Wie oft werden die Security News aktualisiert?

Unsere Security News werden täglich aktualisiert, um Sie über die neuesten Entwicklungen in IT-Sicherheit, Compliance und Datenschutz zu informieren. Bei kritischen Sicherheitswarnungen erfolgen Updates sofort.

Welche Themen werden in den Security News behandelt?

Wir behandeln aktuelle Themen zu IT-Compliance (DSGVO, NIS2, ISO 27001), Cybersecurity-Bedrohungen, KI-Regulierung, Datenschutz-Updates, Security-Incidents und Best Practices für KMU. Der Fokus liegt auf praxisrelevanten Informationen für deutsche Unternehmen.

Kann ich die Security News abonnieren?

Ja, Sie können unseren kostenlosen Security Newsletter abonnieren und erhalten wöchentlich die wichtigsten Security News, Compliance-Updates und Praxistipps direkt in Ihr E-Mail-Postfach.

Sind die Security News speziell für KMU relevant?

Ja, unsere Security News sind speziell auf die Bedürfnisse kleiner und mittlerer Unternehmen zugeschnitten. Wir fokussieren uns auf praktische, umsetzbare Informationen und berücksichtigen die begrenzten Ressourcen von KMU bei IT-Sicherheit und Compliance.

Öffentliche Anhörung im Bundestag, Experten kritisieren Unschärfen im NIS2UmsuCG und fordern Nachbesserungen

Zusammenfassung

Am 13. Oktober 2025 fand im Innenausschuss des Deutschen Bundestages die öffentliche Anhörung zum Regierungsentwurf des „Gesetzes zur Umsetzung der NIS-2-Richtlinie" (NIS2UmsuCG, BT-Drs. 21/1501) statt. Der Entwurf soll die EU-Richtlinie (EU) 2022/2555 in nationales Recht überführen und das BSI-Gesetz (BSIG) sowie weitere Fachgesetze anpassen. Ziel ist es, den Geltungsbereich der Cybersicherheitsanforderungen deutlich zu erweitern und Aufsicht, Meldewege und Mindeststandards neu zu ordnen.

Mehrere Sachverständige, darunter Vertreter:innen von Bitkom, eco, BDI und der Datenschutzkonferenz (DSK), mahnten jedoch rechtliche und organisatorische Unschärfen an. Insbesondere die Abgrenzung zwischen „wesentlichen" und „wichtigen Einrichtungen", das dreistufige Meldesystem, die Aufsichtskompetenzen des BSI und die Interoperabilität mit bestehenden Regimen (z. B. DSGVO, DORA, KRITIS-DachG) gelten als noch nicht praxistauglich ausgestaltet.

Der Gesetzentwurf befindet sich weiterhin in der Ausschussberatung; eine zweite und dritte Lesung im Bundestag ist frühestens im November oder Dezember 2025 zu erwarten.

Analyse & Bewertung

Management-Perspektive

Der Entwurf weitet den Kreis der Verpflichteten auf schätzungsweise über 29 000 Unternehmen aus, darunter viele Mittelständler ohne bisherige KRITIS-Pflichten.
Geschäftsleitungen tragen künftig persönliche Verantwortung für den Aufbau und die Wirksamkeit des Informationssicherheitsmanagements (ISMS).
Sanktionen: Bußgelder bis 10 Mio. € bzw. 2 % des Jahresumsatzes bei Verstößen gegen Governance- oder Meldepflichten.
Kritisch beurteilt werden Mehrfachmeldungen (z. B. DSGVO Art. 33 + NIS2 Art. 23), uneinheitliche Fristen und fehlende Klarstellungen zur Meldekoordination.
Besonders gefordert sind Sektoren mit hoher Vernetzung (Energie, Gesundheit, Transport, Verwaltung, Cloud, IKT-Dienstleister).

