NIS2: Was der Koalitionsvertrag andeutet – und was Unternehmen jetzt wissen sollten
Im Koalitionsvertrag der neuen Bundesregierung ist die Richtung klar vorgegeben: Die Nationale Cybersicherheitsstrategie soll weiterentwickelt, das BSI gestärkt und das BSI-Gesetz im Zuge der NIS2-Umsetzung novelliert werden. Damit unterstreicht die Regierung die Bedeutung der Cybersicherheit – und macht deutlich: Die Zeit des Abwartens ist vorbei.
Doch wie passt das zu der Tatsache, dass der ursprüngliche Gesetzentwurf zur Umsetzung der NIS2-Richtlinie – das sogenannte NIS2UmsuCG – in der letzten Legislatur nicht verabschiedet wurde? Und was bedeutet das für Unternehmen, die längst wissen wollen, was konkret auf sie zukommt?
Rückblick NIS2: Was ist passiert – und was nicht?
Die europäische NIS2-Richtlinie verpflichtet alle Mitgliedstaaten, bis zum 17. Oktober 2024 entsprechende nationale Umsetzungsmaßnahmen zu erlassen. Deutschland hatte mit dem NIS2UmsuCG einen Entwurf vorgelegt, der umfassende Änderungen am BSI-Gesetz vorsah. Doch es blieb beim Entwurf und das Gesetzt wurde nicht beschlossen.
Nach dem Prinzip der Diskontinuität gilt: Was innerhalb einer Legislaturperiode nicht beschlossen wird, ist mit deren Ende hinfällig. Ein neues Gesetzesverfahren muss bei Null beginnen – inklusive neuer Initiative. Eigentlich.
Jetzt geht’s vielleicht doch schneller mit NIS2 – mit einem Trick?
Aktuell wird in Berlin über einen alternativen Weg diskutiert: Anstatt den klassischen Weg über Ressortabstimmung, Kabinett und Bundesrat zu gehen, könnte das BMI den Bundestag direkt handeln lassen. Genauer: Eine Fraktion aus dem Regierungslager soll den Gesetzesentwurf selbst einbringen, um Zeit zu sparen.
Das hätte zwei zentrale Vorteile: keine langwierigen Konsultationen mit anderen Ministerien, Verbänden oder Ländern – und keine politische Debatte im Kabinett vorab. Sollte sich die neue schwarz-rote Koalition wie erwartet im Mai formieren, könnte der Bundestag bereits im selben Monat mit der ersten Lesung eines neuen NIS2-Umsetzungsgesetzes beginnen. So zumindest ist aus BMI-Kreisen zu hören.
Was steht drin – und was bleibt unklar?
Die zentrale Frage lautet: Wird es der alte Entwurf oder etwas ganz Neues? Die Union hatten sich in der Vergangenheit kritisch gegenüber dem damaligen Gesetzesentwurf geäußert. Die Möglichkeit, eigene Schwerpunkte zu setzen, ist nun da – aber auch mit Risiken verbunden.
Denn klar ist: Ein Schnellschuss bei einem derart komplexen und weitreichenden Vorhaben kann schnell nach hinten losgehen. Ob sich tatsächlich genug Abgeordnete finden, die ein solches Vorgehen mittragen und einen eigenen Entwurf einbringen, bleibt ebenfalls offen.
Was bedeutet das für Unternehmen?
Was sich jedoch mit Sicherheit sagen lässt: Die Umsetzung der NIS2-Richtlinie wird kommen – die einzige Frage ist, wann und in welcher Form. Und die geplanten Änderungen am BSI-Gesetz sind tiefgreifend – mit Auswirkungen auf eine Vielzahl von Unternehmen, weit über die klassischen KRITIS-Betreiber hinaus.
Cybersicherheit ist kein Zukunftsthema!
Unabhängig vom politischen Verfahren bleibt die Realität: Die Bedrohungslage im Cyberraum nimmt weiter zu. Unternehmen, die sich jetzt schon mit den bekannten Anforderungen der NIS2-Richtlinie auseinandersetzen und ihre Sicherheitsstrategie entsprechend ausrichten, sind klar im Vorteil. Wer heute vorbereitet ist, muss morgen nicht unter Zeitdruck reagieren. Cybersicherheit ist kein Zukunftsthema – sie ist längst Gegenwart. Wer proaktiv handelt, schützt nicht nur seine IT, sondern auch sein Geschäftsmodell.
weiterführende Links:
BSI – NIS-2 – was tun?
BSI – NIS-2-regulierte Unternehmen
Allianz Risk Barometer 2025: Cybercrime größtes Risiko für Firmen – Lanzrath CyberSec
Die Lage der IT-Sicherheit in Deutschland 2024 – Lanzrath CyberSec
Aktueller Stand der NIS2-Umsetzung in Deutschland – Lanzrath CyberSec
NIS2 & Cybersecurity: Warum Sicherheit kein Luxus sein darf – Lanzrath CyberSec
Bild: DALL·E 3 | OpenAI