NIS2-Gesetz: Deutschland verabschiedet Cyber-Regelwerk im Krisenmodus

Der Bundestag hat das deutsche NIS2-Umsetzungsgesetz verabschiedet – über ein Jahr nach Ablauf der EU-Frist. Doch während Tausende Unternehmen nun unter Zeitdruck ihre Cyber-Abwehr hochfahren müssen, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer dramatischen Verschärfung der Bedrohungslage. Aktiv ausgenutzte Sicherheitslücken und eine Flut neuer Schwachstellen machen die Umsetzung zur Herausforderung gegen die Uhr.

Am Donnerstag, 13. November, beschloss der Bundestag das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Die ursprüngliche EU-Frist lief bereits am 17. Oktober 2024 ab – Deutschland reiht sich damit in die Gruppe säumiger Mitgliedsstaaten ein, zu denen auch Österreich zählt. Diese Verzögerung hat für betroffene Unternehmen konkrete Folgen: Sie müssen nun in kürzester Zeit umfangreiche neue Pflichten erfüllen.

Das Timing könnte kaum brisanter sein. Diese Woche veröffentlichte das BSI seinen Lagebericht “Zur Lage der IT-Sicherheit in Deutschland 2025” – und die Zahlen sind alarmierend. Täglich werden im Durchschnitt 119 neue Sicherheitslücken entdeckt, ein Anstieg um 24 Prozent gegenüber dem Vorjahr. BSI-Präsidentin Claudia Plattner bringt es auf den Punkt: “Die größten Einfallstore sind nach wie vor veraltete und ungepatchte Systeme.”

Die Warnung kommt nicht von ungefähr. Am 13. November veröffentlichte Microsoft einen Notfall-Patch für eine Zero-Day-Schwachstelle im Windows-Kernel (CVE-2025-62215). Die Lücke wird bereits aktiv ausgenutzt und ermöglicht Angreifern die komplette Systemkontrolle. Heute, am 15. November, legte das BSI nach: Kritische Schwachstellen in Fortinets FortiWeb-Firewall und der Identitätsverwaltungslösung Keycloak bedrohen Unternehmen akut.

Passend zum Thema NIS2 und die eskalierende Bedrohungslage – unser kostenloses E‑Book “Cyber Security Awareness Trends” erklärt in fünf konkreten Schritten, wie Sie Schwachstellen priorisieren, Patch-Management verbessern und Meldepflichten effizient umsetzen. Mit praxisnahen Checklisten für KMU, Sofortmaßnahmen fürs Incident-Handling und Tipps, wie Sie Ihr Team schnell compliant machen, bevor Angreifer das Zeitfenster nutzen. Jetzt kostenloses Cyber-Security-E‑Book herunterladen

Deutlich mehr Firmen betroffen als bisher

Das neue Gesetz erweitert den Kreis der regulierten Unternehmen massiv. Während bisher hauptsächlich Betreiber kritischer Infrastrukturen (KRITIS) im Fokus standen, greift NIS2 nun für “wesentliche” und “wichtige” Einrichtungen in 18 Sektoren – darunter digitale Dienste, Abfallwirtschaft, Fertigung und Lebensmittelproduktion. Schon Unternehmen mit nur 50 Mitarbeitern oder einem Jahresumsatz von 10 Millionen Euro können unter die neuen Vorschriften fallen.

Die Anforderungen haben es in sich: Betroffene organisationen müssen umfassende Risikomanagement-Maßnahmen implementieren, von Risikoanalysen über Incident-Handling bis hin zu Supply-Chain-Sicherheit und Verschlüsselung. Besonders scharf sind die Meldefristen: Sicherheitsvorfälle müssen innerhalb von 24 Stunden nach Entdeckung erstmals gemeldet werden. Wer nicht mitzieht, riskiert drastische Strafen – bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Einrichtungen.

Nach der erwarteten Zustimmung des Bundesrats am 21. November könnte das Gesetz Anfang 2026 in Kraft treten.

Gefährliche Sorglosigkeit im Mittelstand

Die BSI-Analyse offenbart ein besorgniserregendes Missverhältnis zwischen Selbsteinschätzung und Realität. Fast vier von fünf Cyberangriffen treffen kleine und mittlere Unternehmen (KMU). Gleichzeitig bewerten über 90 Prozent der befragten KMU ihre eigene IT-Sicherheit als “gut” – eine Einschätzung, die angesichts ungepatchter Systeme und mangelnder Vorbereitung auf raffinierte Angriffe nicht haltbar ist.

Hier soll NIS2 ansetzen und das Sicherheitsniveau flächendeckend anheben. Doch die Wirksamkeit hängt von einer schnellen und einheitlichen Umsetzung ab – und genau daran hapert es europaweit.

Flickenteppich Europa: Österreich noch weiter zurück

Deutschlands verspätete Umsetzung ist kein Einzelfall. Österreich verpasste ebenfalls die Oktober-Frist, ein Gesetzentwurf existiert zwar, doch mit einer Verabschiedung rechnen Experten frühestens 2025, möglicherweise sogar erst 2026. Für Unternehmen, die grenzüberschreitend tätig sind, entsteht ein regulatorisches Chaos: unterschiedliche Zeitpläne und potenziell abweichende nationale Auslegungen derselben EU-Richtlinie.

Diese Uneinheitlichkeit ist besonders problematisch, da Cyberkriminelle längst keine Grenzen mehr kennen. Während die Politik sich Zeit lässt, nutzen Angreifer gezielt die Schwachstellen aus, die NIS2 eigentlich schließen soll.

Compliance-Sprint für Tausende Firmen

Für betroffene deutschen Unternehmen beginnt jetzt ein Wettlauf gegen die Zeit. Sie müssen zügig klären, ob sie unter die erweiterten Regelungen fallen, ihre aktuelle Sicherheitsarchitektur auf Lücken prüfen und die notwendigen technischen sowie organisatorischen Maßnahmen umsetzen. Das BSI wird als zentrale Aufsichtsbehörde eine Schlüsselrolle bei der Begleitung dieses Prozesses spielen.

Die Gleichzeitigkeit von verschleppter Regulierung und akut eskalierender Bedrohungslage schafft eine prekäre Situation. Die kommenden Monate werden zeigen, ob Unternehmen schnell genug reagieren können – oder ob Angreifer das Zeitfenster nutzen, bevor die neuen Schutzmaßnahmen greifen. Für viele steht nicht weniger auf dem Spiel als die digitale Existenz.

PS: Sie müssen NIS2-Anforderungen schnell umsetzen, haben aber kein großes IT-Budget? Dieser Gratis-Leitfaden zeigt praxiserprobte Schutzmaßnahmen, Patch‑Management-Checklisten und Kommunikationsvorlagen für Meldepflichten – so stärken Sie Ihre IT-Sicherheit ohne zusätzliche Vollzeitstellen. Ideal für Geschäftsführer und IT‑Verantwortliche, die jetzt handeln müssen. Gratis Cyber-Security-Leitfaden downloaden