NIS2-Umsetzungsgesetz in Deutschland: Ab sofort neue Pflichten für tausende Unternehmen

Zusammenfassung

Am 5. Dezember 2025 wurde das deutsche NIS2-Umsetzungsgesetz im Bundesgesetzblatt veröffentlicht und trat am 6. Dezember 2025 in Kraft. Damit wird die EU-NIS2-Richtlinie in deutsches Recht überführt und der Kreis der betroffenen Einrichtungen massiv ausgeweitet: Statt bislang rund 4.500 gelten nun geschätzt bis zu 30.000 Unternehmen und Organisationen als reguliert, eingeteilt in „wichtige" und „besonders wichtige" Einrichtungen.

Zentrales Element sind ein verpflichtendes Cybersicherheits-Risikomanagement, strenge Meldepflichten für Sicherheitsvorfälle sowie eine Registrierung beim BSI. Für das digitale Unternehmenskonto „Mein Unternehmenskonto" empfiehlt das BSI eine Einrichtung spätestens bis Ende 2025; die Registrierung im neuen BSI-Portal soll ab dem 6. Januar 2026 möglich sein.

Wichtig: Übergangsfristen für die Sicherheitsmaßnahmen gibt es praktisch nicht. Bei Verstößen drohen Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (für besonders wichtige Einrichtungen) bzw. 7 Mio. Euro oder 1,4 % (für wichtige Einrichtungen).

Analyse und Bewertung

Management-Perspektive: Haftung im Fokus

Die Verantwortung liegt ausdrücklich bei der Geschäftsleitung. NIS2 verlangt, dass Vorstände und Geschäftsführer grundlegende Kenntnisse in Cybersicherheit erwerben und die Umsetzung der Maßnahmen überwachen. Versagen kann zu persönlicher Organhaftung und direkten Aufsichtsmaßnahmen führen.

Breitere Betroffenheit: Viele mittelständische Betriebe fallen erstmals unter eine eigenständige Cybersicherheitsregulierung.

Keine Schonfrist: Das Gesetz gilt sofort. Unternehmen müssen schon jetzt ein Mindestniveau an Risikomanagement und Meldeprozessen nachweisen.

Compliance-Schnittstellen: NIS2 muss zusammen mit DSGVO, DORA (Finanzsektor) und dem kommenden EU AI Act gedacht werden. Ein isolierter IT-Ansatz reicht nicht mehr aus.

Technische und Governance-Perspektive

Gefordert ist ein strukturiertes Risikomanagement mit technischen und organisatorischen Maßnahmen (TOMs). Dazu gehören Patch-Management, Backups, Netzwerksegmentierung, Protokollierung sowie explizit der Schutz der Lieferkette.

Meldeprozesse: Meldepflichten für erhebliche Vorfälle müssen fest in Incident-Response-Pläne integriert werden.

Registrierung als Anker: Neben der IT-Sicherheit rücken Datenqualität im Asset-Inventar und klare Verantwortlichkeiten in den Fokus.

Supply Chain: Verträge mit Dienstleistern (Cloud, MSPs) müssen Sicherheitsanforderungen und Audit-Rechte neu regeln.

Handlungsempfehlungen für Unternehmen

Angesichts der hohen Risikoeinschätzung empfehlen wir folgende Priorisierung:

1. Sofort (0 bis 30 Tage)

Betroffenheitsprüfung: Nutzen Sie unseren kostenlosen NIS2-Selfcheck zur Orientierung und dokumentieren Sie rechtssicher, ob Sie als „wichtig" oder „besonders wichtig" gelten.

Taskforce: Setzen Sie eine interne Gruppe aus Geschäftsleitung, IT, CISO, Recht und Compliance ein.

Registrierung: Starten Sie die Einrichtung von „Mein Unternehmenskonto", falls noch nicht geschehen (Ziel: vor 31.12.2025).

Gap-Analyse (High Level): Prüfen Sie bestehende Zertifikate (ISO 27001) auf Lücken zu NIS2 (insb. Meldewesen & Lieferkette).

2. Kurzfristig (1 bis 3 Monate)

Detaillierte Roadmap: Erstellen Sie ein verbindliches Umsetzungsprogramm inklusive Budget.

Incident-Management: Harmonisieren Sie Meldewege (BSI, Datenschutzbehörden, Branchenaufsicht).

Lieferantenmanagement: Überprüfen Sie Ihr Third-Party-Risk-Management und passen Sie Verträge mit IT-Dienstleistern an.

