Stellungnahme

DIHK zur NIS2-Umsetzung: Mehr Klarheit, weniger Bürokratie, starke Cybersicherheitsstrukturen

Das NIS2-Umsetzungsgesetz setzt die EU-Richtlinie auf nationaler Ebene um und erweitert die Pflichten zu IT-Sicherheit, Meldepflichten und Risikomanagement für Unternehmen – auch in Lieferketten. Die DIHK bewertet Chancen und Risiken für die Wirtschaft und zeigt Handlungsbedarf auf.

Der Entwurf des NIS2-Umsetzungsgesetzes soll ein höheres Sicherheitsniveau für kritische Infrastrukturen und Unternehmen in Deutschland gewährleisten. Unternehmen sehen sich mit neuen Melde- und Nachweispflichten konfrontiert, während die Praxisnähe und Verständlichkeit des Gesetzes entscheidend für seine Wirksamkeit sind. Besonders für mittelständische Unternehmen ist wichtig, dass Pflichten klar, umsetzbar und EU-konform definiert werden. Die DIHK analysiert den Entwurf und gibt Handlungshinweise für die Politik.

Das Wichtigste in Kürze

  • Viel mehr Unternehmen betroffen: Der Anwendungsbereich wird massiv ausgeweitet – auch mittelbare Betroffenheit in Lieferketten steigt.
  • Hohe Belastung für Mittelstand: Unklarheiten bei Definitionen und Pflichten verursachen hohen Rechts- und Prüfaufwand.
  • Harmonisierung dringend notwendig: Vorgaben müssen mit EU-Recht, KRITIS-Dachgesetz und Branchenregelungen synchronisiert werden.
  • Staatliche Strukturen ausbauen: Klare Prozesse, funktionierende Behördenzusammenarbeit und ein starkes BSI sind essenziell.
  • Cybersicherheit als gemeinsame Aufgabe: Unternehmen brauchen verständliche Lagebilder, konkrete Unterstützung und praxistaugliche Umsetzungshilfen.

Hintergrund

Mit der EU-NIS2-Richtlinie werden die Anforderungen an Cybersicherheit in Europa deutlich ausgeweitet. Deutschland setzt dies nun durch das NIS2-Umsetzungsgesetz um. Dadurch geraten wesentlich mehr Unternehmen – auch viele mittelständische Betriebe – in den Anwendungsbereich.

Der Regierungsentwurf konkretisiert Meldepflichten, Risikomanagement, Informationsaustausch und neue Befugnisse des BSI. Parallel entsteht mit dem KRITIS-Dachgesetz ein weiteres zentrales Regelwerk. Für Unternehmen, die in den Anwendungsbereich beider Gesetze fallen, wächst damit die Komplexität erheblich.

Was für Unternehmen jetzt wichtig ist

  • Betroffenheit frühzeitig prüfen: Gerade mittelständische Betriebe sollten klären, ob sie unter die Definition "wichtige" oder "besonders wichtige Einrichtungen" fallen.
  • Lieferkette im Blick behalten: Unternehmen müssen mehr Verantwortung für die Cyber-Resilienz ihrer Zulieferer übernehmen.
  • Risikomanagement vorbereiten: Dokumentations- und Sicherheitsnachweise werden umfangreicher. Zertifizierungen können helfen.
  • Meldewege kennen: Cybervorfälle müssen künftig schneller und umfassender gemeldet werden. Unternehmen sollten interne Prozesse darauf vorbereiten.
  • Informationsangebote nutzen: Das geplante Information Sharing Portal des BSI wird zentraler Baustein – Unternehmen sollten sich mit den Funktionen vertraut machen, wenn das Portal ab Anfang 2026 verfügbar ist.

Forderungen der DIHK

  • Rechts- und Planungssicherheit schaffen: Begriffe, Kategorien und Anwendungsbereiche eindeutig und EU-konform definieren – insbesondere im Zusammenspiel mit dem KRITIS-Dachgesetz.
  • Bürokratie begrenzen: Melde-, Dokumentations- und Nachweispflichten vereinfachen, digitalisieren und auf das Angemessenheitsprinzip ausrichten, um Unternehmen – vor allem KMU – nicht zu überlasten.
  • Lieferketten entlasten: Zertifizierungen wie ISO 27001, VdS oder TISAX als ausreichenden Nachweis anerkennen und Doppelprüfungen vermeiden.
  • Effiziente Zusammenarbeit ermöglichen: Klar definierte Prozesse zwischen Behörden und Unternehmen, ein nutzerfreundliches Information Sharing Portal und eine gut ausgestattete Cybersicherheitsarchitektur.
  • Öffentliche Hand einbeziehen: Auch Bund, Länder und Kommunen müssen verbindlich hohe IT-Sicherheitsstandards erfüllen, um verlässliche und sichere Verwaltungsprozesse zu gewährleisten.

FAQ

Häufig gestellte Fragen

Wen betrifft das Gesetz?

Deutlich mehr Unternehmen als bisher – sowohl direkt als "wichtige" oder "besonders wichtige Einrichtungen" als auch indirekt über die Lieferkette.

Was ändert sich für mittelständische Unternehmen?

Sie müssen mit zusätzlichen Melde-, Nachweis- und Dokumentationspflichten rechnen. Besonders die Prüfpflichten in der Lieferkette erhöhen den Aufwand deutlich.

Warum kritisiert die DIHK nationale Sonderregelungen?

Sie schaffen Rechtsunsicherheit, erschweren die EU-konforme Umsetzung und führen zu mehr Bürokratie, weil Unternehmen unterschiedliche Vorgaben beachten müssen.

Welche Rolle spielt das BSI?

Das Bundesamt soll stärker koordinieren, Meldewege vereinheitlichen und ein Information Sharing Portal aufbauen – dafür braucht es klare Prozesse und gute Ausstattung.

Warum ist die öffentliche Verwaltung nicht umfassend einbezogen?

Der Entwurf sieht nur für die Bundesverwaltung Pflichten vor. Unternehmen erwarten jedoch, dass auch staatliche Stellen ein verlässlich hohes Sicherheitsniveau gewährleisten.

Wie kann sich ein Unternehmen vorbereiten?

Durch Betroffenheitsprüfung, Aufbau eines angemessenen Risikomanagementsystems, klare interne Prozesse für Cybervorfälle und frühzeitige Auseinandersetzung mit Zertifizierungen und Prüfpflichten.

Hinweis

Das Gesetz zur Umsetzung der NIS-2-Richtlinie ist seit dem 5. Dezember 2025 in Kraft.

Download

DIHK-Stellungnahme zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (PDF, 167 KB)

 

Relevant im Themenfeld:
Innovation
Schwerpunkte:
  • Cybersicherheit
  • Digitalisierung

Veröffentlicht 30.09.2025

Aktualisiert 17.12.2025

Ansprechpartnerin

Porträtfoto Katrin Sobania

Dr. Katrin Sobania

Referatsleiterin Informations- und Kommunikationstechnologie | E-Government | Postdienste | IT-Sicherheit

E-Mail
sobania.katrin@dihk.de
Telefon
+49 30 20308 2109