NIS2-reguliert – und nun?
Von Paul Weissmann am 21. Januar 2026
Seit Ende 2025 fallen Tausende Unternehmen in Deutschland unter die NIS2-Regulierung: Betreiber kritischer Anlagen (KRITIS) und viele Unternehmen in NIS2-Sektoren. Nach der eigenen Identifikation müssen sich betroffene Unternehmen in drei Monaten – bis 6. März 2026 beim BSI registrieren.
Dann folgen Pflichten und Cybersecurity unmittelbar nach Registrierung: Meldung von Sicherheitsvorfällen, Umsetzung der Maßnahmen sowie Nachweise und Audits (KRITIS). Eine Übersicht:
| Pflicht | Handlung | Verantwortlich (A) (R) |
Dritte (C/I) |
Wann | |
|---|---|---|---|---|---|
| Identifikation | Betroffenheit Einrichtung Betroffenheit Anlagen† |
GF | jährlich bei Änderungen |
||
| Registrierung | Registrierung Einrichtung beim BSI Registrierung Anlagen† beim BSI/BBK |
GF | BSI BBK |
nach Identifikation bei Änderungen |
|
| Geltungsbereich | Anlagen und eigenen Scope definieren im Unternehmen | GF | Stabsstelle CISO |
nach Identifikation bei Änderungen |
|
| Meldepflicht | Erhebliche Sicherheitsvorfälle Vorfälle† |
GF | CISO SOC |
BSI BBK |
unverzüglich |
| Komponenten | Freigabe Kritische Komponenten† | GF | Stabsstelle CISO |
BMI | vor Einsatz |
| Cybersecurity | Maßnahmen §30 BSIG umsetzen | GF | Fachbereiche CISO |
regelmäßig | |
| Resilienz | Maßnahmen §30 BSIG umsetzen Maßnahmen DachG umsetzen† |
GF | Fachbereiche CISO |
regelmäßig | |
| Angriffserkennung | Maßnahmen §31 BSIG und OH SzA† | GF | SOC/CISO | regelmäßig | |
| Dokumentation | Nachweis Umsetzung BSIG | GF | CISO | (BSI) | regelmäßig |
| Prüfungen | Audit Umsetzung BSIG in Anlagen† Audit Umsetzung DachG in Anlagen† |
GF | Prüfer | BSI BBK |
alle 3 Jahre |
| Reifegrade | Reifegrade BSI RUN† | GF | Prüfer | BSI | Prüfungen |
| Betriebsführung | Betriebsführung im EnWG | GF | Betriebsführer | BNetzA | konstant |
| Bußgelder | Sanktionen Verstöße BSIG Sanktionen Verstöße DachG† |
GF | BSI BBK |
bei Anlaß | |
NIS2 und der CS&R in Großbritannien
Von Paul Weissmann am 19. Januar 2026
Während die NIS2-Umsetzung in der EU im Gange ist, arbeitet auch Großbritannien an NIS2 und aktualisiert die Regulierung Kritischer Infrastrukturen mit NIS2-artigen Verpflichtungen.
Die Vorgaben aus EU NIS (2016) hat UK mit der eigenen NIS-Verordnung 2018 umgesetzt. Obwohl nicht mehr Teil der EU, besteht für Großbritannien weiterhin der Anreiz, sich an NIS2-ähnliche Cyber-Vorgaben anzupassen. Dies verringert die Hürden in der der Compliance britischer Unternehmen, die auf dem britisch-europäischen Markt tätig sind – als Betreiber und als Dienstleister.
In 2024 versprach die britische Regierung, dass das NIS-Regime von 2018 dringend aktualisiert werden müsse. Diese Aktualisierung durch den Cyber Security and Resilience Bill (CS&R Bill) nimmt Gestalt an. Das Gesetz wurde im November 2025 ins Unterhaus eingebracht und wird voraussichtlich 2026 vom Parlament verabschiedet.
