Der Bundestag hat nach kurzer Aussprache am 13.11.2025 das Gesetz „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ angenommen.
Gerade mal drei Tage zuvor hatten die Fraktionen der CDU/CSU und der SPD einen Änderungsantrag eingereicht, in dem Ausnahmeregelung für vernachlässigbare Geschäftstätigkeiten in § 28 Abs. 3 BSIG behandelt wurde. Zudem wurde die Ausnahmeregelung bei einer drohenden Doppelaufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur (BNetzA) gemäß § 28 Abs. 5 BSIG adressiert. Statt vernachlässigbarer Tätigkeiten sollen nun sämtliche Nebentätigkeiten ausgenommen sein.
Wie ja schon seit längerer Zeit erwartbar war, werden nun die verschärften Cybersicherheitsanforderungen der NIS-2-Richtlinie in deutsches Recht umgesetzt. Einer besonderen Bedeutung werden dem neuen Meldepflichten für Unternehmen zukommen, die bisher nicht unter vergleichbare Regelungen wie z.B. KRITIS fielen. Es gibt ein dreistufiges Melderegime für Sicherheitsvorfälle, welches das bislang geltende einstufige Verfahren ersetzt. Demnach sind besonders wichtige und wichtige Einrichtungen zukünftig verpflichtet, nach einem erheblichen Sicherheitsvorfall innerhalb von 24 Stunden, 72 Stunden bzw. einem Monat Meldungen mit spezifischen Informationen an eine vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle zu melden. Zudem wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit erweiterten Aufsichtsbefugnissen ausgestattet. Innerhalb der Bundesverwaltung soll ein zentraler Koordinator („CISO Bund“) künftig die Umsetzung einheitlicher Informationssicherheitsstandards steuern.
Ob Ihr Unternehmen von NIS2 betroffen ist, können Sie schnell hier prüfen.
