19.12.2025

Gesetz zur Umsetzung der NIS-2-Richtlinie in Kraft getreten – mehr Unternehmen betroffen

Am 6. Dezember 2025 ist das Gesetz zur Umsetzung der NIS-2-Richtlinie (Bundesgesetzblatt I, 5. Dezember 2025, Nr. 301) in Kraft getreten. Die Bundesregierung setzt damit neue europäische Sicherheitsstandards für Wirtschaft und Verwaltung in deutsches Recht um. Das Ziel ist es, wichtige Einrichtungen und den europäischen Binnenmarkt zu schützen und deren Abwehrfähigkeit zu stärken. Insbesondere Unternehmen, die für die Grundversorgung der Bevölkerung wichtig sind – etwa in den Bereichen Energie und Infrastruktur – müssen künftig strengere Regeln zur IT-Sicherheit einhalten. Dazu zählen unter anderem klare Meldefristen bei Sicherheitsvorfällen und Maßnahmen zum Schutz ihrer Systeme. Auch ist vorgesehen, dass das Bundesinnenministerium gegenüber dem Betreiber kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers im Benehmen mit den für den jeweiligen Sektor genannten Bundesministerien sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen kann, wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt.

Neben Betreibern Kritischer Anlagen und Unternehmen im besonderen öffentlichen Interesse werden nun auch „wichtige“ und „besonders wichtige“ Einrichtungen einbezogen, wodurch sich der Kreis der beaufsichtigten Unternehmen nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) von rund 4500 auf etwa 29 500 erhöht. Diese Betriebe müssen sich beim BSI innerhalb von drei Monaten (bis zum 6. März 2026) registrieren und erhebliche Sicherheitsvorfälle melden. Wie das BSI betont, müssten die Unternehmen selbständig prüfen, ob sie von der NIS-2-Richtlinie betroffen sind und damit künftig zu den rund 29 500 durch das BSI beaufsichtigten Einrichtungen gehören, für die neue gesetzliche Pflichten in der IT-Sicherheit gelten.

Die Allianz der öffentlichen Wasserwirtschaft (AöW) macht darauf aufmerksam, besonders relevant für die Wasser- und Abwasserwirtschaft sei, dass sich die Regulierung künftig stärker am Hauptsektor orientieren soll. Einrichtungen wie Klärwerke, die nur im Nebenzweck Energie erzeugen, würden damit weiterhin primär nach den Vorgaben des BSI-Gesetzes eingestuft und blieben von zusätzlichen Meldepflichten aus dem Energierecht entlastet.