Mit der Umsetzung der NIS-2-Richtlinie steht Deutschland vor einem sicherheitspolitischen Kraftakt. Doch während der aktuelle Gesetzesentwurf bereits weit gediehen ist, könnte der Bundesrat auf den letzten Metern noch entscheidende Änderungen bewirken – vor allem bei besonders umstrittenen Punkten wie Meldepflichten, Schwellenwerten und Bußgeldrahmen.
Ein europäischer Rahmen mit weitreichenden Folgen
Die am 27. Dezember 2022 in Kraft getretene „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (NIS 2) verpflichtet alle EU-Mitgliedstaaten, ihre Gesetzgebung bis Oktober 2024 entsprechend anzupassen. Ziel ist es, die Cybersicherheit in essenziellen und wichtigen Sektoren auf ein einheitlich hohes Niveau zu bringen. Deutschland hatte sich im ersten Zug auf einen ambitionierten Entwurf des Bundesinnenministeriums (BMI) gestützt. Dieser stößt jedoch auf Widerstand – nicht nur aus der Wirtschaft, sondern auch aus der Fachöffentlichkeit und Teilen der Länder.
Insbesondere der Bundesrat hat angekündigt, in seinem Mitspracherecht aktiv von möglichen Änderungsoptionen Gebrauch zu machen. Mehrere Landesvertretungen, u. a. Bayern, Nordrhein-Westfalen und Baden-Württemberg, äußerten Kritik am aktuellen Entwurf zum NIS-2-Umsetzungsgesetz (NIS2UmsuCG).
Was steht auf dem Spiel? Die wichtigsten Streitpunkte im Überblick
Ein zentraler Kritikpunkt: Die geplanten Berichtspflichten und der vorgesehene Umfang an technischen und organisatorischen Sicherheitsmaßnahmen. Unter anderem sieht der Entwurf für betroffene Einrichtungen Meldepflichten von IT-Sicherheitsvorfällen binnen 24 Stunden vor, ergänzt um Detailberichte innerhalb weiterer 72 Stunden. Nach aktueller Vorlage wären allein in Deutschland über 29.000 Unternehmen und Organisationen betroffen – eine Verzehnfachung im Vergleich zur bisherigen NIS-Richtlinie.
Auch die Öffnungsklausel, mit der die Bundesregierung zusätzliche Unternehmen jenseits der EU-Mindestanforderungen einbeziehen will, stößt beim Bundesrat auf Skepsis. Ländervertreter fürchten eine unverhältnismäßige Ausweitung des Geltungsbereichs und mahnen dazu, „nicht über das Ziel hinauszuschießen“.
Ein Bericht von Heise.de (Juni 2024) zitiert eine Stellungnahme der Länder, laut der „die Kapazitäten kleiner und mittlerer Unternehmen zu wenig berücksichtigt werden“ und die Verwaltungslast durch zusätzliche Vorgaben immens sei. Auch Golem.de stellt heraus, dass besonders mittelständische Betriebe „bürokratische Hürden“ befürchten, die IT-Investitionen hemmen könnten.
Regelungsspielräume: Was der Bundesrat verändern könnte
Der Bundesrat hat die Möglichkeit, Anpassungsvorschläge in folgenden Kernbereichen einzubringen:
- Schwellenwerte: Eine Anhebung der Beschäftigten- und Umsatzgrenze für die Einordnung als „wichtige Einrichtung“ wäre ein Hebel zur Belastungsreduktion für KMU.
- Meldepflichten: Eine differenziertere Meldepflicht (z. B. nach Vorfall-Schweregrad) könnte Unternehmen organisatorisch entlasten.
- Einbindung der Länder: Der Bundesrat drängt auf eine stärkere föderale Rolle bei der Aufsicht und Umsetzung, v. a. im Bereich der Kritischen Infrastrukturen (KRITIS).
- Bußgelder: Anpassungen der Bußgeldhöhe und ihrer Staffelung zur Vermeidung eines „Sanktionsschocks“ für nicht vorsätzlich agierende Unternehmen.
Ein Blick auf andere EU-Mitgliedstaaten zeigt: Frankreich etwa setzt stärker auf zentrale staatliche Steuerung, während Estland Nutzlasten von KMU durch Förderung abfedert. Deutschland ist daher nicht gezwungen, die maximale Reichweite der EU-Vorgabe auszureizen – und genau hier könnte der Bundesrat ansetzen.
