Stand der NIS2-Umsetzung im Herbst 2025

Von Paul Weissmann am 17. Oktober 2025

In die Umsetzung von NIS2 in Deutschland ist im Herbst 2025 Bewegung gekommen. Nach langem Warten ging das NIS2-Umsetzungsgesetz im Sommer aus dem Bundeskabinett in die Gesetzgebung, die sich nach der Sommerpause im Bundestag und Bundesrat fortsetzt.

1. Gesetz: Die NIS2-Umsetzung wurde seit 2024 im Bundeskabinett (Regierungsentwurf) und Bundestag (21/1501) nur noch sehr wenig geändert.
2. Sachverständige: In der öffentlichen Anhörung im Bundestag äußerten Sachverständige Mitte Oktober Kritik an der NIS2-Umsetzung (hib 507/2025).
3. Stellungnahmen: Der Bundesrat nahm im Oktober kritisch Stellung zu Regelungen der NIS2-Umsetzung (369/1/25), gefolgt von einer Gegenäßerung der Bundesregierung (21/2072).
4. Inkrafttreten: Es ist nicht unwahrscheinlich, dass die NIS2-Umsetzung mit nur noch wenig materiellen Änderungen Ende 2025 oder Anfang 2026 in Kraft tritt.

Die Umsetzung vom KRITIS-Dachgesetz scheint unklarer – das Gesetz selbst wirkt in den Versionen seit 2024 noch unausgegoren(er) mit wenig Änderungen der aktuellen Regierung und ebenso wenig Diskussionen zur Gesetzgebung.

Weiterhin offen verbleiben auch noch: eine neue KRITIS-Verordnung, welche Anlagen für NIS2 und KRITIS-Dachgesetz anpasst und harmonisiert und viele Kataloge und Vorgaben von BSI und BNetzA für die Umsetzung bei Betreibern, Sektoren (IT-Sicherheitskataloge Energie und TK) und Prüfungen.

Es gleibt spannend – die vielen regulatorische Änderungen ab Anfang 2026 sind absehbar.

Geltungsbereich für NIS2 und KRITIS

Von Hanna Lurz am 10. Oktober 2025

Der Geltungsbereich regulierter Unternehmen definiert und beschreibt den regulierten Bereich mit den notwendigen Prozessen und IT/OT. NIS2 erweitert den Geltungsbereich in betroffenen Unternehmen gegenüber KRITIS deutlich. Zukünftig fallen große Teile von Unternehmen unter die Regulierung.

Es gibt mehrere Geltungsbereiche je nach Betroffenheit als reguliertes Unternehmen:

• Betreiber kritischer Anlagen (KRITIS) mit definierten Anlagen über Schwellenwert. Dort sind die Anlage (KRITIS) und kritische Dienstleistung (kDL) mit Prozessen und IT im Scope.
• NIS2-Einrichtung als ganze Legaleinheiten nach Unternehmensgröße. Geltungsbereich ist das ganze Unternehmen als Legaleinheit mit sämtlichen Aktivitäten und praktisch der ganzen IT

In den verschiedenen Scopes im Geltungsbereich gelten dann, je nach genauem Sektor und Unternehmensart, verschiedene NIS2- und KRITIS-Vorgaben:

Geltungsbereich	Abgedeckt	Anforderungen
Einrichtung	ganze Legaleinheit	NIS2-Anforderungen §30§32§33§35§38
Kritische Anlage     wenn vorhanden	Systeme, Komponenten und Prozesse der kritischen Dienstleistung (Anlage)	NIS2 und KRITIS-Anforderungen §30§31§32§33§35§38§39 Resilienz-Anforderungen KRITIS-DachG

Der Geltungsbereich muss von regulierten Einrichtungen und Betreibern selbst im Detail definiert und in einem Geltungsbereichsdokument beschrieben werden.

Kritische Komponenten im Energiesektor: 5G-Moment?