Schulung: Führen Sie Schulungen für die Geschäftsleitung (Board-Level) durch, um Haftungsrisiken zu minimieren.

3. Strategisch (3 bis 12 Monate)

Integriertes ISMS: Führen Sie NIS2, ISO 27001, DSGVO und DORA in einem Managementsystem zusammen.

Resilienz-Tests: Erhöhen Sie den Reifegrad durch regelmäßige Krisensimulationen (Table-Top-Exercises) und Wiederanlauf-Tests.

Konzern-Rollout: Definieren Sie für Gruppenstrukturen zentrale Mindeststandards.

Zusatzinformationen

Wer ist betroffen? Typischerweise Unternehmen ab 50 Mitarbeitenden bzw. 10 Mio. € Umsatz/Bilanzsumme in 18 definierten Sektoren (u.a. Energie, Transport, Banken, Gesundheit, digitale Infrastruktur).

Zeitschiene Registrierung: Unternehmenskonto bis 31.12.2025; BSI-Portal ab 06.01.2026.

Zwischenlösung Meldung: Bis zur vollen Verfügbarkeit des Portals sind Online-Formulare des BSI zu nutzen.

EU AI Act: Wie sich Unternehmen auf Konformitätsprüfungen vorbereiten

Zusammenfassung

Der EU AI Act (Verordnung (EU) 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für Künstliche Intelligenz. Er trat am 1. August 2024 in Kraft und wird stufenweise bis zum 2. August 2026 vollständig anwendbar.

Während verbotene KI-Praktiken bereits seit Februar 2025 untersagt sind und Regelungen zu General Purpose AI (GPAI) seit August 2025 gelten, rückt nun der komplexeste Teil in den Fokus: Die strengen Vorgaben für Hochrisiko-KI-Systeme, die ab August 2026 (bzw. für bestimmte integrierte Produkte ab 2027) greifen.

Für diese Hochrisiko-Systeme sind Konformitätsprüfungen der zentrale Hebel. Sie bewerten Risikomanagement, Datenqualität, Dokumentation, menschliche Aufsicht sowie Cybersicherheit und führen zur Vergabe der CE-Kennzeichnung. Experten (u. a. ICAEW) betonen, dass Unternehmen jetzt ihr KI-Inventar bereinigen und Governance-Strukturen aufbauen müssen, um ab 2026 marktfähig zu bleiben.

Analyse und Bewertung

Management-Perspektive: Strategie vor Technik

Der AI Act ist kein reines Technikthema, sondern ein Instrument der Unternehmenssteuerung. Er beeinflusst Produktstrategie, Haftungsrisiken und Reputation maßgeblich.

Vorstandspflicht: Die Geschäftsführung muss entscheiden, wo Hochrisiko-KI zulässig ist, und das Kontrollniveau definieren.

Marktzugang: Hochrisiko-KI wird reguliert wie ein klassisches Produkt (ähnlich Maschinen oder Medizinprodukten). Ohne bestandene Konformitätsprüfung gibt es keinen Marktzugang in der EU.

Rolle der "Deployers": Viele Unternehmen unterschätzen, dass sie nicht nur als Hersteller, sondern auch als Anwender (Deployer) Pflichten haben – etwa bei der Nutzung von KI im HR-Bereich oder bei der Kreditvergabe (Transparenz, Aufsicht).

Technische und Governance-Perspektive

Hochrisiko-KI-Systeme erfordern den Nachweis eines robusten Risikomanagements, hochwertiger Trainingsdaten („Data Governance") und lückenloser technischer Dokumentation.

Bewertungsverfahren: Je nach KI-System erfolgt die Prüfung intern oder durch externe „Benannte Stellen". Ein unkoordinierter Ansatz führt hier schnell zu doppelten Kosten und widersprüchlichen Nachweisen.

General Purpose AI (GPAI): Für Basismodelle gelten Transparenzpflichten. Die EU unterstützt die Umsetzung durch den GPAI Code of Practice und den AI Pact zur Förderung freiwilliger Vorab-Konformität.

ISO/IEC 42001 als Anker: Der Standard für KI-Managementsysteme bietet den idealen Rahmen, um die Anforderungen des AI Act strukturiert in bestehende Prozesse zu integrieren.

Risikoeinschätzung: Mittel bis hoch (für Unternehmen mit Hochrisiko-KI oder GPAI). Priorität: P2 (ab sofort für Governance-Aufbau), P1 (ab 2026 für Systeme mit Marktzugang).

