Bundestag beschließt NIS-2-Umsetzungsgesetz:: BSI beaufsichtigt künftig 29.500 Einrichtungen
Der Deutsche Bundestag hat das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie verabschiedet. Die Zahl der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) beaufsichtigten Einrichtungen steigt von 4.500 auf 29.500, das Amt wird zudem zentraler Cybersicherheitsverantwortlicher der Bundesverwaltung.
Das am 13. November 2025 verabschiedete Gesetz modernisiert das nationale IT-Sicherheitsrecht umfassend. Hintergrund ist die angespannte Cybersicherheitslage in Deutschland, die laut dem Bundesamt insbesondere durch schlecht geschützte Angriffsflächen gekennzeichnet ist. Das BSI erhält durch die Neuregelung erheblich erweiterte Befugnisse und Zuständigkeiten.
Sechsfache Ausweitung des Aufsichtsbereichs
Die Novellierung des BSI-Gesetzes führt zu einer drastischen Erweiterung des Geltungsbereichs. Bisher waren circa 4.500 Einrichtungen des Wirtschaftsraums erfasst – darunter Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Mit Inkrafttreten des NIS-2-Gesetzes kommen die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ hinzu, wodurch sich die Zahl der beaufsichtigten Einrichtungen auf rund 29.500 erhöht.
Für die betroffenen Unternehmen ergeben sich neue gesetzliche Pflichten: Sie müssen sich beim Bundesamt registrieren, erhebliche Sicherheitsvorfälle melden und technische sowie organisatorische Risikomanagement-Maßnahmen implementieren. Das BSI will betroffenen Unternehmen ein Starterpaket mit klaren Informationen zur Verfügung stellen. Nach Inkrafttreten des Gesetzes sollen virtuelle Kick-off-Seminare angeboten werden, in denen Unternehmen Schritt-für-Schritt-Anleitungen für die Betroffenheitsprüfung sowie Registrierungs- und Meldeprozesse erhalten.
BSI wird CISO der Bundesverwaltung
Neben der Aufsicht über Unternehmen übernimmt das Amt eine neue zentrale Funktion innerhalb der Bundesverwaltung. Als Chief Information Security Officer (CISO Bund) wird es künftig die Cybersicherheit über alle Ressorts, Behörden und Institutionen hinweg koordinieren. Diese Rolle soll laut Gesetz dazu dienen, IT-Sicherheit gemeinsam zu organisieren und kontinuierlich zu verbessern.
Die Einrichtungen der Bundesverwaltung müssen Mindestanforderungen der Informationssicherheit erfüllen, die sich unter anderem aus dem IT-Grundschutz-Kompendium des BSI und Mindeststandards für die Sicherheit in der Informationstechnik des Bundes ergeben. Das Gesetz zielt darauf ab, der angespannten Lage im Cyberraum eine robuste IT-Governance-Struktur entgegenzusetzen.
BSI-Präsidentin Claudia Plattner bezeichnete das Gesetz als „wichtigen Meilenstein auf dem Weg zu einer resilienten Cybernation“. Sie betonte, dass Mandat, Expertise und Ressourcen für die operative Umsetzung von Cybersicherheit innerhalb der Bundesverwaltung nun an einer Stelle gebündelt würden. Plattner kündigte an, in kollegialer Zusammenarbeit mit den Regierungsressorts die Resilienz der Bundesverwaltung zu stärken und Digitalisierungsprojekte des Bundes zu begleiten. Für die von der NIS-2-Regulierung erfassten Unternehmen wolle das BSI seine Beratungs- und Unterstützungsangebote mit Inkrafttreten des Gesetzes ausweiten. (sf)
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