Von Jakob Nischan am 30. September 2025

Die Umsetzung von NIS2 in Deutschland schafft mit §41 BSIG-E eine sektorübergreifende Generalklausel für kritische Komponenten und löst die Debatte aus dem 5G-Kontext der Telekommunikation. Im Energiesektor treffen erweiterte Pflichten und unklare Betroffenheit auf ein anderes Marktumfeld als im TK-Bereich mit dezentraleren Akteuren, Sicherheitsanforderungen und langen Investitionszyklen.

Für den Energiesektor rücken dadurch Beschaffung, Haftung und Planungssicherheit mehr in den Fokus. Das Editorial Kritische Komponenten im Energiesektor: 5G-Moment? fasst die Ergebnisse einer Forschungsarbeit von Jakob Nischan (2025) zusammen und beantwortet die Frage, ob mit NIS2 in kritischen Komponenten ein neuer 5G-Moment bevorsteht.

Im Rahmen einer Forschungsarbeit haben wir untersucht, wie Betreiber und Hersteller auf die veränderte Gesetzeslage reagieren. Im Mittelpunkt stand die Untersuchung, wie vormals apolitische oder technische Fragen zunehmend durch die Linse (nationaler) Sicherheit betrachtet werden, sodass die Trennlinie zwischen technischer Debatte und sicherheitspolitischen Logiken verwischt.

Anders als Staaten, die mit unternehmensbezogenen Ansätzen den Marktzugang ausländischer Technologieanbieter beschränken (z. B. durch Blacklists), erlaubt das deutsche Recht Eingriffe auf Ebene einzelner Hardware- oder Softwarekomponenten, sofern diese für den sicheren Betrieb Kritischer Infrastrukturen wesentlich sind. Mehr im Editorial zu Kritischen Komponenten im Energiesektor.

OpenKRITIS Winter School 2025-2026

Von Paul Weissmann am 17. September 2025

Kompaktes Schulungsprogramm mit OpenKRITIS – Sicherheit und Resilienz für regulierte Einrichtungen in der OpenKRITIS Winter School 2025-2026 ab November 2025. Nach den beliebten Durchläufen in 2024 und 2025 nun die dritte Winter School mit vier kompakten Schulungen.

Die Winter School richtet sich mit intensiven Kurzworkshops an Verantwortliche bei regulierten Einrichtungen für NIS2, KRITIS und EnWG, die eine Einordnung und Erfahrungen in der Umsetzung von ISMS und BCMS suchen. In zwei Online und zwei Vor-Ort Terminen im Rheinland liegt der Schwerpunkt auf Interaktion und vielen Fragen aus dem Plenum.

Programm OpenKRITIS-Workshops Winter 2025-2026, Stand September 2025

ID	Thema	Plätze	Termin
W26.1	NIS2 und KRITIS-Betroffenheit – und nun? Roadmap zu NIS2 für regulierte Einrichtungen mit Erfahrung. In NIS2 und KRITIS sind viele Sektoren, Dienstleistungen, Produkte und Unternehmen betroffen – mit noch mehr Anforderungen. Wir erarbeiten die eigene Betroffenheit und neue Security-Pflichten.	8	6. November 2025 9:30-12:30 online
W26.2	Bootcamp NIS2 und KRITIS: ISMS und Resilienz OpenKRITIS x 3-Core Dieses eintägige Bootcamp richtet sich an regulierte Unternehmen, die in KRITIS und NIS2 vor den Herausforderungen eines integrierten ISMS, BCMS und physischen Schutzanforderungen stehen.	12	20. November 2025 9:30-15:30 Bonn
W26.3	NIS2 im Energiesektor: BSI, BNetzA & EnWG Mit NIS2 bleibt mehrfache Regulierung im Energiesektor erhalten. Betreiber von Netzen und Anlagen fallen neben KRITIS und NIS2 unter EnWG und viele neue BNetzA-Sicherheits­kataloge. Was gilt nun wo? Wir besprechen Wege und Lösungen im Energiesektor.	8	22. Januar 2026 10:00-16:00 Köln
W26.4	NIS2 und KRITIS für Studierende Ein Einstieg in Kritische Infrastrukturen. Grundlagen von NIS2 und KRITIS in Deutschland und der EU, Diskussion der Ziele staatlicher Regulierung Kritischer Infrastrukturen. Einblick in die praktische Umsetzung in der Wirtschaft. Offen für alle Fachrichtungen.	8	7. Januar 2026 10:00-13:00 online