Die britische NIS-Regulierung ändert sich durch CS&R deutlich:
- Ausweitung des Geltungsbereichs über Betreiber wesentlicher Dienste hinaus – Erweiterung der britischen Sektoren und Ergänzung einiger digitaler Anbieter und Dienste
- Neue Regulierung von designierte kritische Lieferanten als direkten Hebel für eine kleine Anzahl von Lieferanten mit großer Wirkung, einschließlich grenzüberschreitender Lieferketten
- NIS2-ähnliche zweistufige Struktur für die Meldung von Vorfällen (24/72 Stunden)
- Stärkere Befugnisse der Regulierungsbehörden (Informationsaustausch, Durchsetzungs, Kosten)
- NIS2-ähnliche umsatzabhängige Sanktionen
- Flexibilität in der Anpassung von Schwellenwerten und Anforderungen in sekundären Vorschriften
NIS2 in Deutschland verkündet
Von Paul Weissmann am 5. Dezember 2025
Das NIS2-Umsetzungsgesetz wurde am 5. Dezember 2025 im Bundesgesetzblatt veröffentlicht und damit verkündet. Die NIS2-Umsetzung tritt nun nach jahrelanger Gesetzgebung endlich in Deutschland in Kraft, mit vielen geänderten Gesetzen wie dem neuen BSIG, EnWG und TKG.
In der deutschen NIS2-Umsetzung gibt es keine Übergangsfristen mehr für regulierte Unternehmen: Tausende Einrichtungen müssen sich identifizieren, registrieren und dann alle NIS2 Cybersecurity-Pflichten umsetzen – vom Risikomanagement über ISMS und Resilienz bis zu SSO und MFA.
| Pflicht | Kritische Anlagen | Einrichtungen |
|---|---|---|
| Geltungsbereich | Anlage | Unternehmen |
| Maßnahmen Risikomanagement §30 | * | ✓ |
| Höhere Maßstäbe für KRITIS §31 (1) | ✓ | |
| Besondere Maßnahmen SzA §31 (2) | ✓ | |
| Meldepflichten §32 | * | ✓ |
| Registrierung §33 §34 | ✓ | ✓ |
| Unterrichtungspflichten (Kunden) §35 | * | ✓ |
| Geschäftsleitung Umsetzung §38 | * | ✓ |
| Nachweise und Prüfungen §39 | ✓ | §61§62 |
Offen bleiben noch einige Folgeregelungen durch Gesetzgeber und Bundesverwaltung: Das KRITIS-Dachgesetz für mehr Resilienz und physische Sicherheit, tiefer angepasste KRITIS-Verordnung und noch notwendige Sicherheitsstandards und weitere IT-Sicherheitskataloge.
Das OpenKRITIS-Betreiberforum
Von Paul Weissmann am 2. Dezember 2025
Das OpenKRITIS Betreiberforum ist ein interaktives Austauschformat für regulierte Unternehmen, die gemeinsam Fragen rund um NIS2 und KRITIS und aktuelle Themen diskutieren wollen.
Das Ziel ist, von anderen Betreibern zu lernen – in einer Gruppe mit Gleichgesinnten. Dabei können eigene Fallbeispiele eingebracht und viele Fragen gestellt werden. Das Betreiberforum findet ab Februar 2026 alle zwei Monate in Köln mit Anmeldung pro Termin statt. Es richtet sich an direkt regulierte Einrichtungen in NIS2 und KRITIS. Vorwissen und aktives Einbringen sind erwünscht.
| ID | Schwerpunkt | Themen |
|---|---|---|
| Februar 2026 | NIS2-Programme |
|
| März 2026 | Prüfungen in NIS2 |
|
| Q2 2026 | BCM in NIS2 |
|
| Q2 2026 | Vorfälle und Sensorik |
|
| Q2-Q3 2026 | KRITIS-Dachgesetz |
|
| Q2-Q3 2026 | Kritische Komponenten |
|
Cyber Resilience Act: EU CRA
Von Henri Jäger am 1. Dezember 2025
Der EU Cyber Resilience Act (EU CRA) schafft in der EU einen einheitlichen Rechtsrahmen für Cybersicherheit von Produkten mit digitalen Elementen. Mit CRA werden Hersteller zur sicheren Entwicklung von digitalen Produkten und zum Support über den gesamten Lebenszyklus für Cybersicherheit dieser Produkte verpflichtet.
EU CRA wurde im Oktober 2024 vom Europäischen Rat verabschiedet und tritt in Stufen bis Dezember 2027 in kraft. EU CRA kann als Ergänzung zur EU NIS2 Richtlinie gesehen werden, welche umfassende Anforderungen an Cybersecurity bei Betreibern in der EU macht, jedoch keine Anforderungen an Sicherheit von Produkten enthält. Dies soll der CRA ergänzen.