Technische Perspektive

Umsetzung der Mindestmaßnahmen gemäß Art. 21 NIS2: Patch-Management, Angriffserkennung, Netzsegmentierung, Backup-Strategien, Zugriffskontrolle, Verschlüsselung, Protokollierung.
Das dreistufige Meldeverfahren (Frühwarnung innerhalb von 24 h, Zwischenbericht nach 72 h, Abschlussbericht nach 30 Tagen) erfordert 24/7-Erreichbarkeit und klare Rollenverteilung.
Integration in bestehende ISMS nach ISO/IEC 27001 : 2022 oder BSI-IT-Grundschutz dringend empfohlen.
Enge Verzahnung mit KRITIS-Dachgesetz und DORA notwendig, um redundante Audit- und Berichtspflichten zu vermeiden.

Risikoeinschätzung: HOCH
→ Grund: sehr weiter Scope, unklare Aufsichtszuständigkeiten, erheblicher Implementierungsaufwand innerhalb kurzer Fristen.

Empfehlungen

Sofort (0–30 Tage)

Interne NIS2-Readiness-Analyse durchführen: Unternehmensgröße, Tätigkeitsfeld, potenzielle Einstufung („wesentlich"/„wichtig") prüfen.
CISO-Verantwortlichkeiten und Berichtslinien zur Geschäftsleitung formalisieren.
Erste Melde- und Kommunikationsprozesse (inkl. Incident-Triage) testen.

Kurzfristig (1–3 Monate)

Lieferketten- und Dienstleisterbewertung nach Art. 21 Abs. 2 NIS2 aufsetzen.
Verträge mit Outsourcing-, Cloud- und Software-Partnern auf Sicherheits- und Meldepflichten prüfen.
Awareness-Trainings für Management- und IT-Führungskräfte vorbereiten.

Strategisch (3–12 Monate)

ISMS-Reifegrad nach ISO/IEC 27001 ausbauen; interne Audits und Kennzahlen (MTTD/MTTR) etablieren.
Integration von NIS2-Pflichten in Compliance-Management-System (CMS, Governance-Framework).
Frühzeitige Abstimmung mit Landes- oder Branchenaufsichten, um Interpretationsspielräume zu klären.

Zusatzinformationen

Der Gesetzesentwurf ergänzt das geplante KRITIS-Dachgesetz und steht in direktem Bezug zum neuen Cybersicherheitsstärkungsgesetz (CSSG).
Eine Übergangsfrist von 12 Monaten nach Verkündung ist vorgesehen; die Anwendbarkeit wird damit voraussichtlich ab Q4 2026 greifen.
Das BSI soll Aufsicht und Koordination für „wesentliche Einrichtungen" übernehmen; Länderaufsichten sollen „wichtige Einrichtungen" überwachen.
Parallel laufen EU-weite Konsultationen zur NIS2-Implementing Regulation, die technische Mindestanforderungen harmonisieren soll.

Quellen

Deutscher Bundestag, Öffentliche Anhörung im Innenausschuss (13.10.2025):
🔗 https://www.bundestag.de/ausschuesse/inneres/anhörungen/1113440-1113440
Regierungsentwurf NIS2UmsuCG, BT-Drucksache 21/1501 (08.09.2025):
🔗 https://dserver.bundestag.de/btd/21/015/2101501.pdf
Bundesministerium des Innern und für Heimat (BMI), Kabinettsbeschluss & Umsetzungsseite:
🔗 https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/nis2umsucg.html
Bitkom-Stellungnahme zur NIS2-Umsetzung (10/2025):
🔗 https://www.bitkom.org/Bitkom/Publikationen/Umsetzung-NIS-2-Richtlinie
ENISA, Technical Implementation Guidance for NIS2 (Juni 2025):
🔗 https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance

Zurück zur Übersicht

Zusammenfassung

Analyse & Bewertung

Management-Perspektive

Technische Perspektive

Empfehlungen

Sofort (0–30 Tage)

Kurzfristig (1–3 Monate)

Strategisch (3–12 Monate)

Zusatzinformationen

Quellen

Technisch notwendig

Verwendete Cookies (4)

PHP Session Cookie (PHPSESSID)

CSRF-Schutz-Token

SecuraTrust Cookie Consent

Stripe Checkout (Weiterleitung)

Optionale Features

LocalStorage-Features (Browser-lokale Speicherung)

DSGVO-Checklisten Fortschritt (LocalStorage)