News

Cybersecurity Briefing Q4 2025 – NIS2-Umsetzung in Deutschland tritt in Kraft

05.12.2025

Die Bedrohungslage im Cyberraum bleibt angespannt, wie das BSI in seinem jüngsten Lagebericht einmal mehr bestätigt. Ransomware, KI-gestützte Angriffe und Lieferkettenvorfälle dominieren die Sicherheitslandschaft. Parallel verdichten sich die regulatorischen Vorgaben, die Unternehmen in den kommenden Monaten umsetzen müssen. Unser Briefing fasst das Wichtigste zusammen:

Regulatorische Entwicklungen: NIS2, KRITIS-DachG, CER-RL und CRA

NIS2-Umsetzung

Am 05.12.2025 wurde in Deutschland das Gesetz zur Umsetzung der NIS-2-Richtlinie im Bundesgesetzblatt verkündet. Es tritt damit am 06.12.2025 in Kraft. Der langwierige Gesetzgebungsprozess hat damit ein Ende. Unternehmen sollten sich allerspätestens jetzt mit der Frage beschäftigen, ob sie künftig nach dem BSI-Gesetz reguliert sind und entsprechende Maßnahmen ergreifen. Zu den Maßnahmen zählen unter anderem eine Risikoanalyse, Risikomanagementmaßnahmen einschließlich Supply Chain Security und Schulung der Geschäftsleitung. Übergangsfristen gibt es keine.

Die Registrierung für betroffene Unternehmen ermöglicht das BSI unter Mein Unternehmenskonto (MUK).

KRITIS-Dachgesetz / CER-Richtlinie

Die CER-Richtlinie soll die physische Resilienz kritischer Einrichtungen sichern. Deutschland setzt sie mit dem KRITIS-DachG um (Regierungsentwurf vom 3. November 2025). Erfasst werden nur Betreiber „kritischer Anlagen“. Gefordert sind eine Risikobewertung, physische Schutzmaßnahmen und ein Nachweismanagement gegenüber dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Cyber Resilience Act (CRA)

Der CRA gilt seit dem 11.12.2024 und legt erstmals Cybersicherheits-Mindestanforderungen für vernetzte Produkte („Produkte mit digitalen Elementen“) fest. Nunmehr steht fest, dass das BSI in Deutschland als Marktaufsicht fungieren wird und bei Verstößen Bußgelder von bis zu EUR 15 Mio. oder 2,5 % des weltweiten Umsatzes verhängen kann.

Die Europäische Kommission hat am 03.12.2025 eine Webseite zum CRA einschließlich umfassender FAQ veröffentlicht.

Lagebild: Zunehmende Komplexität der Bedrohungen

Laut ENISA Threat Landscape 2025 bleibt Ransomware die größte Gefahr im Cyberraum – mit milliardenschweren Schäden und aktiven Gruppen wie Akira und Safepay. Rund 60 % aller Angriffe erfolgen über Phishing, zunehmend automatisiert durch KI-Tools. Besonders betroffen sind öffentliche Verwaltung, Verkehr, Digitale Infrastruktur, Finanzwesen und Industrie. Vielfach sind nicht nur Großkonzerne, sondern auch und besonders kleine und mittlere Unternehmen (KMU) Ziel der Angreifer.

Der BSI-Lagebericht 2025 verzeichnet zwar Fortschritte durch internationale Strafverfolgung, meldet gleichzeitig aber weiterhin über 100 Schwachstellen-Exploits täglich. Große Unterschiede bzgl. der Cybersicherheit bestehen zwischen KRITIS-Sektoren, wobei Systeme zur Angriffserkennung häufig unzureichend bleiben. Für KMU bleibt Cyberresilienz eine der zentralen Schwachstellen in Deutschland.

Governance & Praxis: Verantwortung der Geschäftsleitung, Lieferketten, Risikoanalyse

Pflichtschulungen für Geschäftsleitungen

Nach § 38 Abs. 3 BSIG n.F. müssen Geschäftsleitungen künftig regelmäßig geschult werden. Die Pflicht gilt alle drei Jahre und umfasst vier Kernfelder:

  • Risikoerkennung und -bewertung
  • Risikomanagement-Methoden
  • Bewertung der Auswirkungen von Risiken
  • Überwachung der Umsetzung

Schulungen sollen immer auch auf das eigene Unternehmen angepasst sein. Noerr bietet in Kooperation mit einem (technischen) Beratungsunternehmen Schulungen zu NIS2 an.

Sichere Lieferketten

Nach NIS2 ist die Cyber-Supply-Chain-Sicherheit (C-SCRM) integraler Bestandteil des Risikomanagements. Das BSI empfiehlt, Dienstleister vertraglich zur Einhaltung seiner Standards zu verpflichten und Lieferanten-Audits systematisch zu verankern.

