Der Bundestag hat das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz am 13. November 2025 verabschiedet, der Bundesrat stimmte am 21. November zu. Damit wird die europäische NIS2-Richtlinie nach über einem Jahr Verzögerung endlich in deutsches Recht umgesetzt. Das Problem: Das Gesetz gilt unmittelbar nach Verkündung im Bundesgesetzblatt – ohne Übergangsfrist. Eine aktuelle Studie offenbart, dass mehr als die Hälfte der Unternehmen ihre Betroffenheit noch nicht einmal geprüft hat.
Was das Cybersicherheitsgesetz regelt
Mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz werden die Anforderungen an die IT-Sicherheit in Deutschland massiv verschärft. Die europäische NIS2-Richtlinie, die bereits 2022 auf EU-Ebene verabschiedet wurde, verpflichtet Unternehmen in kritischen und wichtigen Sektoren zu verbindlichen Cybersicherheitsmaßnahmen. Betroffen sind unter anderem Energieversorger, Gesundheitseinrichtungen, Transportlogistik, Lebensmittelproduktion, Maschinenbau, Pharmazie sowie IT-Dienstleister.
Der Kreis der regulierten Einrichtungen wird von bisher rund 4.500 auf etwa 29.500 Unternehmen erweitert – eine nahezu siebenfache Steigerung. Der Schwellenwert liegt bei mehr als 50 Mitarbeitern oder über zehn Millionen Euro Jahresumsatz. Viele mittelständische Unternehmen fallen damit erstmals unter eine gesetzliche Cybersicherheitsregulierung.
Artikel 21 der Richtlinie schreibt unter anderem Maßnahmen zum Risikomanagement, zur Aufrechterhaltung des Betriebs (Business Continuity), zum Backup-Management sowie zur Wiederherstellung nach Sicherheitsvorfällen (Disaster Recovery) vor. Geschäftsleitungen haften künftig persönlich für die Einhaltung dieser Anforderungen. Bei Verstößen drohen Bußgelder von bis zu zwei Prozent des weltweiten Jahresumsatzes.
Über ein Jahr politische Verzögerung
Eigentlich hätte Deutschland die EU-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umsetzen müssen. Der von der damaligen Ampelkoalition vorbereitete Gesetzentwurf konnte jedoch nicht mehr verabschiedet werden. Ende 2024 verlor die Regierung ihre Handlungsfähigkeit, es folgten Neuwahlen im Februar 2025. Erst nach der Bildung einer Großen Koalition aus CDU und SPD im Mai 2025 wurde das Gesetzgebungsverfahren neu aufgesetzt.
Die Europäische Kommission leitete im Mai 2025 ein Vertragsverletzungsverfahren gegen Deutschland ein. Ende Juli 2025 beschloss das Bundeskabinett schließlich einen neuen Regierungsentwurf. Nach den parlamentarischen Beratungen ist das Gesetz nun beschlossen – mit erheblicher Verspätung, aber ohne Aufschub für die betroffenen Unternehmen.
Studie offenbart erhebliche Defizite
Eine Studie von DATA REVERSE, für die im Oktober 2025 auf der Fachmesse IT-SA 245 IT-Verantwortliche befragt wurden, liefert ein ernüchterndes Bild zum tatsächlichen Vorbereitungsstand:
- 53 Prozent der Befragten hatten ihre Betroffenheit zum Zeitpunkt der Erhebung noch nicht geprüft.
- 22 Prozent gaben an, eindeutig von NIS2 betroffen zu sein. Weitere 25 Prozent hielten dies für wahrscheinlich, waren sich jedoch nicht sicher.
- Unter den Unternehmen, die sich als NIS2-relevant einstuften, bezeichneten sich 71 Prozent als vorbereitet, 29 Prozent hingegen nicht.
- Lediglich 33 Prozent testen regelmäßig ihre Fähigkeit zur Datenwiederherstellung. 67 Prozent tun dies nicht oder konnten keine Angabe machen.
- Nur vier Prozent haben in ihrem Notfallplan einen externen Ansprechpartner für Datenrettung hinterlegt.
Die Ergebnisse deuten darauf hin, dass ein erheblicher Teil der deutschen Wirtschaft trotz der langen Vorlaufzeit nicht ausreichend auf die neuen Anforderungen vorbereitet ist.
Disaster Recovery: Die unterschätzte Pflicht
Besonders auffällig sind die Defizite bei der Wiederherstellungsfähigkeit. Artikel 21 der NIS2-Richtlinie verlangt ausdrücklich Maßnahmen zur Aufrechterhaltung des Betriebs sowie zur Wiederherstellung nach Sicherheitsvorfällen. Ein funktionierendes Datensicherungs- und -wiederherstellungskonzept gehört damit zu den Kernpflichten betroffener Unternehmen.
Backup-Strategien allein reichen nicht aus, wenn deren Funktionsfähigkeit im Ernstfall nicht regelmäßig erprobt wird. Die Studienergebnisse zeigen, dass zwei Drittel der befragten Unternehmen ihre Wiederherstellungsprozesse nicht testen. Im Falle eines Cyberangriffs oder eines technischen Totalausfalls kann dies fatale Folgen haben – nicht nur für den Geschäftsbetrieb, sondern auch künftig für die persönliche Haftung der Geschäftsleitung.
Dass nur vier Prozent der Befragten einen externen Datenrettungskontakt im Notfallplan vorsehen, verdeutlicht eine weitere Lücke: Viele Unternehmen haben keinen Plan B für den Fall, dass interne Wiederherstellungsversuche scheitern.
Was Unternehmen jetzt tun müssen
Da keine Übergangsfristen vorgesehen sind, gelten die Pflichten ab dem Tag nach der Verkündung. Unternehmen, die unter die Regelung fallen, müssen sich innerhalb von drei Monaten nach Inkrafttreten beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Erste Nachweise über die Umsetzung von Sicherheitsmaßnahmen können frühestens drei Jahre nach Inkrafttreten verlangt werden – die Pflichten selbst gelten jedoch sofort.
Das BSI stellt ein Online-Tool zur Verfügung, mit dem Unternehmen prüfen können, ob sie unter das neue Gesetz fallen. Die NIS-2-Betroffenheitsprüfung ist kostenlos und liefert eine erste Einschätzung anhand von Branche und Unternehmensgröße.
Experten empfehlen, zunächst die eigene Betroffenheit zu klären, bestehende Sicherheitskonzepte zu evaluieren und insbesondere Wiederherstellungsprozesse regelmäßig zu testen. Die vollständige Umsetzung der NIS2-Anforderungen kann je nach Ausgangslage sechs bis 18 Monate in Anspruch nehmen. Wer bisher nicht gehandelt hat, steht nun unter erheblichem Zeitdruck.