NIS-2-Umsetzung: Bundestag beschließt umstrittenes Cybersicherheitsgesetz
Der Bundestag hat den Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie der EU am 13. November 2025 verabschiedet. Kritisiert wird von Netzbetreibern, dass bei Mobilfunk und Festnetz selbst für bereits eingesetzte Komponenten damit Eingriffe möglich sind.
"Das Gesetz ist grundsätzlich ein wichtiger und notwendiger Schritt für mehr Sicherheit. Allerdings bewerten wir den Umgang mit sogenannten kritischen Komponenten kritisch" , sagte(öffnet im neuen Fenster) Sven Knapp, Hauptstadtbüro-Leiter des Bundesverbands Breitbandkommunikation (Breko).
"Der Gesetzentwurf erlaubt Eingriffe nicht nur bei Mobilfunkkomponenten, sondern pauschal auch bei Glasfasernetzen – selbst für bereits eingesetzte Komponenten." Das sorge für Unsicherheit, bremse Investitionen und belaste vor allem kleine und mittlere Unternehmen. Die Pflicht zur Umsetzung bestimmter Sicherheitsmaßnahmen zur Abwehr und Bewältigung von Cyberangriffen soll künftig schätzungsweise rund 29.000 Unternehmen betreffen und damit deutlich mehr als bisher.
Die Richtlinie soll das Cybersicherheitsniveau kritischer Infrastrukturen in der EU vereinheitlichen, für eine bessere Zusammenarbeit der Mitgliedsstaaten bei der IT-Sicherheit sorgen und wichtige Infrastrukturen und Lieferketten gegen Cyberangriffe resilienter machen.
Der Breko appelliert an den Bundesrat, sich für eine "präzisere und praxistaugliche Regelung stark zu machen, die Rechtssicherheit für Telekommunikationsunternehmen schafft, wirtschaftliche Risiken reduziert und unnötige Bürokratie vermeidet" .
Betroffene unbedingt vorab konsultieren
Auch der Bitkom bewertete zuletzt in das Gesetzgebungsverfahren eingebrachten Neuregelungen zu kritischen Komponenten als eher schädlich(öffnet im neuen Fenster) . Vorgesehen ist nun, dass das Bundesinnenministerium in Abstimmung mit anderen Ressorts kritische Komponenten definiert und künftig auch eigenständig deren Einsatz untersagen kann. "Unternehmen brauchen verlässliche Rahmenbedingungen, Verbote können erhebliche Auswirkungen auf die Geschäftstätigkeit haben. Vor solch wichtigen Entscheidungen müssen die Betroffenen unbedingt vorab konsultiert werden" , sagte Bitkom-Präsident Ralf Wintergerst.
Die Definition von kritischen Komponenten sollte nach Ansicht des Bitkom auch künftig auf Grundlage technischer Kriterien durch die Bundesnetzagentur und das BSI erfolgen.
Der Verband kommunaler Unternehmen (VKU) lobte(öffnet im neuen Fenster) dagegen die Änderungen des Gesetzes durch den Bundestag. VKU-Chef Ingbert Liebing sagte: " Auf den letzten Metern des Gesetzgebungsverfahrens haben die Abgeordneten zu viel Bürokratie und Überregulierungen gekonnt den Riegel vorgeschoben. Insbesondere mit der klugen Regel zu kritischen Komponenten haben die Abgeordneten ein Bürokratie-Monster verhindert."
Im Regierungsentwurf waren auch all jene Unternehmen von strengen Sicherheitsstandards betroffen, die Energie mit thermischen Abfallbehandlungsanlagen erzeugen, Biovergärungsanlagen, aber auch Klärwerke mit kleinen PV-Anlagen. Unternehmen, die nur im Nebenzweck Energie produzieren, werden künftig nur nach dem BSI-Gesetz und nicht zusätzlich nach dem EnWG reguliert. Sie brauchen damit auch weiterhin nur an das Bundesamt für Sicherheit in der Informationstechnik (BSI), aber nicht noch zusätzlich an die Bundesnetzagentur zu berichten.
Statt wie bisher jeden Einsatz einzeln anzuzeigen und auf eine Freigabe des Innenministeriums zu warten, dürften Stadtwerke kritische Komponenten zukünftig auch ohne vorherige Freigabe verwenden. Das Innenministerium kann im Nachhinein den Einsatz noch untersagen. Dieses Verfahren verhindere Verzögerungen beim Ausbau insbesondere von Energie- und Telekommunikationsinfrastrukturen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.