Wie weit ist die Umsetzung? Was hat sich geändert? Und worauf müssen sich Unternehmen einstellen?

In dieser Folge von „WeTalkSecurity“ geht es um den aktuellen Stand der NIS2-Umsetzung in Deutschland, die Gründe für die Verzögerung, zentrale Inhalte des neuen Regierungsentwurfs und was Unternehmen jetzt konkret tun sollten. Philipp Plum spricht in Jena mit Maik Wetzel (ESET) über Änderungen gegenüber früheren Entwürfen, die Ausweitung des Geltungsbereichs, Meldepflichten an das BSI, mögliche „Goldplating“-Aspekte in Deutschland und die europäische Perspektive. Außerdem: realistische Zeitschiene für das Umsetzungsgesetz und Auswirkungen auf Lieferketten.

Gast:

Maik Wetzel, Strategic Business Development Director DACH bei ESET

Gastgeber: Philipp Plum

Schwerpunkte und Inhalte der Episode:

Status & Verzögerung der NIS2-Umsetzung: Nach dem Regierungswechsel startet das Verfahren formell neu. Es liegt ein Regierungsentwurf vor, die 1. Lesung im Bundestag findet in dieser Woche statt. Zielkorridor: Ende 2025 bzw. Januar/Februar 2026 für das nationale Umsetzungsgesetz – auch wegen des laufenden EU-Vertragsverletzungsverfahrens.

Was bleibt: Ziele & Mindeststandards (§30): Kern von NIS2 ist unverändert: Resilienz erhöhen und Sicherheitsniveau harmonisieren. Die im Entwurf verankerten Risikomanagementmaßnahmen (sinngemäß §30) gelten als vernünftige Mindeststandards – nichts „Raketenwissenschaft“, eher solide „Hausverstand“-Sicherheit, die jedes Unternehmen etablieren sollte.

Geltungsbereich & Betroffenheit: Von ~1.800 KRITIS-Unternehmen steigen wir auf rund 29.500 betroffene Einrichtungen. Unternehmen sollen ihre Betroffenheit prüfen (z. B. via BSI-Entscheidungsbaum) und auf dieser Basis Maßnahmen einleiten.

Pflichten: Melden & Umsetzen: Es kommt ein dreistufiges Melderegime an das BSI. Wichtig: Für die Umsetzung der Mindeststandards gibt es keine Übergangsfrist mit Inkrafttreten – Fristen beziehen sich primär auf Nachweise usw. Wer betroffen ist, sollte jetzt in der Umsetzung sein.

Streitpunkte im Regierungsentwurf: Kritik gibt es u. a. an einer faktischen Absenkung des Sicherheitsniveaus in der Bundesverwaltung (zunächst nur Ministerien & Kanzleramt erfasst) sowie an der Betroffenheitslogik: teils zählt die Gesamtgröße des Unternehmens, auch wenn nur ein kleiner Bereich im relevanten Sektor tätig ist.
EU-Perspektive, Harmonisierung & „Goldplating“: Als Richtlinie führt NIS2 zu 27 Umsetzungs-gesetzen – Harmonisierung bleibt damit begrenzt. Deutschland geht in Teilen über die Richtlinie hinaus (z. B. zusätzliche Kategorie „Betreiber kritischer Anlagen“, strengere Akzente bei Haftung/Meldepflichten), was insbesondere KMU belasten kann.

**Für wen ist diese Folge besonders relevant? **

IT-Verantwortliche & Geschäftsführungen im Mittelstand
ISBs/DSBs
KRITIS-Organisationen
Compliance-/Rechtsabteilungen
Unternehmen mit europaweiten Standorten oder Lieferkettenbezug zu NIS2

Besondere Empfehlungen aus der Folge:

1. Betroffenheit jetzt prüfen (BSI-Leitfäden/Entscheidungsbaum nutzen) und Maßnahmen anschieben.


2. Risikomanagement systematisch umsetzen (Assets/Prozesse bewerten, Schutzniveau ableiten, kontinuierlich nachsteuern).


3. Meldewege & Nachweise früh klären; Reporting-Prozesse und Verantwortlichkeiten festlegen.


4. Lieferkette berücksichtigen: Anforderungen an Zulieferer/Partner definieren und prüfen (indirekte Betroffenheit).


5. Ressourcen planen: ISMS, Schulungen, Technik-Baseline – keine Hauruck-Aktion kurz vor Inkrafttreten.

Weiterführende Links:

• BSI: Betroffenheitsanalyse NIS2




• EU-NIS2-Richtlinie