Handlungsempfehlungen

1. Sofort (0 bis 30 Tage)

Inventarisierung: Erstellen Sie ein vollständiges Verzeichnis aller KI-Anwendungen (Zweck, Datenquellen, Hersteller, Einsatzkontext).

Risiko-Kategorisierung: Ordnen Sie Ihre Systeme den vier Risikoklassen des AI Act zu. Identifizieren Sie gezielt Hochrisiko-Fälle (z. B. HR-Screening, kritische Infrastruktur).

Governance-Gremium: Setzen Sie ein cross-funktionales Team (IT, Data, Legal, Compliance) ein, idealerweise angedockt an Ihr bestehendes ISMS-Board.

2. Kurzfristig (1 bis 3 Monate)

Zielbild definieren: Leiten Sie für Ihre Hochrisiko-Systeme die konkreten Anforderungen an Dokumentation, Logging und menschliche Aufsicht ab.

Standard wählen: Nutzen Sie ISO/IEC 42001 als Referenzrahmen, um KI-Qualitätsmanagement nicht „nebenher", sondern integriert zu betreiben.

Lieferanten-Check: Fordern Sie von Ihren KI-Anbietern Transparenz (z. B. Modellkarten, Trainingsdaten-Infos) und vertragliche Zusicherungen zur AI-Act-Konformität ein.

3. Strategisch (3 bis 12 Monate)

Integriertes Managementsystem: Verzahnen Sie KI-Governance mit Datenschutz (DSGVO) und IT-Sicherheit (NIS2). Vermeiden Sie Silos.

Konformitäts-Roadmap: Planen Sie Budget und Zeitfenster für externe Prüfungen (Benannte Stellen) bei Ihren zentralen Hochrisiko-Produkten ein.

KPIs & Portfolio: Bewerten Sie KI-Projekte nicht nur nach Innovationspotenzial, sondern nach „Regulatory ROI" – lohnt sich der Compliance-Aufwand für den geplanten Use Case?

Zusatzinformationen

Zeitplan: Volle Geltung ab 02.08.2026. Spezielle Fristen gelten für GPAI (bereits aktiv) und Annex-I-Produkte (2027).

AI Office: Die neue EU-Behörde koordiniert die Aufsicht und bietet Unterstützung durch Leitlinien.

Harmonisierung: Der „Digital Omnibus" und andere Initiativen zielen darauf ab, Überschneidungen zwischen AI Act, DSGVO und Cyber-Resilience-Vorgaben zu glätten.

Digital Omnibus Package: Der große „Reparatur-Patch" für das EU-Digitalrecht

Zusammenfassung

Am 19. November 2025 hat die Europäische Kommission das lang erwartete Digital Omnibus Package vorgestellt. Das Ziel: Die zentralen Bausteine des europäischen Digitalrechts (Data Act, DSGVO, AI Act, NIS2, DORA, eIDAS, CER) zu entflechten, zu vereinfachen und besser zu verzahnen.

Die Kernpunkte versprechen echte Entlastung:

• Ein einheitlicher Meldekanal („Single Entry Point") für Sicherheitsvorfälle und Datenpannen.
• Die Bündelung verschiedener Daten-Regularien direkt im Data Act.
• Gezielte Anpassungen der DSGVO (u. a. pragmatischere Meldefristen, Klarstellungen bei Pseudonymisierung).
• Erleichterungen im AI Act für KMU und vereinfachte Konformitätsbewertungen.

Kritiker warnen zwar vor einer Aufweichung des Schutzniveaus, doch aus Wirtschaftsperspektive ist das Paket der notwendige Schritt, um die Compliance-Last handhabbar zu machen.

Analyse und Bewertung

Management-Perspektive: Konsolidierung statt Revolution

Das Digital Omnibus ist kein neues Gesetz, sondern ein massives „Refactoring" des bestehenden Rechtsrahmens.

Keine neuen Pflichten, sondern Anpassung: Die Herausforderung liegt nicht in neuen Hürden, sondern darin, bestehende Governance-Strukturen (ISMS, Datenschutz, AI-Compliance) so umzubauen, dass sie die Vereinfachungen auch nutzen können.

Meldewesen als Effizienzhebel: Der geplante Single Entry Point beendet hoffentlich das Chaos der Mehrfachmeldungen (z.B. ein Vorfall, der gleichzeitig an BSI, Landesdatenschützer und BaFin gemeldet werden musste). Das spart Ressourcen, erfordert aber zentralisierte Prozesse.

