Der Bundestag hat am 13. November 2025 das neue Gesetz zur Umsetzung der NIS-2-Richtlinie verabschiedet – ein Schritt, der Deutschlands Cybersicherheitslandschaft spürbar verändern wird. Nach der ersten Lesung im September und einer Anhörung im Oktober folgte nun wenige Wochen später die finale Abstimmung. Eine halbstündige Debatte reichte aus, um die Mehrheiten abschließend zu klären. Während CDU/CSU, SPD und AfD zustimmten, votierten die Grünen dagegen, die Linke enthielt sich. Der Bundestag gibt das Gesetz nun an den Bundesrat weiter, wo die letzte Hürde auf dem Weg zum finalen Beschluss genommen werden muss (Bundestag Archiv). Wir haben uns das Medienecho infolge des Beschlusses angeschaut, um zu einer Bewertung des verabschiedeten Gesetzes zu gelangen.
Die Rolle des BSI
Mit dem Umsetzungsgesetz rückt das Bundesamt für Sicherheit in der Informationstechnik ins Zentrum der deutschen NIS-2 Ausführung. Das BSI übernimmt die volle Aufsicht über alle von NIS-2 betroffenen Unternehmen und wird als CISO-Bund zugleich zur zentralen Sicherheitsinstanz der Bundesverwaltung. Für Behörden bedeutet das verbindliche Mindeststandards, die auf etablierten Sicherheitsrahmen wie dem IT-Grundschutz aufbauen. Gleichzeitig will das BSI Unternehmen nicht alleine lassen: Mit Starterpaketen, digitalen Kick-off-Seminaren und klaren Schritt-für-Schritt-Anleitungen sollen Betroffene beim Einstieg unterstützt werden (BSI).
Gemischtes Echo aus Wirtschaft und Industrie
In der Industrie stößt das Gesetz teilweise auf Zurückhaltung. Auch wenn Bemühungen zur Verbesserung der Informationssicherheit grundsätzlich begrüßt werden, gehen nach Ansicht des Verband der Automobilindustrie manche im Gesetz geklärten Befugnisse zu weit. Der VDA äußert beispielsweise Skepsis gegenüber strengeren Fristen und die erweiterte Managerhaftung, die laut dem Verband über die EU-Vorgaben hinausgehen. Viele Unternehmen wünschen sich zudem praktikable Meldewege, idealerweise in Form eines echten One-Stop-Shop-Ansatzes, der auch internationale Strukturen berücksichtigt. Mit Blick auf weitere EU-Regelwerke wird betont, dass die Anforderungen realistisch sein müssen und Übergangsfristen nicht zu knapp bemessen werden dürfen (VDA).
Außerdem bleibt der Umgang mit sogenannten kritischen Komponenten ein Streitpunkt. Gemeint sind Hard- und Software aus Staaten, denen potenzielle Spionage- oder Sabotageaktivitäten zugetraut werden. Der schließlich gefundene Kompromiss sieht vor, dass das Innenministerium den Einsatz untersagen kann, sofern eine Gefährdung der öffentlichen Ordnung oder Sicherheit zu erwarten ist. Die Entscheidung erfolgt in Kooperation mit dem betroffenen Ressort. Netzbetreiber warnen vor zusätzlichen Unsicherheiten und regulatorischen Risiken, weil Eingriffe künftig sogar bei bereits eingesetzten Komponenten möglich sein könnten. Gleichzeitig gibt es aber auch Gewinner des Gesetzes: Kommunale Energieerzeuger im Nebenzweck werden künftig nur noch nach dem BSI-Gesetz reguliert und nicht länger durch parallele Regeln aus dem Energiewirtschaftsrecht belastet. Für sie ergeben sich spürbare Vereinfachungen, etwa der Wegfall vorheriger Freigaben beim Einsatz kritischer Komponenten (it-business , golem).
Zugleich wurde eine ursprünglich geplante Sonderbehandlung der Bundesverwaltung gestrichen – ein Schritt, der von Abgeordneten wie Marc Henrichmann (CDU) explizit begrüßt wurde (it-business). Der Aufbau eines einheitlich hohen Sicherheitsniveaus erfordert rund tausend zusätzliche Stellen und erhebliche finanzielle Mittel in Höhe von schätzungsweise 500 Millionen Euro, die über vier Jahre hinweg bereitgestellt werden müssen (Tagesspiegel Background).
Ein Meilenstein für unser Projekt
Mit dem jüngsten Fortschritt im Gesetzgebungsverfahren erhält unser Projekt eine verlässliche Grundlage für die inhaltliche Ausgestaltung unserer Lernplattform – und zugleich deutlich mehr Planungssicherheit. Dass IT-Sicherheitsschulungen laut Umsetzungsgesetz künftig eine Schlüsselrolle auf Führungsebene einnehmen soll, werten wir als zentralen Baustein für mehr Cybersicherheit und Resilienz in der deutschen IT-Infrastruktur. Gerade für kleine und mittelständische Unternehmen können die im Gesetz vorgesehenen Anforderungen weitreichende Veränderungen mit sich bringen. Umso entschlossener sind wir, Orientierung bei der praktischen Umsetzung zu bieten. Die Inhalte unserer Plattform unterstützen Unternehmen dabei, ihre Cybersicherheits-Awareness NIS-2-konform auf Mitarbeiter und Leitungsebene zu schärfen.