Risikoanalyse als Kerninstrument

Die Risikoanalyse bildet das „Backbone“ des Sicherheitsmanagements: Identifikation relevanter Assets, Bewertung, Behandlung und Dokumentation von Risiken im Sinne des PDCA-Zyklus. Eine Orientierung an ISO 27001 oder den BSI-Standards gilt als Best Practice.

Meldepflichten bei IT-Sicherheitsvorfällen

NIS2-betroffene Unternehmen sollten ihre Meldeprozesse frühzeitig prüfen. Das BSI weist auf folgende Fristen hin und erwartet „Schnelligkeit vor Vollständigkeit“:

– Erstmeldung innerhalb von 24 Stunden,

– Folgemeldung innerhalb von 72 Stunden,

– Abschlussmeldung binnen eines Monats.

Rechtsprechung und Aufsichtspraxis

Die Bußgeldpraxis des BSI ist bislang noch sehr zurückhaltend. Doch die DSGVO-Praxis zeigt die Richtung: Über 200 Entscheidungen zu Art. 32 DSGVO mit Bußgeldern bis EUR 22 Mio (mehr dazu in unserem Case Law Tracker). Fälle wie British Airways oder Capita verdeutlichen, dass unzureichende technische und organisatorische Maßnahmen (TOMs) unmittelbar sanktioniert werden können – ein Warnsignal für alle NIS2-Pflichtigen.

Good Practice: Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat mit der Cyberfestung Bayern ein praxisnahes Framework vorgestellt. Zehn Checkpoints, u. a. MFA für administrative Konten, Netzwerksegmentierung und Ransomware-sichere Backups, dienen als Blaupause für organisationsweite „Defense-in-Depth“-Konzepte.

Fazit

Wir beobachten einerseits, dass viele Unternehmen jetzt prüfen, ob sie künftig nach der Reform durch das NIS2-Umsetzungsgesetz unter das BSIG fallen werden. Andere Unternehmen sind bereits weiter und nehmen nun die Schulung der Geschäftsleitung sowie das Supply-Chain-Risiko auf. Das sollten Unternehmen nicht als lästige Pflicht sehen, sondern sich auch im eigenen Interesse mit der Stärkung ihrer Cybersecurity beschäftigen; und zwar unabhängig davon, ob sie NIS2-relevant sind oder nicht. Wie die Berichte der Behörden zeigen, sind in einer Vielzahl von „erfolgreichen“ Cyberangriffen Zulieferer und/oder Dienstleister involviert – ein Tor, das man schließen kann.

Kontakt

Julian Monschke
Julian Monschke+49 69 971477179
Paul Vogel
Paul Vogel+49 89 28628542
Luise Lautenbach
Luise Lautenbach+49 30 20942250

Automotive & New Mobility
Cybersecurity
Data Economy & Daten­schutz
Digital Content
E-Commerce
Kapitalmarktrecht
Finanzdienstleistungsaufsicht
Regulierung & Governmental Affairs
Telekommunikation
Vertrieb und Lieferketten

Share

Bestens
informiert

Jetzt unseren Newsletter abonnieren, um zu aktuellen Entwicklungen auf dem Laufenden zu bleiben.

Jetzt anmelden
Alle anzeigen

Insights

lights tunnel
News

Cybersecurity Briefing Q4 2025 – NIS2-Umsetzung in Deutschland tritt in Kraft

05.12.2025
Light in motion
News

Batteriespeicher, Energy Sharing, Kunden­anlage und Netz­betreiber – Welche Neuerungen die Änderung des Energie­wirtschaftsrechts vorsieht

04.12.2025
people in a pedestrian zone
News

E pluribus unum - Einheitlicher Tarifvertrag für Leiharbeitnehmer

04.12.2025
forest autumnal mist
News

Ratsmandat zur Änderung der EUDR – Setzt sich eine generelle Verschiebung durch?

03.12.2025
Abstract water bubbles pulsed
News

Neue Leitlinien der Kommission zur GPSR – Präzisierungen und Handlungsspielräume für Unternehmen

03.12.2025
Armed unmanned aerial vehicle on runway pulsed
News

Loitering-Munition und Drohnen als Kriegswaffen: BMWE veröffentlicht Merkblatt

02.12.2025
mountain panorama with pulse
News

CSRD – Aktuelle Entwicklungen auf europäischer und nationaler Ebene

02.12.2025
Group of umbrellas pulsed
News

BGH zum D&O-Versicherungs­schutz: Verletzung der Insolvenz­antrags­pflicht durch Geschäfts­leiter indiziert keine wissentliche Verletzung der Masse­erhaltungs­pflicht

03.12.2025
winter landscape with sunrise pulsed
News

BGH zum Ausschluss des AGB-Rechts in Schiedsklauseln

28.11.2025