Rechtssicherheit: Die Harmonisierung von Definitionen (was genau ist ein „High Impact"-Vorfall über alle Gesetze hinweg?) reduziert juristische Grauzonen.

Technische und Governance-Perspektive

Für IT- und Compliance-Abteilungen bedeutet das Omnibus Aufräumarbeit – im positiven Sinne.

Data Act als Zentrum: Die Bündelung von Free Flow of Data und Open Data im Data Act schafft eine zentrale "Wahrheit" für Datennutzung, Trade Secrets und B2G-Zugriffe.

DSGVO-Update: Die Verlängerung der Meldefristen für Datenschutzverletzungen (Vorschlag: 96 statt 72 Stunden bei bestimmten Risiken) und die Integration der Cookie-Regeln direkt in die Verordnung erleichtern das operative Tagesgeschäft.

Unified Reporting: SIEM-, Ticket- und GRC-Systeme müssen angepasst werden. Statt verschiedener Formulare für NIS2, DORA und DSGVO wird ein harmonisierter Datensatz ("Golden Record" des Vorfalls) benötigt.

Risikoeinschätzung: Mittel (da „nur" Anpassung), aber hoher Koordinationsbedarf. Priorität: P2 (Monitoring), P1 (sobald finale Texte vorliegen).

Handlungsempfehlungen

1. Sofort (0 bis 30 Tage)

Monitoring aufsetzen: Verfolgen Sie den Gesetzgebungsprozess. Da es ein Kommissionsvorschlag ist, können Parlament und Rat noch Details ändern.

Impact-Analyse: Identifizieren Sie, wo Ihre aktuellen Projekte (Cloud-Migration, KI-Einführung) unter den bisherigen, strengeren Regeln leiden. Hier könnten sich durch das Omnibus Chancen ergeben.

Schnittstellen-Check: Zeichnen Sie eine Karte Ihrer aktuellen Meldewege. Wo melden Sie doppelt? Das ist Ihr Potenzial für den künftigen Single Entry Point.

2. Kurzfristig (1 bis 3 Monate)

Datenstrategie harmonisieren: Prüfen Sie, ob Ihre Data Governance (nach Data Act) konsistent ist. Klären Sie Regeln für Datenteilung und den Schutz von Geschäftsgeheimnissen neu.

Vorbereitung Datenschutz: Passen Sie DPIA-Vorlagen und Incident-Response-Pläne gedanklich an. Planen Sie Flexibilität ein, um auf die neuen Fristen (z. B. 96h) umschalten zu können, sobald das Gesetz greift.

Synergien nutzen: Legen Sie die Projektteams von NIS2 und AI Act zusammen. Das Omnibus bestätigt, dass diese Themen nicht isoliert betrachtet werden dürfen.

3. Strategisch (3 bis 12 Monate)

Das "Super-ISMS": Entwerfen Sie ein integriertes Compliance-Framework. Das Ziel: Ein zentrales Governance-Dach für Data Act, DSGVO, AI Act, NIS2 und DORA. Weg von Silo-Lösungen!

Architektur: Treffen Sie IT-Entscheidungen im Hinblick auf Interoperabilität. Die im Data Act verschärften Cloud-Switching-Regeln werden durch das Omnibus zementiert – Vendor Lock-in wird zum Compliance-Risiko.

Schulung: Entwickeln Sie ein Schulungskonzept, das Mitarbeitern nicht einzelne Gesetze erklärt, sondern den Lebenszyklus von Daten (Erhebung -> Schutz -> KI-Nutzung -> Vorfall -> Löschung) als ganzheitlichen Prozess vermittelt.

Zusatzinformationen

Status: Vorschlag der Kommission (Nov 2025). Verhandlungen im Trilog (Rat, Parlament, Kommission) stehen an.

Schwerpunkte: Datenräume, Datenschutz-Vereinfachung, KI-KMU-Entlastung, harmonisiertes Meldewesen.

Chancen vs. Risiken: Große Chance auf weniger Bürokratie, aber Risiko einer Übergangsphase, in der altes und neues Recht parallel interpretiert werden müssen („Rechtsunsicherheit im Übergang").