Ein Balanceakt zwischen Cyber-Sicherheit und Bürokratie
Die Bundesregierung argumentiert mit guten Gründen: Die Zahl erfolgreicher Cyberangriffe nimmt jährlich weiter zu. Laut BSI-Lagebericht 2024 stieg die Anzahl meldepflichtiger Sicherheitsvorfälle bei Kritischen Infrastrukturen um 38 % im Vergleich zum Vorjahr. Zudem verursacht laut Allianz Risk Barometer 2024 Cybercrime inzwischen die weltweit größte Schadenssumme für Unternehmen – noch vor Lieferkettenproblemen und Naturkatastrophen.
Doch zu viel Regulierung kann kontraproduktiv wirken. Der Digitalverband Bitkom warnte bereits im Mai 2024, dass „eine Überregelung mittelständischer Unternehmen ihre Fähigkeit zur Transformation ausbremst“. Mehrere Branchenverbände fordern daher, die Umsetzung eng an EU-Mindestanforderungen zu orientieren, statt nationale Sonderwege zu fordern.
Andererseits fehlen in vielen Sektoren – etwa im Gesundheitswesen, in der Bildung und bei kommunalen Versorgungsbetrieben – bislang wirksame Cybersicherheitsstandards. Hier könnte die NIS2-Richtlinie auch als Initialzündung für Investitionen und gezielte Förderprogramme dienen.
Konkrete Maßnahmen: Was Unternehmen jetzt tun können
Unabhängig von den finalen Änderungen durch den Bundesrat sollten Unternehmen sich frühzeitig vorbereiten. Folgende Schritte gelten als wichtige Vorbereitung:
- IT-Risikoanalyse aktualisieren: Unternehmen sollten ihre internen Prozesse, Systeme und Dienstleister überprüfen und prioritäre Schwachstellen identifizieren.
- Notfall- und Meldeprozesse optimieren: Wer bereits jetzt klare Eskalationsregeln, Kommunikationswege und Meldeketten etabliert, spart später Zeit und Stress.
- Compliance-Dokumentation aufbauen: Der Aufbau strukturierter Nachweisdokumentation hilft nicht nur bei Audits, sondern erhöht auch intern das Sicherheitsbewusstsein.
Wer sich proaktiv mit der kommenden Regulierung auseinandersetzt, reduziert das Risiko späterer Sanktionen. Zahlreiche Branchenkammern und IT-Sicherheitsdienstleister bieten bereits Schulungen, Toolkits und Handlungshilfen an, um die Umstellung zu begleiten.
Wie geht es weiter? Zeitplan und politische Dynamik
Die Bundesregierung plant, das NIS2UmsuCG noch im ersten Quartal 2025 final zu beschließen. Voraussetzung für den Bundestagsbeschluss wird allerdings die Zustimmung des Bundesrats sein, der sich nach aktuellen Informationen voraussichtlich im Februar oder März 2025 mit einem formellen Votum beteiligt. Möglich – und angesichts der Vielzahl eingebrachter Änderungsanträge wahrscheinlich – ist eine Überarbeitung im Vermittlungsausschuss.
Experten rechnen damit, dass Kompromisse in Form von gestaffelten Schwellenwerten, branchenspezifischen Ausnahmen und flexibleren Berichtspflichten gefunden werden. Bundesinnenministerin Nancy Faeser betonte mehrfach, dass ein Gleichgewicht zwischen Sicherheit und wirtschaftlicher Praktikabilität angestrebt werde.
Ob und in welcher Form der Bundesrat das Regelwerk tatsächlich verändert, bleibt bis zur finalen Abstimmung offen. Klar ist jedoch: Unternehmen tun gut daran, sich bereits jetzt auf mehr Cybersecurity-Pflichten einzustellen – wenn auch in differenzierter Ausprägung.
Fazit: NIS 2 als Chance statt Belastung verstehen
Die Umsetzung von NIS 2 ist mehr als nur ein gesetzliches Muss – sie bietet die Chance, Cybersicherheit endlich strukturell und nachhaltig in Unternehmensprozesse zu integrieren. Ja, der Weg dahin ist herausfordernd, insbesondere für kleine und mittlere Betriebe. Doch in einem zunehmend digitalisierten und bedrohten Umfeld ist klare Verantwortung heute mehr denn je Wettbewerbsfaktor.
Der politische Prozess kann – und sollte – sinnvolle Korrekturen vornehmen. Entscheidend ist, dass Sicherheit nicht an Überadministration scheitert. Die kommenden Wochen versprechen spannend zu werden. Diskutieren Sie mit: Wie sehen Sie die NIS-2-Umsetzung? Welche Änderungen würden Sie sich konkret wünschen? Schreiben Sie uns – Ihre Meinung zählt.
