| Der Bundestag hat die EU-Cybersicherheitsrichtlinie NIS2 verabschiedet. Unternehmen stehen nun unter Zeitdruck, aber viele Mittelständler wissen nicht, wo sie beginnen sollen. | The German Bundestag has passed the EU Cybersecurity Directive NIS2. Companies are now under time pressure, but many SMEs do not know where to start. |
| Der Bundestag hat am 13. November 2025 das Gesetz zur Umsetzung der NIS2-Richtlinie beschlossen und damit eine über einjährige Verzögerung beendet. Die europäische Cybersicherheitsrichtlinie hätte bereits bis Oktober 2024 in nationales Recht umgesetzt werden müssen. Gegen Deutschland läuft wie gegen 23 weitere EU-Mitgliedstaaten ein Vertragsverletzungsverfahren.
Etwa 30.000 Unternehmen in Deutschland fallen künftig unter die verschärften Anforderungen. Betroffen sind Firmen aus den Sektoren Energie, Gesundheitswesen, Verkehr und digitale Infrastruktur sowie zahlreiche Zulieferer und mittelständische Produktionsbetriebe. Sie müssen Risikoanalysen durchführen, Notfallpläne erstellen, Verschlüsselungstechnologien einsetzen und Backup-Strategien implementieren. Bußgelder bis zu 10 Millionen Euro Bei Verstößen drohen empfindliche Sanktionen: Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes können verhängt werden. Sobald Bundesrat, Verkündung und Inkrafttreten abgeschlossen sind, beginnt die Uhr zu ticken. David Brown, Senior Vice President, International Business bei FireMon, sieht betroffene Unternehmen vor grundlegenden Herausforderungen: „Viele mittelständische Unternehmen wissen schlicht nicht, wo sie anfangen sollen.“ Die Richtlinie verlange nicht nur technische Lösungen und Prozesse, sondern fundamentale Transparenz über Netzwerke, Zugriffsrechte, Datenflüsse und Schwachstellen. Strukturelle Defizite bei Firewall-Governance Eine Untersuchung zeigt das Ausmaß der Probleme: 60 Prozent der Firewalls fallen durch Compliance-Prüfungen mit hoher Risikoeinstufung. Brown bezeichnet dies als strukturelle Governance-Defizite. Unternehmen fehlten oft klare Einblicke in Firewall-Regeln, Policy-Kontrollen und Netzwerksegmentierungen über IT-, OT-, Cloud- und On-Premises-Umgebungen hinweg. Der Experte rät betroffenen Unternehmen, nicht auf das Inkrafttreten zu warten: „Es gilt bereits jetzt mit einer ehrlichen Bestandsaufnahme anzufangen.“ Empfohlen werden eine Übersicht über die Netzwerkarchitektur, Compliance-Checks sowie ein kontinuierliches Monitoring. NIS2 sei kein einmaliges Projekt, sondern ein dauerhafter Prozess. Bis die gesetzlichen Anforderungen vollständig in Kraft treten, vergeht zwar noch Zeit durch die ausstehenden Schritte im Gesetzgebungsverfahren. Für die betroffenen Unternehmen bedeutet dies jedoch keine Entwarnung, sondern lediglich eine kurze Galgenfrist zur Vorbereitung. |
On November 13, 2025, the German Bundestag passed the law implementing the NIS2 Directive, ending a delay of more than a year. The European Cybersecurity Directive should have been transposed into national law by October 2024. Germany, along with 23 other EU member states, is facing infringement proceedings.
Around 30,000 companies in Germany will be subject to the stricter requirements in the future. This affects companies in the energy, healthcare, transport, and digital infrastructure sectors, as well as numerous suppliers and medium-sized manufacturing companies. They must carry out risk analyses, draw up emergency plans, use encryption technologies, and implement backup strategies. Fines of up to €10 million Violations are subject to severe penalties: fines of up to €10 million or two percent of global annual turnover can be imposed. As soon as the Federal Council, promulgation, and entry into force are complete, the clock starts ticking. David Brown, Senior Vice President, International Business at FireMon, sees affected companies facing fundamental challenges: “Many medium-sized companies simply don’t know where to start.” The directive requires not only technical solutions and processes, but also fundamental transparency about networks, access rights, data flows, and vulnerabilities. Structural deficits in firewall governance A study shows the extent of the problems: 60 percent of firewalls fail compliance checks with a high risk rating. Brown describes this as structural governance deficits. Companies often lack clear insights into firewall rules, policy controls, and network segmentation across IT, OT, cloud, and on-premises environments. The expert advises affected companies not to wait for the legislation to come into force: “It is important to start with an honest assessment of the current situation now.” He recommends an overview of the network architecture, compliance checks, and continuous monitoring. NIS2 is not a one-off project, but an ongoing process. It will still be some time before the legal requirements come into full effect due to the outstanding steps in the legislative process. For the companies affected, however, this does not mean the all-clear, but merely a short reprieve to prepare. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de