EU AI Act: GPAI-Modelle unter neuer Regulierung

Zusammenfassung

Ab dem 2. August 2025 treten erstmals verbindliche Pflichten für Anbieter von General Purpose AI-Modellen (GPAI) in der EU in Kraft. Die Europäische Kommission hat begleitende Leitlinien sowie einen freiwilligen Verhaltenskodex veröffentlicht, um die praktische Umsetzung zu erleichtern und Transparenz sicherzustellen. Die aktive Kontroll- und Durchsetzungsphase durch das EU AI Office beginnt ein Jahr später, am 2. August 2026.

Analyse & Bewertung

Management-Perspektive:

• Neue Compliance-Kategorie: GPAI-Modelle, die ein systemisches Risiko für den europäischen Markt darstellen, unterliegen umfangreichen regulatorischen Anforderungen.
• Transparenzpflichten: Anbieter müssen detaillierte Informationen zu den Trainingsdaten, -methoden und Sicherheitsmaßnahmen dokumentieren und auf Anfrage bereitstellen.
• Urheberrechtskonformität: Sicherstellung der Compliance im Umgang mit Trainingsdaten, insbesondere hinsichtlich Urheberrecht und geistigem Eigentum.
• Bußgeldrisiko: Bei Verstößen drohen Bußgelder von bis zu 35 Mio. Euro oder bis zu 7% des weltweiten Jahresumsatzes des verantwortlichen Unternehmens.
• Verhaltenskodex: Ein freiwilliger Code of Practice steht zur Unterstützung der Compliance zur Verfügung und kann regulatorische Vorteile bieten.

Technische Perspektive:

• Dokumentationspflichten: Umfassende technische Spezifikationen, Risikobewertungen und Compliance-Nachweise müssen gepflegt werden.
• Test- und Evaluierungsverfahren: GPAI-Modelle sind vor der Markteinführung umfangreichen Tests und Evaluierungen zu unterziehen, um Risiken frühzeitig zu identifizieren.
• Meldepflichten: Schwerwiegende Sicherheitsvorfälle und Missbrauchsfälle müssen unverzüglich den zuständigen Behörden gemeldet werden.
• Security by Design: Sicherheits- und Datenschutzmaßnahmen sind bereits in der Entwicklungsphase verbindlich zu implementieren.

Risikoeinschätzung: MITTEL bis HOCH

Empfehlung:

• Kurzfristig: Bestandsaufnahme aller eingesetzten und angebotenen KI-Systeme mit Klassifizierung nach Risikogruppen, Erfassung des regulatorischen Status.
• Mittelfristig: Aufbau und Implementierung belastbarer KI-Governance-Strukturen einschließlich Verantwortlichkeiten, Prozessbeschreibungen und Kontrollmechanismen.
• Strategisch: Integration der Vorgaben in Produktentwicklungs- und Innovationsprozesse, fortlaufende Schulung der Mitarbeiter im Umgang mit KI-Systemen, laufende Anpassung an neue Leitlinien und Marktanforderungen.

NIS2-Umsetzungsgesetz Deutschland: Finale Gesetzgebungsphase

Zusammenfassung

Das Bundeskabinett hat den finalen Regierungsentwurf des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" beschlossen. Mit dem Gesetz wird die Aufsicht des BSI wesentlich erweitert: Statt bisher ca. 4.500 sind künftig rund 29.500 Einrichtungen betroffen, insbesondere durch Ausweitung auf „wichtige" und „besonders wichtige" Unternehmen in 18 Wirtschaftssektoren.

Management-Perspektive:

• Betroffenheit: Unternehmen ab 250 Mitarbeitenden oder mit mindestens 50 Mio. Euro Jahresumsatz in den vorgesehenen 18 regulierten Sektoren
• Compliance-Anforderungen: Registrierungspflicht beim BSI, verpflichtende Risikoanalysen und Risikomanagement-Maßnahmen, Meldepflichten bei Sicherheitsvorfällen, Einführung von Multi-Faktor-Authentifizierung
• Geschäftsführerhaftung: Klare persönliche Verantwortung der Unternehmensleitung für die Umsetzung und Einhaltung der Cybersicherheitsanforderungen
• Zeitrahmen: Geplantes Inkrafttreten Ende 2025 bis Anfang 2026; Gesetz befindet sich im parlamentarischen Verfahren mit abschließender Verabschiedung noch offen

Technische Perspektive:

