Januar 2026

Netzwerk- und Informationssicherheit (NIS-2)

Die NIS‑2‑Richtlinie (Network and Information Security 2) ist Europas Rahmen für ein einheitlich hohes Cyber‑Sicherheitsniveau in kritischen Infrastrukturen und wichtigen Organisationen – von Energie über Transport bis hin zum Gesundheitssektor. Sie verpflichtet betroffene Unternehmen dazu, Risiken systematisch zu managen, robuste Schutzmaßnahmen zu implementieren und gravierende Sicherheitsvorfälle zeitnah zu melden. Für Unternehmen in Deutschland bedeutet das neue gesetzliche Anforderungen, mehr Verantwortlichkeit in der Geschäftsleitung und einen klareren Fokus auf resiliente digitale Infrastrukturen.

Klare Regeln für NIS‑2 und KRITIS: Mehr Rechtssicherheit und Abbau von Doppelstrukturen

Pharma Deutschland fordert:

  • Die Unternehmen müssen rechtssicher feststellen können, ob sie von dem Gesetz betroffen sind und damit auch den Verpflichtungen nachkommen müssen.
  • Die Umsetzung des NIS-2-Gesetzes und des KRITIS-Dachgesetzes müssen Hand in Hand gehen. Es darf keine Doppel-Strukturen und Doppel-Meldungen geben.
  • Es darf zudem keine Ungleichbehandlung zwischen Wirtschaft und staatlicher Verwaltung geben, wenn diese zumindest teilweise vom Anwendungsbereich ausgenommen wird.
  • Die Umsetzung muss eins zu eins zur Richtlinie erfolgen und es dürfen keine weiteren unnötigen bürokratischen Regelungen aufgebaut werden

Mehr Cybersicherheit für Unternehmen: verbindliche Schutzmaßnahmen, gestuftes Meldeverfahren und mehr Befugnisse für das BSI

Die Maßnahmen zielen darauf ab, dass alle betroffenen Unternehmen künftig zentrale Schutzmaßnahmen für die Cybersicherheit einführen. Dazu gehören unter anderem Risikoanalysen, Notfallpläne, Backup-Konzepte und Verschlüsselungslösungen, deren Umfang sich an der jeweiligen Bedeutung der Einrichtung orientiert.

Zudem soll das Meldeverfahren bei Cyberangriffen in ein gestuftes System überführt werden: Zunächst ist eine kurze Erstmeldung innerhalb von 24 Stunden vorgesehen, gefolgt von einem Zwischenstand nach 72 Stunden und einem abschließenden Bericht innerhalb eines Monats.

Darüber hinaus wird die Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gestärkt, indem die Behörde zusätzliche Befugnisse für Aufsicht und Durchsetzung erhält. Bei schwerwiegenden Verstößen können künftig Bußgelder verhängt werden, die sich am Jahresumsatz der Unternehmen orientieren.

Warum die Umsetzung der NIS‑2‑Richtlinie stockt und was der neue Gesetzesentwurf regelt

Der Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung wird die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) in deutsches Recht umsetzen. Diese Umsetzung hätte bereits bis zum Oktober 2024 erfolgen müssen, scheiterte jedoch aufgrund der vorgezogenen Neuwahlen des Bundestages aufgrund des Scheiterns der früheren Regierungskoalition.

Teilen
Zeichenfläche 1