Die Umsetzung der NIS-2-Richtlinie wurde im Bundestag beschlossen

Der Bundestag hat am Donnerstag, 13. November 2025, den Gesetzentwurf „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ beschlossen. Damit wird die NIS-2-Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der EU in nationales Recht umgesetzt. Das Gesetz wird voraussichtlich Ende 2025 in Kraft treten.

Kernthemen der NIS-2-Umsetzung

Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ ist ein umfangreiches Mantelgesetz, das zahlreiche bestehende Gesetze ändert. Kernstück ist die weitgehende Neufassung des BSI-Gesetzes (BSIG), das in Artikel 1 integriert ist. In das überarbeitete BSIG sind die wesentlichen Bestimmungen der NIS-2-Richtlinie aufgenommen worden:

• Erweiterter Anwendungsbereich:

Neben Betreibern kritischer Anlagen (KRITIS) werden die durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ eingeführt. Diese Einrichtungen sind in den Sektoren Energie, Transport, Finanzen, Gesundheit, Wasser, IT, Kommunikation, Ernährung, Entsorgung, Forschung und verarbeitendes Gewerbe zu finden (§ 28 BSIG).

• Strengere Anforderungen an das Risikomanagement:

Die Anforderungen an das Risikomanagement sowie an technische und organisatorische Maßnahmen werden deutlich erhöht und müssen entlang der gesamten Lieferkette aktiv berücksichtigt werden (§ 30 BSIG).​ Über diese Lieferkettenpflichten können Anforderungen an Baubetriebe durchgereicht werden, wenn Sie Leistungen für betroffene Einrichtungen erbringen.

• Verschärfte Meldepflichten und Bußgelder:

Die bislang einstufige Meldepflicht bei Sicherheitsvorfällen wird durch ein dreistufiges Melderegime ersetzt (§ 32 BSIG). Verstöße gegen die Vorgaben werden mit Strafen und Bußgeldern geahndet (§ 65 BSIG).

Darüber hinaus werden die Aufsichtsbefugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) erweitert. Im BSI wird ein zentraler Koordinator für Maßnahmen der Informationssicherheit etabliert: der Chief Information Security Officer (CISO Bund) koordiniert künftig die Informationssicherheitsaktivitäten der Bundesverwaltung (§ 48 BSIG).

Die NIS-2-Gesetzgebung hebt damit die deutschen Standards für Cybersicherheit und Informationssicherheitsmanagement entscheidend an.

Betroffenheit des Baugewerbes

Waren bislang rund 4.500 Einrichtungen der kritischen Infrastruktur (KRITIS) vom Gesetz erfasst, werden künftig für etwa 30.000 Einrichtungen aus den Sektoren Energie, Transport, Finanzen, Gesundheit, Wasser, IT, Kommunikation, Ernährung, Entsorgung, Forschung und verarbeitendes Gewerbe neue Pflichten in der IT-Sicherheit gelten. Die betroffenen Einrichtungen müssen dabei die Sicherheit ihrer gesamten Lieferkette gewährleisten.

Dienstleister wie Bauunternehmen, die kritische Infrastrukturen errichten oder für wichtige bzw. besonders wichtige Einrichtungen tätig werden, gehören zwar nicht zu den primären Adressaten der NIS-2-Gesetzgebung. Als Teil der Lieferkette können sie jedoch dazu verpflichtet werden, ihre eigene IT-Sicherheit zu stärken und NIS-2-relevante Maßnahmen zu ergreifen. Das heißt, sie müssen dann erhöhte Cybersicherheitsmaßnahmen umsetzen, ein Risiko- und Vorfallmanagement einführen und Audits zur Einhaltung von Sicherheitsstandards durchführen.

NIS-2-Betroffenheitsprüfung

Für eine erste Orientierung können Baubetriebe die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) angebotene niedrigschwellige NIS-2-Betroffenheitsprüfung nutzen. In wenigen Schritten können Unternehmen prüfen, ob sie voraussichtlich unter den Anwendungsbereich der neuen Regelungen fallen.

Die Nutzung der NIS-2-Betroffenheitsprüfung erfolgt anonym. Sie dient lediglich als Orientierungshilfe und ist rechtlich nicht bindend.

Die BSI-Betroffenheitsprüfung finden Sie unter dem nachstehenden Link:

https://betroffenheitspruefung-nis-2.bsi.de/index.php?i=ODFGD3QHPMHI&rnd=JDFY