• Risikomanagement: Verpflichtende Erstellung und Umsetzung von Risikoanalysen, kontinuierliche Überprüfung und Incident-Response-Konzepte
• Supply Chain Security: Explizite Anforderungen zur Absicherung der Lieferketten- und Dienstleisterbeziehungen
• Technische Maßnahmen: Sicherheitstechnologien wie Multi-Faktor-Authentifizierung, verschlüsselte Kommunikation, regelmäßige Mitarbeiterschulungen und Sensibilisierung

Risikoeinschätzung: HOCH

Empfehlung:

• Kurzfristig: Umfassende Betroffenheitsprüfung durchführen, detaillierte Gap-Analyse der bestehenden Cybersecurity-Maßnahmen starten
• Mittelfristig: Aufbau oder Anpassung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001; sorgfältige Dokumentation der Maßnahmen und Prozesse
• Strategisch: Integration der NIS2-Anforderungen in bestehende Compliance-Programme und IT-Governance, frühzeitige Budgetplanung für die Phasen 2025/2026, regelmäßige Schulungen und Audits etablieren

Vodafone DSGVO-Rekordstrafe: 45 Millionen Euro

Zusammenfassung

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte im Juni 2025 ein Rekord-Bußgeld in Höhe von 45 Millionen Euro gegen Vodafone Deutschland. Grund waren gravierende Datenschutzverstöße durch mangelhafte Kontrolle von Partneragenturen und Sicherheitsmängel im Authentifizierungsprozess des Onlineportals „MeinVodafone". Das Bußgeld übertrifft das vorherige Rekordbußgeld gegen H&M (35,3 Mio. EUR) deutlich.

Analyse & Bewertung

Management-Perspektive:

• Verschärfte Durchsetzung: Die Datenschutzbehörden gehen konsequenter gegen verstärkte Verstöße vor.
• Partnerrisiken: Unzureichende Prüfung und Überwachung von Dienstleistern führten zu fingierten Vertragsabschlüssen zulasten der Kunden.
• Reputationsschaden: Neben dem Bußgeld entsteht erheblicher Imageverlust und vermehrte Schadensersatzforderungen.
• Präzedenzfall: Signalwirkung für Telekommunikationsunternehmen und andere Branchen.

Technische Perspektive:

• Authentifizierungsmängel: Schwachstellen im kombinierten Zugang über Onlineportal und Hotline ermöglichten unbefugten Zugriff auf eSIM-Profile.
• Partnerintegration: Fehlende technische Kontrollen und Auditprozesse bei Drittanbietern.
• DSGVO-Compliance: Verletzungen von Art. 28 (Auftragsverarbeitung) und Art. 32 (Datensicherheit) DSGVO.

Risikoeinschätzung: HOCH

Empfehlung:

• Kurzfristig: Überprüfung aller Partnerverträge und Due-Diligence-Prozesse intensivieren.
• Mittelfristig: Einführung technischer Sicherheitskontrollen und regelmäßiger Audits.
• Strategisch: Stärkung der Datenschutz-Governance und konsequente Umsetzung von Privacy by Design-Prinzipien.

EU Data Act: Rechtliche Bindung ab 12. September 2025

Zusammenfassung

Der EU Data Act wird nach 20-monatiger Übergangsfrist EU-weit verbindlich und regelt umfassend den Zugang und die Nutzung von Daten aus vernetzten Produkten und verbundenen Diensten. Die Verordnung betrifft nahezu alle Wirtschaftszweige und schreibt Herstellern vor, maschinell lesbare, strukturierte Datenzugänge bereitzustellen. Bei Verstößen gegen zentrale Pflichten (Kapitel II, III und V des Data Acts) können Sanktionen in Anlehnung an die DSGVO verhängt werden.

Analyse & Bewertung

Management-Perspektive:

• Universelle Betroffenheit: Alle Unternehmen mit datenverarbeitenden vernetzten Produkten in der EU sind verpflichtet, Nutzern Zugriff auf Maschinendaten zu gewähren.
• Wettbewerbsdynamik: Erleichterter Datenzugang fördert Wettbewerb, Innovation und neue Geschäftsmodelle, bringt aber auch Anpassungs- und Investitionsbedarf mit sich.
• Vertragsprüfung: Die Überarbeitung bestehender B2B-Verträge und die Berücksichtigung neuer Datenzugangsrechte werden entscheidend sein.
• Nationale Umsetzung: Deutschland hat das Durchführungsgesetz noch nicht verabschiedet. Der aktuelle deutsche Gesetzesentwurf sieht vor, der BNetzA die Befugnis zu erteilen, zur Durchsetzung ihrer Anordnungen Zwangsgelder von bis zu 10 Mio. Euro zu verhängen. Daneben gibt es einen Katalog für Ordnungswidrigkeiten mit geringeren Bußgeldern.
• Compliance-Risiko: Hohe Zwangsgelder und Reputationsrisiken bei Nichteinhaltung drücken den Handlungsdruck auf Unternehmen.