Hersteller regulierter Produkte müssen Cybersecurity-Pflichten umsetzen, Cybersecurity-Risiken bewerten und viel dokumentieren und bewerten (lassen). Regulierte Unternehmen und Betreiber nach NIS2 und KRITIS sind indirekt von CRA betroffen – bei der Beschaffung regulierter Produkten und Überschneidungen mit kritischen Komponenten.
| Gruppe | CRA | Anforderung | |
|---|---|---|---|
| Produkte | Annex I Part I | Cybersecurity in Produkten | |
| Hersteller | Art. 13 Art. 14 Annex I Part II Art. 31 Annex VII |
Cybersecurity bei Herstellern Meldepflichten Schwachstellenmanagement Technische Dokumentation Detaillierte Technische Dokumentation |
|
| Einfuhr und Handel | Art. 19 Art. 20 |
Pflichten in der Einfuhr Pflichten im Handel |
|
| Konformität | Art. 32 Annex VIII Art. 28 |
Konformitätsbewertung Bewertungsschema (Modul A, B, C, H) Konformitätserklärung |
|
| Betreiber und Einrichtungen |
- §41 BSIG-E Art. 8 (2) |
Einkauf und Beschaffung Kritische Komponenten Kritische Produkte |
NIS2 und KRITIS bis Ende 2025
Von Paul Weissmann am 27. November 2025
Das NIS2-Umsetzungsgesetz hat mittlerweile Bundestag und Bundesrat passiert und wird wohl Ende 2025 verkündet – mit sehr baldigem Inkrafttreten. Nach der de-facto Übergangsphase seit Oktober 2024 kommt auf regulierte Unternehmen ab Ende 2025 einiges zu – vieles davon sehr bald.
- In der NIS2-Umsetzung gibt es keine Übergangsfristen: Für Tausende Unternehmen gilt es zu identifizieren, registrieren (3 Monate) und dann alle NIS2 Cybersecurity-Pflichten.
- Das KRITIS-Dachgesetz naht auch. Für Betreiber kritischer Anlagen (KRITIS) kommen dann noch detailliertere Resilienz und physische Schutzmaßnahmen dazu.
- Der Energiesektor darf noch auf neue IT-Sicherheitskataloge der BNetzA warten: Anpassung an NIS2, Integration KRITIS-Dachgesetz, Nachweise sowie kritische Komponenten.
- Für Cloudbetreiber und IT-Provider gilt zusätzlich der Implementing Act der EU mit genauen NIS2-Vorgaben und Meldepflichten.
- KRITIS-Anlagen und Schwellenwerte werden in neuen KRITIS-Verordnungen noch angepasst. Die Sektoren eigentlich auch, aber in welche Richtung die Änderungen gehen – noch offen.
- Die EU hat beim Vertragsverletzungsverfahren und der Notifizierung der Gesetze mitzureden. Und andere EU-Länder und deren Unternehmen warten, dass es endlich ein belastbares Gesetz gibt.
Es bleibt viel zu tun!
NIS2 im Bundestag angenommen
Von Paul Weissmann am 13. November 2025
Der Bundestag hat am 13. November 2025 die finale Version der deutschen NIS2-Umsetzung (21/2782) angenommen. Damit geht eine lange Wartezeit und Periode der Gesetzgebung zu Ende – mehr als ein Jahr nach EU-Frist zur nationalen NIS2-Umsetzung. NIS2 wird damit hoffentlich Ende 2025 oder Anfang 2026 in Kraft treten.
Die Änderungen der letzten Gesetzesentwürfe und Änderungsanträge waren für die regulierte Wirtschaft überschaubar – Cybersicherheit und Betroffenheit wird wie seit spätestens 2024 bekannt. Es bleibt bei flächendeckender Betroffenheit der Wirtschaft (über 30 Tsd. Unternehmen) und großen Auswirkungen innerhalb regulierter Unternehmen.
Unternehmen müssen sich nun zeitnah identifizieren, bei den Behörden registrieren und notwendige Cybersecurity- und Resilienzmaßnahmen umsetzen. Änderungen ergaben sich bei kritischen Komponenten, offene Fragen bleiben bei vernachlässigbaren Tätigkeiten, der KRITIS-Verordnung sowie dem KRITIS-Dachgesetz für Resilienz und physische Sicherheit, was (auch) überfällig ist.
KRITIS in Zahlen – Reifegrade Herbst 2025
Von Paul Weissmann am 16. August 2025
Neue KRITIS in Zahlen vom BSI aus dem Herbst 2025 – mit aktuellen Werten zu Betreibern, Anlagen und Reifegraden in Deutschland. Die Zahlen wurden mit Stand September 2025 aktualisiert: nur wenig Änderungen, aber einige Abmeldungen.
Mitte 2025 gab es 1.209 Betreiber (Dopplungen möglich) mit 2.135 KRITIS-Anlagen mit nur leicht veränderten Reifegraden im ISMS, BCMS und SzA. Einige Verschiebungen der Reifegrade im Sektor Gesundheit und Abmeldung von vielen Reifegraden im Sektor Finanzen, wohl durch DORA. Keine Gewähr auf Vollständigkeit oder Korrektheit der Auswertung oben.
Stand der NIS2-Umsetzung im Herbst 2025
Von Paul Weissmann am 17. Oktober 2025
In die Umsetzung von NIS2 in Deutschland ist im Herbst 2025 Bewegung gekommen. Nach langem Warten ging das NIS2-Umsetzungsgesetz im Sommer aus dem Bundeskabinett in die Gesetzgebung, die sich nach der Sommerpause im Bundestag und Bundesrat fortsetzt.
- Gesetz: Die NIS2-Umsetzung wurde seit 2024 im Bundeskabinett (Regierungsentwurf) und Bundestag (21/1501) nur noch sehr wenig geändert.
- Sachverständige: In der öffentlichen Anhörung im Bundestag äußerten Sachverständige Mitte Oktober Kritik an der NIS2-Umsetzung (hib 507/2025).
- Stellungnahmen: Der Bundesrat nahm im Oktober kritisch Stellung zu Regelungen der NIS2-Umsetzung (369/1/25), gefolgt von einer Gegenäßerung der Bundesregierung (21/2072).
- Inkrafttreten: Es ist nicht unwahrscheinlich, dass die NIS2-Umsetzung mit nur noch wenig materiellen Änderungen Ende 2025 oder Anfang 2026 in Kraft tritt.
Die Umsetzung vom KRITIS-Dachgesetz scheint unklarer – das Gesetz selbst wirkt in den Versionen seit 2024 noch unausgegoren(er) mit wenig Änderungen der aktuellen Regierung und ebenso wenig Diskussionen zur Gesetzgebung.
Weiterhin offen verbleiben auch noch: eine neue KRITIS-Verordnung, welche Anlagen für NIS2 und KRITIS-Dachgesetz anpasst und harmonisiert und viele Kataloge und Vorgaben von BSI und BNetzA für die Umsetzung bei Betreibern, Sektoren (IT-Sicherheitskataloge Energie und TK) und Prüfungen.
Es gleibt spannend – die vielen regulatorische Änderungen ab Anfang 2026 sind absehbar.
Geltungsbereich für NIS2 und KRITIS
Von Hanna Lurz am 10. Oktober 2025
Der Geltungsbereich regulierter Unternehmen definiert und beschreibt den regulierten Bereich mit den notwendigen Prozessen und IT/OT. NIS2 erweitert den Geltungsbereich in betroffenen Unternehmen gegenüber KRITIS deutlich. Zukünftig fallen große Teile von Unternehmen unter die Regulierung.
Es gibt mehrere Geltungsbereiche je nach Betroffenheit als reguliertes Unternehmen:
- Betreiber kritischer Anlagen (KRITIS) mit definierten Anlagen über Schwellenwert. Dort sind die Anlage (KRITIS) und kritische Dienstleistung (kDL) mit Prozessen und IT im Scope.
- NIS2-Einrichtung als ganze Legaleinheiten nach Unternehmensgröße. Geltungsbereich ist das ganze Unternehmen als Legaleinheit mit
sämtlichen Aktivitäten
und praktisch der ganzen IT
In den verschiedenen Scopes im Geltungsbereich gelten dann, je nach genauem Sektor und Unternehmensart, verschiedene NIS2- und KRITIS-Vorgaben:
| Geltungsbereich | Abgedeckt | Anforderungen |
|---|---|---|
| Einrichtung | ganze Legaleinheit | NIS2-Anforderungen §30§32§33§35§38 |
| Kritische Anlage wenn vorhanden |
Systeme, Komponenten und Prozesse der kritischen Dienstleistung (Anlage) |
NIS2 und KRITIS-Anforderungen §30§31§32§33§35§38§39 Resilienz-Anforderungen KRITIS-DachG |
Der Geltungsbereich muss von regulierten Einrichtungen und Betreibern selbst im Detail definiert und in einem Geltungsbereichsdokument beschrieben werden.