KRITIS-Dachgesetz: Neuer Entwurf August 2025

Von Paul Weissmann am 1. September 2025

Das Innenministerium hat einen neuen Entwurf des KRITIS-Dachgesetzes veröffentlicht. Dieser Referentenentwurf des KRITIS-DachG von August 2025 ist sehr ähnlich zum Entwurf der vorigen Bundesregierung aus November 2024. Geregelt werden für Betreiber kritischer Anlagen Resilienz und physische Sicherheit. Das KRITIS-Dachgesetz könnte bis Ende 2025 oder Anfang 2026 in Kraft treten.

Die Änderungen im KRITIS-Dachgesetzes gegenüber 2024 sind minimal:

• Kosmetische Anpassungen (Ministerien, Definitionen)
• Jederzeit erreichbare Kontaktstelle
• Öffentliche Branchenstandards (B3S)
• IP-Adressbereiche bei Registrierung

Einiges bleibt noch offen bis zur Verkündung: Definitionen aller kritischer Sektoren, Dienstleistungen und zuständigen Behörden auf Bundesebene (zusätzlich zu Ländern). Ebenso eine Konkretisierung der Resilienzvorgaben in Resilienz- und Branchenstandards (B3S).

Neue Orientierungshilfe zu Nachweisen (OH-N)

Von Paul Weissmann am 21. August 2025

Ablauf Prüfung nach OH-N, Quelle BSI © 2025

Das BSI hat die Orientierungshilfe zu Nachweisen (OH-N) im Sommer überarbeitet. Die OH-N beschreibt aus BSI-Sicht Abläufe und Mindestanforderungen an KRITIS-Nachweisprüfungen und liegt jetzt in einer neuen Version online beim BSI vor.

Das vormalige PDF-Dokument OH-N ist nun direkt in einer Online-Version auf den BSI-Webseiten erreichbar, und beschreibt die für Betreiber und Prüfer wichtigen Erwartungen an KRITIS-Prüfungen aus Sicht des BSI. Die Orientierungshilfe beantwortet dabei auch viele Fragen von Prüfern und Betreiber für den gemeinsamen Ablauf von Prüfungen.

• Prozess zur Einreichung von Nachweisen
• Ablauf und Aufgaben in der Prüfung
• Nachweise und Mängel
• Glossar und diverse Anlagen

Auch mit der NIS2-Umsetzung bleiben Nachweisprüfungen erhalten – für die Betreiber kritischer Anlagen, ehemals KRITIS-Betreiber. Die genauen Vorgaben für die neuen §39 BSIG-E Prüfungen müssen noch konkretisiert werden, orientieren sich aber sicherlich an den bisherigen §8a BSIG-Prüfungen.

KRITIS in Zahlen – Reifegrade Sommer 2025

Von Paul Weissmann am 16. August 2025

Die Auswertung KRITIS in Zahlen vom BSI wurden im Sommer aktualisiert – mit aktuellen Werten zu Betreibern, Anlagen und Reifegraden in Deutschland. Die Zahlen wurden im Juli aktualisiert mit Stand Juni 2025: Es gibt neue Betreiber und mehr Reifegrade, aber inhaltlich wenig Änderungen.

Mitte 2025 gab es 1.208 Betreiber (Dopplungen möglich) mit 2.144 KRITIS-Anlagen mit nur leicht veränderten Reifegraden im ISMS, BCMS und SzA. Der KRITIS-Sektor Gesundheit ist bei ISMS und BCMS wieder das Schlusslicht und ünernahm die rote Laterne vom Sektor Transport und Verkehr. BCM generell mit sinkender Tendenz. Keine Gewähr auf Vollständigkeit oder Korrektheit der Auswertung oben.

Network Code on Cybersecurity (NCCS) im Energiesektor

Von Jakob Nischan am 15. August 2025

Für Betreiber von Stromnetzen gibt es neben der KRITIS und neuen NIS2-Regulierung ab Ende 2025 auch den EU Network Code on Cybersecurity (NCCS). EU NCCS regelt die Sicherheit von grenzüberschreitenden Stromflüssen in der EU und wurde 2024 von der EU-Kommission verabschiedet. Es gibt eine Schnittmenge mit NIS2, NCCS geht für betroffene Einrichtungen mehr in die Tiefe.

Betroffen von EU NCCS sind drei Gruppen an Unternehmen im Energiesektor: NCCS Electricity system operators and market actors (TSO, DSO, NEMO, RCC und weitere), Service and governance entities (kritische ICT-Provider, Managed Security Service Providers und weitere) und schließlich Third-country actors (nicht-EU Einrichtungen mit Einfluss auf grenzüberschreitende Stromflüsse).

EU NCCS fordert von betroffenen Unternehmen Cybersecurity-Maßnahmen und regulierte Prozesse: Ein Management-System (CSMS/ISMS), Lieferketten-Sicherheit, Vorfallsmeldungen, Audits und Compliance sowie Teilnahme am Monitoring. Unternehmen müssen von nationalen Behörden nominiert werden, und fallen dann (meist) unter EU NIS2/NCCS Doppelregulierung (neben EnWG & co.).

Kabinettsentwurf NIS2-Umsetzung von Ende Juli 2025

Von Paul Weissmann am 4. August 2025

NIS2 wird in Deutschland wohl Ende 2025 oder Anfang 2026 endlich umgesetzt. Nach einer kurzen Frist und vielen Rückmeldungen zum Referentenenwurf gab es Ende Juli dann die beschlossene Kabinettsversion vom NIS2-Umsetzungsgesetz. Trotz der vielen Stellungnahmen und Diskussionen hat sich für die Wirtschaft seit 2024 nicht mehr viel geändert, für die Bundesverwaltung umso mehr.

Die Änderungen der NIS2-Kabinettsversion nach der Verbändeabstimmung sind gering:

• Betreiber mit Nachweisfrist innerhalb von zwölf Monaten nach Inkrafttreten des neuen Gesetzes können den Nachweis innerhalb dieses Zeitraums noch einmal nach bisherigen §8a BSIG-Vorgaben erbringen. OpenKRITIS kommentierte und begrüßt die Änderung.
• Viele Änderungen der Vorgaben für die Bundesverwaltung, Anpassung der verbindlichen Pflichten und konkreten Anforderungen.
• Anpassung der Definitionen zu KRITIS-Sektoren und leichte Anpassung der KRITIS-Verordnung direkt im Änderungsgesetz selbst
• Definition des KRITIS-Sektors Sozialversicherung und Grundsicherung, herausgelöst bzw. als Teil vom alten Sektor Finanzen und Versicherungen.
• Viele kleinere Anpassungen und Vervollständigungen an Definitionen und Vorgaben, es bleiben aber viele Punkte aus Rückmeldungen ungeklärt.
• Anpassungen (Reduktion) der Aufwände für die Bundesverwaltung.

Das NIS2-Umsetzungsgesetz soll ab August weiter die Gesetzgebung passieren im Bundesrat und Bundestag. Hoffentlich kann das Gesetz im Herbst 2025 verschiedet werden, um dann Ende 2025 oder Anfang 2026 in Kraft zu treten – es gibt genug zu tun.

Beim KRITIS-Dachgesetz scheint der Weg noch länger zu sein: Neue Entwürfe und feste Absichten sind nicht publik, und die Gesetzesentwürfe für Resilienz und physischer Sicherheit haben noch deutliches Verbesserungs- und Konkretisierungspotenzial.

Neue Entwürfe der NIS2-Umsetzung im Sommer 2025

Von Jakob Nischan am 1. Juli 2025

Nach langer Zeit des Wartens gibt es seit Juni 2025 einen neuen Referentenentwurf vom NIS2-Umsetzungsgesetz. Nach einem geleakten Entwurf aus Mai dient der Juni-Entwurf der Verbändeabstimmung im Juli, das Gesetz soll dann zeitnah die Gesetzgebung nach der Sommerpause passieren.

Der Referentenentwurf Juni 2025 enthält nur noch wenig Änderungen zu den bekannten 2024er-Entwürfen, für betroffene Wirtschaftsunternehmen waren keine tiefgreifenden Änderungen erkennbar.

• Anpassung der Einbindung der Wirtschaft und Verbände bei Definition
• Anpassung der Definition der maßgeblichen Geschäftstätigkeit (siehe folgend)
• Titel ist nun Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
• Sektor Finanzwesen nun ohne Versicherungswesen
• Neuer Sektor (KRITIS) Sozialversicherungsträger sowie Grundsicherung
• Neue Einrichtung Digitaler Energiedienste
• (Erste) Änderungen der KRITIS-Verordnung im NIS2-Umsetzungsgesetz selbst
• Leichte Anpassungen von Definitionen
• Ausweitung Regeln und Vorgaben auf die ganze Bundesverwaltung
• Leichte Anpassungen EnWG
• Anpassungen der avisierten Aufwände in der Bundesverwaltung von 2026-2029

Der Anwendungsbereich betroffener Unternehmen könnte sich noch deutlich von den bisher avisierten 30 Tsd. Einrichtungen erhöhen Während zuvor nur die NIS2-zuordenbare Tätigkeit für Betroffenheit herangezogen wurde, sollen nun sämtliche Aktivitäten eines Unternehmens berücksichtigt werden, ausgenommen vernachlässigbare Geschäftstätigkeiten. Was genau vernachlässigbar ist, wurde bislang nicht definiert, zudem ist eine Vereinbarkeit mit EU-Recht unklar.

Ein Inkrafttreten der NIS2-Umsetzung im Herbst 2025 scheint nun möglich.

Neuer IT-Sicherheitskatalog Energie 2025

Von Paul Weissmann am 28. Mai 2025

Betreiber von Energienetzen und Energieanlagen im Sektor Energie müssen IT-Sicherheitskataloge der BNetzA nach dem Energiewirtschaftsgesetz (EnWG) umsetzen. Für diese Betreiber gilt nicht nur das BSIG mit KRITIS und NIS2, sondern das EnWG mit sicherem Anlagen- und Netzbetrieb.

Mit NIS2 gibt es ab 2025 neue IT-Sicherheitskataloge nach §5c EnWG-E und eine turnusmäßige Überarbeitung der bestehenden §11 EnWG Kataloge. Diese Überarbeitung betrifft Energieanlagen und Energienetze aber anscheinend noch nicht alle NIS2- und KRITIS-DachG Vorgaben.

Aktuell befindet sich der neue §11 EnWG Katalog im Konsultationsverfahren bei der Bundesnetzagentur. Ein Konsultationspapier von Mai 2025 skizziert die neuen Anforderungen und Strukturen, welche die BNetzA im neuen IT-Sicherheitskatalog 2025 berücksichtigen will.

• Betroffenheit: Umsetzen müssen den IT-Sicherheitskatalog sowohl Betreiber von Energienetzen und Energieanlagen als auch deren Betriebsführer.
• Geltungsbereich: Zum expliziten Zertifizierungsscope gehören nun alle kritischen Systeme für kritische Prozesse. Außerhalb davon müssen allgemeine Maßnahmen umgesetzt werden.
• Zertifizierungen: Weiterhin muss ein zertifiziertes ISMS nach ISO 27001 (mit ISO 27002 und ISO 27019) nachgewiesen werden, nach dem Schema der DAkkS.
• Cybersecurity: Angemessene Maßnahmen nach Stand der Technik müssen risiko-basiert umgesetzt werden.
• Risikomanagement: Organisiertes Management von IS-Risiken nach Allgefahren-Ansatz
• Resilienz: Maßnahmen zur Betriebskontinuität müssen umgesetzt werden wie BCM, BIA, Notfallpläne und Übungen.

Die Konsultationfrist läuft bis Juni 2025 mit einer hoffentlich neuen, detaillierteren Version des IT-Sicherheitskatalogs bis Sommer. Übergangsfristen waren bis 2027 avisiert. Viele NIS2- und KRITIS-Dachgesetz-spezifische Maßnahmen fehlen noch und werden sicherlich in einer weiteren Version ergänzt.