Technische Perspektive:

• Interoperabilität und API-Anforderungen: Hersteller müssen offene, standardisierte und maschinenlesbare Schnittstellen bereitstellen, die einfachen, sicheren Datentransfer ermöglichen.
• Cloud-Switching & Datenportabilität: Kunden müssen die Möglichkeit erhalten, Cloud-Dienste einfach zu wechseln oder parallel zu nutzen.
• Datenschutz & Schutz von Geschäftsgeheimnissen: Die DSGVO bleibt bei personenbezogenen Daten ergänzend und streng anwendbar. Schutzmechanismen für Geschäftsgeheimnisse sind im Einzelfall zu wahren.
• Datenarten: Herausgegeben werden Rohdaten oder vorverarbeitete Produkt- und Dienstdaten, die während der Nutzung entstanden sind – dies betrifft sowohl private als auch industrielle IoT-Geräte.

Risikoeinschätzung: HOCH

Empfehlungen:

• Sofort: Notfall-Compliance-Checks insbesondere für kritische Datenflüsse und Vertragswerke.
• Kurzfristig: Aufbau technischer Schnittstellen, strukturierte Datenformate und Governance-Strukturen für Datenzugang.
• Strategisch: Integration des Data Acts in Unternehmensstrategie, Investition in Dateninfrastruktur und Schulung der Mitarbeiter zum Umgang mit neuen Regelungen.

Zusatzinformationen:

Der EU Data Act ist ein Meilenstein in der europäischen Datenwirtschaft, der den Nutzerrechten bei IoT-Geräten und verbundenen Diensten zu mehr Durchsetzung verhilft und gleichzeitig die digitale Souveränität steigert. Zugangsrechte gelten für eine breite Produktpalette von Smart-TVs, Autos bis Industrieanlagen. Die Verordnung schafft neue Chancen vor allem für KMU, die durch erleichterten Datenzugriff ihr Innovationspotenzial besser nutzen können. Gleichzeitig bleibt der Schutz von Geschäftsgeheimnissen und personenbezogenen Daten (DSGVO) essentiell. Unternehmen müssen jetzt aktiv werden, um Compliance-Risiken zu minimieren und Potenziale zu realisieren.

Zusammenfassung

Am 13. Oktober 2025 fand im Innenausschuss des Deutschen Bundestages die öffentliche Anhörung zum Regierungsentwurf des „Gesetzes zur Umsetzung der NIS-2-Richtlinie" (NIS2UmsuCG, BT-Drs. 21/1501) statt. Der Entwurf soll die EU-Richtlinie (EU) 2022/2555 in nationales Recht überführen und das BSI-Gesetz (BSIG) sowie weitere Fachgesetze anpassen. Ziel ist es, den Geltungsbereich der Cybersicherheitsanforderungen deutlich zu erweitern und Aufsicht, Meldewege und Mindeststandards neu zu ordnen.

Mehrere Sachverständige, darunter Vertreter:innen von Bitkom, eco, BDI und der Datenschutzkonferenz (DSK), mahnten jedoch rechtliche und organisatorische Unschärfen an. Insbesondere die Abgrenzung zwischen „wesentlichen" und „wichtigen Einrichtungen", das dreistufige Meldesystem, die Aufsichtskompetenzen des BSI und die Interoperabilität mit bestehenden Regimen (z. B. DSGVO, DORA, KRITIS-DachG) gelten als noch nicht praxistauglich ausgestaltet.

Der Gesetzentwurf befindet sich weiterhin in der Ausschussberatung; eine zweite und dritte Lesung im Bundestag ist frühestens im November oder Dezember 2025 zu erwarten.

