 hat das BMI den Referentenentwurf für das NIS2-Umsetzungsgesetz (NIS2UmsuCG) veröffentlicht. Eine wichtige Etappe, doch der Gesetzgebungsprozess steht noch am Anfang.
Aktuell steht die Stellungnahme der Länder und Verbände noch aus. Erst im Anschluss kann die Kabinettsbefassung erfolgen, zu erwarten ist dies frühestens im Spätsommer 2025. Bis zur finalen Verabschiedung durch Bundestag und Bundesrat wird es voraussichtlich noch bis November 2025 dauern.
EU-Kommission erhöht den Druck, Innenminister reagiert
Angesichts der drohenden Strafzahlungen zeigt sich der neue Bundesinnenminister Alexander Dobrindt entschlossen: Er will eine Klage gegen Deutschland unbedingt vermeiden und betont öffentlich die Priorität des Gesetzesvorhabens. Im Juni 2025 äußert sich Dobrindt konkreter zur Zeitplanung und formuliert zuletzt das Ziel, das Gesetz bis Ende 2025 zu verabschieden.
Warum Unternehmen jetzt aktiv werden sollten
Unabhängig vom finalen Gesetzestext ist klar: Die Anforderungen der NIS2-Richtlinie sind umfangreich, technisch und organisatorisch anspruchsvoll – und sie werden kommen. Besonders betroffen sind Betreiber kritischer und besonders wichtiger Einrichtungen, darunter Unternehmen in den Sektoren Energie, Verkehr, Finanzwesen, Gesundheitswesen, digitale Dienste und viele mehr.
Die Zeit bis zur nationalen Umsetzung darf nicht ungenutzt verstreichen. Unternehmen, die jetzt beginnen, ihre Prozesse im Bereich Governance, Risk & Compliance (GRC) zu überprüfen und zu digitalisieren, verschaffen sich einen klaren Vorteil und minimieren das Risiko von Sanktionen, Reputationsschäden und Sicherheitsvorfällen.
Athereon GRC: Softwaregestützt zur NIS2-Readiness
Mit der modularen GRC-Software Athereon GRC lassen sich regulatorische Anforderungen wie NIS2 effizient und revisionssicher abbilden. Die Lösung unterstützt Unternehmen dabei, Informationssicherheitsprozesse zu dokumentieren, Risikobewertungen durchzuführen, Verantwortlichkeiten zu klären und Audits vorzubereiten – alles in einem zentralen System.
Gerade jetzt ist der ideale Zeitpunkt, um die eigene Cyberresilienz zu stärken und sich nachhaltig auf die kommenden gesetzlichen Anforderungen vorzubereiten. Denn eines ist sicher: Die NIS2-Richtlinie kommt und mit ihr neue Pflichten.
Weiterführende Informationen
- Referentenentwurf des BMI
- Blogbeitrag: NIS-2-Richtlinie: Neue Standards für Cyber- und Informationssicherheit in der EU
- Webinar: Bereit für NIS2 - Jetzt anmelden
