Die Umsetzung der europäischen NIS2-Richtlinie schreitet voran – und ein kürzlich geleakter Referentenentwurf des NIS2-Umsetzungsgesetzes sorgt für Diskussionen. Unternehmen und IT-Verantwortliche in Deutschland sollten jetzt genau hinschauen. Denn die geplanten Anpassungen könnten die Cybersicherheitsstrategie vieler Betriebe nachhaltig beeinflussen.
Die NIS2 (Network and Information Security Directive 2) ist die überarbeitete Fassung der ursprünglichen EU-Richtlinie zur Netz- und Informationssicherheit. Ihr Ziel: einheitlich hohe Standards für die Cybersicherheit kritischer Infrastrukturen und digitaler Dienste in Europa. Jedes EU-Land ist verpflichtet, die Richtlinie in nationales Recht zu überführen – so auch Deutschland.
Laut dem durchgesickerten Entwurf plant das Bundesinnenministerium, den Geltungsbereich der NIS2 in Deutschland enger zu fassen. Konkret bedeutet das:
Weniger Einrichtungen würden als „besonders wichtig“ oder „wichtig“ klassifiziert.
Damit würden sie auch von bestimmten Pflichten ausgenommen, etwa der Pflicht zur Meldung von Sicherheitsvorfällen oder zur Umsetzung spezifischer IT-Sicherheitsmaßnahmen.
Für viele Unternehmen klingt das zunächst nach Entlastung – doch der Rückzug aus der Regulierung birgt Risiken. Denn wer sich aus der NIS2-Pflichtzone verabschiedet, könnte mittelfristig weniger IT-Sicherheitsstandards umsetzen – und so zur leichten Beute für Cyberkriminelle werden.
Kritisch wird auch gesehen, dass laut Entwurf Wirtschaft und Wissenschaft künftig weniger Mitsprache bei der Definition kritischer Dienstleistungen und Meldepflichten haben sollen. Das könnte zu praxisfernen Entscheidungen führen und den Austausch zwischen Staat und Privatwirtschaft erschweren.
Positiv fällt hingegen die geplante engere Zusammenarbeit zwischen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur auf. Diese sollen künftig stärker kooperieren, um einheitliche IT-Sicherheitsstandards zu definieren und durchzusetzen.
Diese Zentralisierung kann helfen, Doppelregulierungen zu vermeiden und klarere Vorgaben für Unternehmen zu schaffen – vorausgesetzt, die Kommunikation funktioniert reibungslos.
Für betroffene Unternehmen – insbesondere aus den Sektoren Energie, Gesundheit, Finanzen, Transport, Digitale Infrastruktur und öffentlicher Verwaltung – wird es jetzt Zeit, sich vorzubereiten:
Prüfe, ob dein Unternehmen weiterhin unter die NIS2-Festlegungen fällt.
Analysiere, welche Pflichten sich aus dem neuen Gesetz ableiten.
Setze frühzeitig auf robuste Cybersecurity-Maßnahmen, auch wenn keine gesetzliche Pflicht mehr besteht.
Denn Cybersicherheit ist längst kein „Nice-to-have“ mehr – sondern ein unternehmenskritischer Erfolgsfaktor.
Fazit: Der geleakte NIS2-Referentenentwurf bringt Licht und Schatten. Zwar reduziert er den regulatorischen Druck für viele Unternehmen, birgt aber auch die Gefahr eines Sicherheitsrückschritts. Wer auf Nummer sicher gehen will, sollte sich nicht auf die Gesetzeslage verlassen, sondern auf nachhaltige, praxistaugliche IT-Sicherheitsstrategien setzen.