Analyse & Bewertung

Management-Perspektive

• Der Entwurf weitet den Kreis der Verpflichteten auf schätzungsweise über 29 000 Unternehmen aus – darunter viele Mittelständler ohne bisherige KRITIS-Pflichten.
• Geschäftsleitungen tragen künftig persönliche Verantwortung für den Aufbau und die Wirksamkeit des Informationssicherheitsmanagements (ISMS).
• Sanktionen: Bußgelder bis 10 Mio. € bzw. 2 % des Jahresumsatzes bei Verstößen gegen Governance- oder Meldepflichten.
• Kritisch beurteilt werden Mehrfachmeldungen (z. B. DSGVO Art. 33 + NIS2 Art. 23), uneinheitliche Fristen und fehlende Klarstellungen zur Meldekoordination.
• Besonders gefordert sind Sektoren mit hoher Vernetzung (Energie, Gesundheit, Transport, Verwaltung, Cloud, IKT-Dienstleister).

Technische Perspektive

• Umsetzung der Mindestmaßnahmen gemäß Art. 21 NIS2: Patch-Management, Angriffserkennung, Netzsegmentierung, Backup-Strategien, Zugriffskontrolle, Verschlüsselung, Protokollierung.
• Das dreistufige Meldeverfahren (Frühwarnung innerhalb von 24 h, Zwischenbericht nach 72 h, Abschlussbericht nach 30 Tagen) erfordert 24/7-Erreichbarkeit und klare Rollenverteilung.
• Integration in bestehende ISMS nach ISO/IEC 27001 : 2022 oder BSI-IT-Grundschutz dringend empfohlen.
• Enge Verzahnung mit KRITIS-Dachgesetz und DORA notwendig, um redundante Audit- und Berichtspflichten zu vermeiden.

Risikoeinschätzung: HOCH
→ Grund: sehr weiter Scope, unklare Aufsichtszuständigkeiten, erheblicher Implementierungsaufwand innerhalb kurzer Fristen.

Empfehlungen

Sofort (0–30 Tage)

• Interne NIS2-Readiness-Analyse durchführen: Unternehmensgröße, Tätigkeitsfeld, potenzielle Einstufung („wesentlich"/„wichtig") prüfen.
• CISO-Verantwortlichkeiten und Berichtslinien zur Geschäftsleitung formalisieren.
• Erste Melde- und Kommunikationsprozesse (inkl. Incident-Triage) testen.

Kurzfristig (1–3 Monate)

• Lieferketten- und Dienstleisterbewertung nach Art. 21 Abs. 2 NIS2 aufsetzen.
• Verträge mit Outsourcing-, Cloud- und Software-Partnern auf Sicherheits- und Meldepflichten prüfen.
• Awareness-Trainings für Management- und IT-Führungskräfte vorbereiten.

Strategisch (3–12 Monate)

• ISMS-Reifegrad nach ISO/IEC 27001 ausbauen; interne Audits und Kennzahlen (MTTD/MTTR) etablieren.
• Integration von NIS2-Pflichten in Compliance-Management-System (CMS, Governance-Framework).
• Frühzeitige Abstimmung mit Landes- oder Branchenaufsichten, um Interpretationsspielräume zu klären.

Zusatzinformationen

• Der Gesetzesentwurf ergänzt das geplante KRITIS-Dachgesetz und steht in direktem Bezug zum neuen Cybersicherheitsstärkungsgesetz (CSSG).
• Eine Übergangsfrist von 12 Monaten nach Verkündung ist vorgesehen; die Anwendbarkeit wird damit voraussichtlich ab Q4 2026 greifen.
• Das BSI soll Aufsicht und Koordination für „wesentliche Einrichtungen" übernehmen; Länderaufsichten sollen „wichtige Einrichtungen" überwachen.
• Parallel laufen EU-weite Konsultationen zur NIS2-Implementing Regulation, die technische Mindestanforderungen harmonisieren soll.

Quellen

• Deutscher Bundestag – Öffentliche Anhörung im Innenausschuss (13.10.2025):
  🔗 https://www.bundestag.de/ausschuesse/inneres/anhoerungen/1113440-1113440
• Regierungsentwurf NIS2UmsuCG, BT-Drucksache 21/1501 (08.09.2025):
  🔗 https://dserver.bundestag.de/btd/21/015/2101501.pdf
• Bundesministerium des Innern und für Heimat (BMI) – Kabinettsbeschluss & Umsetzungsseite:
  🔗 https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html
• Bitkom-Stellungnahme zur NIS2-Umsetzung (10/2025):
  🔗 https://www.bitkom.org/Bitkom/Publikationen/Umsetzung-NIS-2-Richtlinie
• ENISA – Technical Implementation Guidance for NIS2 (Juni 2025):
  🔗 https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance