Die EU-Richtlinie zielt darauf, die Reaktionsfähigkeit auf Cyberbedrohungen zu verbessern
© Traitov / Getty Images
Nach dem Bundestag hat nun auch der Bundesrat das NIS2-Umsetzungsgesetz verabschiedet. Die Kritikpunkte, die die Deutsche Industrie- und Handelskammer (DIHK) bereits am Gesetzentwurf geäußert hatte, bleiben bestehen.
Das Gesetz zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung überführt NIS2, also die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit, in nationales Recht.
Mit seinem Inkrafttreten müssen betroffene Unternehmen nun nicht nur prüfen, ob sie in den Anwendungsbereich des Gesetzes fallen, sondern – sofern sie es noch nicht getan haben – auch, ob sie die erforderlichen Maßnahmen bereits erfüllen.
Dirk Binding
© DIHK / Marko Priske
"Mit der Umsetzung der NIS2-Richtlinie werden deutlich mehr Unternehmen verpflichtet, zusätzliche Cyber-Sicherheitsanforderungen umzusetzen und nachzuweisen", erklärt Dirk Binding, DIHK-Bereichsleiter Digitale Wirtschaft, Infrastruktur, Regionalpolitik, die neue Rechtslage.
"Gerade mittelständische Betriebe tragen überproportional hohe Aufwände. Auch Unternehmen in der Lieferkette sind indirekt davon betroffen", so seine Einschätzung. "Das Gesetz kann nur ein Baustein unter vielen sein, um die Resilienz der Wirtschaft insgesamt auf ein höheres Niveau zu heben."
Binding sieht Staat und Wirtschaft gemeinschaftlich gefordert: "Das gemeinsame Ziel sollte in erster Linie durch praxistaugliche Unterstützungsangebote und aktuelle, relevante, zielgerichtete und konkret an den Bedarfen der Unternehmen ausgerichtete Lageinformationen und Umsetzungshilfen angestrebt werden."
Das Gesetz enthält Abweichungen von der EU-Richtlinie, etwa bei der Definition "wichtiger Einrichtungen" oder den "vernachlässigbaren Tätigkeiten". Dies kann die rechtskonforme Umsetzung erschweren und gegebenenfalls zu weiteren Verzögerungen in der Umsetzung führen.
"Unternehmen benötigen vor allem Klarheit und Verlässlichkeit", stellt Binding klar. "Abweichungen von der EU-Richtlinie oder unklare Definitionen schaffen Rechtsunsicherheit und unnötige Komplexität. Wir brauchen eindeutige Begriffe und eine Harmonisierung mit dem KRITIS-Dachgesetz, damit Unternehmen sicher sein können, dass sie die Vorgaben korrekt erfüllen."
Kritik äußert der DIHK-Experte daran, dass für die öffentliche Hand abseits von Teilen der Bundesverwaltung keine Verpflichtungen vorgesehen sind: "Auch wenn die Bundesverwaltung insgesamt nun auch die Vorgaben erfüllen muss. Für die Unternehmen ist wichtig, dass sie sich auf funktionierende Prozesse mit allen Verwaltungen verlassen können. Bund und Länder sind in der Pflicht, die entsprechenden Voraussetzungen zu schaffen."
Positiv bewertet die DIHK vor allem die geplante Einrichtung einer Online-Plattform für den Informationsaustausch zwischen Unternehmen und Bundesverwaltung (Information Sharing Portal). Dirk Binding: "Eine zentrale Plattform für den Austausch von Lageinformationen und Handlungsempfehlungen ist ein wichtiger Schritt. Damit kann ein vertrauensvolles Miteinander zwischen Staat und Wirtschaft entstehen – vorausgesetzt, die Informationen sind aktuell, verständlich und praxisnah aufbereitet."
Zum NIS2-Gesetzentwurf hatte sich die DIHK am 30. September 2025 geäußert:
DIHK-Stellungnahme NIS2-Umsetzungsgesetz (PDF, 167 KB)