Kritische Komponenten im Energiesektor: 5G-Moment?
Von Jakob Nischan am 30. September 2025
Die Umsetzung von NIS2 in Deutschland schafft mit §41 BSIG-E eine sektorübergreifende Generalklausel für kritische Komponenten und löst die Debatte aus dem 5G-Kontext der Telekommunikation. Im Energiesektor treffen erweiterte Pflichten und unklare Betroffenheit auf ein anderes Marktumfeld als im TK-Bereich mit dezentraleren Akteuren, Sicherheitsanforderungen und langen Investitionszyklen.
Für den Energiesektor rücken dadurch Beschaffung, Haftung und Planungssicherheit mehr in den Fokus. Das Editorial Kritische Komponenten im Energiesektor: 5G-Moment? fasst die Ergebnisse einer Forschungsarbeit von Jakob Nischan (2025) zusammen und beantwortet die Frage, ob mit NIS2 in kritischen Komponenten ein neuer 5G-Moment bevorsteht.
Im Rahmen einer Forschungsarbeit haben wir untersucht, wie Betreiber und Hersteller auf die veränderte Gesetzeslage reagieren. Im Mittelpunkt stand die Untersuchung, wie vormals apolitische oder technische Fragen zunehmend durch die Linse (nationaler) Sicherheit betrachtet werden, sodass die Trennlinie zwischen technischer Debatte und sicherheitspolitischen Logiken verwischt.
Anders als Staaten, die mit unternehmensbezogenen Ansätzen den Marktzugang ausländischer Technologieanbieter beschränken (z. B. durch Blacklists), erlaubt das deutsche Recht Eingriffe auf Ebene einzelner Hardware- oder Softwarekomponenten, sofern diese für den sicheren Betrieb Kritischer Infrastrukturen wesentlich sind. Mehr im Editorial zu Kritischen Komponenten im Energiesektor.
OpenKRITIS Winter School 2025-2026
Von Paul Weissmann am 17. September 2025
Kompaktes Schulungsprogramm mit OpenKRITIS – Sicherheit und Resilienz für regulierte Einrichtungen in der OpenKRITIS Winter School 2025-2026 ab November 2025. Nach den beliebten Durchläufen in 2024 und 2025 nun die dritte Winter School mit vier kompakten Schulungen.
Die Winter School richtet sich mit intensiven Kurzworkshops an Verantwortliche bei regulierten Einrichtungen für NIS2, KRITIS und EnWG, die eine Einordnung und Erfahrungen in der Umsetzung von ISMS und BCMS suchen. In zwei Online und zwei Vor-Ort Terminen im Rheinland liegt der Schwerpunkt auf Interaktion und vielen Fragen aus dem Plenum.
| ID | Thema | Plätze | Termin |
|---|---|---|---|
| W26.1 | NIS2 und KRITIS-Betroffenheit – und nun? Roadmap zu NIS2 für regulierte Einrichtungen mit Erfahrung. In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten. |
8 | 6. November 2025 9:30-12:30 online |
| W26.2 | Bootcamp NIS2 und KRITIS: ISMS und Resilienz OpenKRITIS x 3-Core Dieses eintägige Bootcamp richtet sich an regulierte Unternehmen, die in KRITIS und NIS2 vor den Herausforderungen eines integrierten ISMS, BCMS und physischen Schutzanforderungen stehen. |
12 | 20. November 2025 9:30-15:30 Bonn |
| W26.3 | NIS2 im Energiesektor: BSI, BNetzA & EnWG Mit NIS2 bleibt mehrfache Regulierung im Energiesektor erhalten. Betreiber von Netzen und Anlagen fallen neben KRITIS und NIS2 unter EnWG und viele neue BNetzA-Sicherheitskataloge. Was gilt nun wo? Wir besprechen Wege und Lösungen im Energiesektor. |
8 | 22. Januar 2026 10:00-16:00 Köln |
| W26.4 | NIS2 und KRITIS für Studierende Ein Einstieg in Kritische Infrastrukturen. Grundlagen von NIS2 und KRITIS in Deutschland und der EU, Diskussion der Ziele staatlicher Regulierung Kritischer Infrastrukturen. Einblick in die praktische Umsetzung in der Wirtschaft. Offen für alle Fachrichtungen. |
8 | 7. Januar 2026 10:00-13:00 online |
