Sicherheit: NIS-2-Umsetzung einen Schritt weiter
Bis zum 17. Oktober 2024 hätte sie in allen EU-Mitgliedstaaten nationales Recht werden müssen: die EU-Sicherheitsrichtlinie NIS 2 (Network and Information Security 2). Das gelang allerdings nur in vier EU-Ländern . Auch Deutschland gehört zu den Nachzüglern. Ein Regierungsentwurf der Ampelkoalition für ein NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz ( NIS2UmsuCG ) wurde zwar noch verabschiedet, die Umsetzung scheiterte jedoch am Bruch der Koalition.
Die neue Bundesregierung führt das Vorhaben unter dem noch sperrigeren Titel "Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" fort. Ein Regierungsentwurf wurde am 30. Juli 2025 verabschiedet und muss nun Bundestag und Bundesrat durchlaufen.
Die wichtigsten Änderungen
Der aktuelle Regierungsentwurf(öffnet im neuen Fenster) (PDF) übernimmt im Wesentlichen die Regelungen aus dem NIS2UmsuCG, das wir bereits ausführlich erläuterten .
Zu den wichtigsten Neuerungen gehört die Stärkung des BSI (Bundesamt für Sicherheit in der Informationstechnik) als zentrale Anlaufstelle für alle Fragen der Cybersicherheit in Deutschland. So soll sich die Bundesnetzagentur (BNetzA) bei der Definition von IT-Sicherheitsanforderungen für die Energiewirtschaft zukünftig "im Einvernehmen" mit dem BSI abstimmen. Bislang galt für die meisten Bereiche des Energiesektors nur eine relativ unverbindliche Informationspflicht.
Bei der Einordnung eines Unternehmens als "wichtige" Einrichtung können nach dem neuen Entwurf Geschäftsbereiche unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit vernachlässigbar sind. Dieser unbestimmte Rechtsbegriff findet sich weder in der NIS-2-Richtlinie selbst noch im Entwurf der Vorgängerregierung.
Bundesregierung rechnet mit höheren Kosten
Die neue Regierung ist außerdem weniger optimistisch, was die Kosten der Umsetzung für den Bundeshaushalt (ohne Erfüllungsaufwand) angeht. Das NIS2UmsuCG ging noch von einmalig 38,2 Millionen Euro und jährlichen Ausgaben aus, die sich bis 2029 auf rund 772 Millionen Euro summieren sollten. Laut dem aktuellen Regierungsentwurf sollen sich die Ausgaben für den Bundeshaushalt dagegen einmalig auf 59 Millionen Euro und von 2026 bis 2029 auf insgesamt 906 Millionen Euro belaufen. Das ist im Übrigen deutlich weniger als im letzten Referentenentwurf, in dem noch von 112 Millionen Euro beziehungsweise 1,38 Milliarden Euro die Rede war.
Erleichterung gibt es für Betreiber kritischer Anlagen, wenn es um den Einsatz von Systemen zur Angriffserkennung geht (Paragraf 31 Absatz 2). Diese sind nur noch für Systeme, Komponenten und Prozesse verpflichtend, die für die Funktionsfähigkeit der kritischen Anlagen maßgeblich sind.
Mindestanforderungen für die Bundesverwaltung gesenkt
Gegenüber dem Referentenentwurf vom 23. Juni 2025 gab es im Regierungsentwurf noch einige kleinere Änderungen. So wurde das Verbot der Schlechterstellung (Paragraf 30 Absatz 7) wieder aufgenommen. Es war im Regierungsentwurf der Vorgängerregierung, nicht aber im letzten Referentenentwurf enthalten. Einrichtungen, die nach Paragraf 6 Informationen liefern oder nach Paragraf 5 eine freiwillige Meldung abgeben, dürfen dadurch nicht mit zusätzlichen Verpflichtungen belastet werden.
Darüber hinaus wurden die Nachweispflichten für Betreiber kritischer Anlagen, die bisher bereits als kritische Infrastruktur galten, gelockert (Paragraf 39 Absatz 3). Sie können Nachweise innerhalb von zwölf Monaten nach Inkrafttreten des Gesetzes noch nach den bisher geltenden Vorgaben erbringen.
Die gravierendste Änderung betrifft die Mindestanforderungen an die Einrichtungen der Bundesverwaltung (Paragraf 44 Absatz 1). Anders als im letzten Referentenentwurf werden die BSI-Standards und das IT-Grundschutzkompendium darin nicht mehr als verpflichtend genannt.
Weiter Kritik aus den Verbänden
Zum Referentenentwurf des BMI gingen mehr als 60 Stellungnahmen von Verbänden, Gewerkschaften und anderen Institutionen ein. Am häufigsten genannt wurde die fehlende Harmonisierung verschiedener Gesetzesvorlagen, da sie zu widersprüchlichen Vorgaben und Doppelregulierung führe. Die Kritiker fordern vor allem eine engere Abstimmung mit dem Kritis-Dachgesetz, das die EU-CER-Richtlinie umsetzt und die physische Sicherheit kritischer Infrastrukturen regelt.
Viele Stellungnahmen bemängeln zudem, dass zentrale Begriffe zu vage oder widersprüchlich definiert seien und der Anwendungsbereich des Gesetzes unnötig über die Vorgaben der NIS-2-Richtlinie hinausgehe (sogenanntes Gold-Plating).
Auch das Verfahren zum Verbot kritischer Komponenten (Paragraf 41) stößt auf Missbilligung. Betroffene Unternehmen müssen den Einsatz neuer kritischer Komponenten beim BMI anzeigen, das die Nutzung innerhalb einer Zweimonatsfrist untersagen kann. Das führt nach Ansicht von Verbänden wie dem Bundesverband der Energie- und Wasserwirtschaft (BDEW) oder dem Bundesverband Breitbandkommunikation Breko zu erheblichen rechtlichen und wirtschaftlichen Risiken. Der BDEW fordert deshalb eine Ausschlussliste mit prinzipiell nicht vertrauenswürdigen Herstellern, an der sich Betreiber kritischer Anlagen orientieren können.
Auch die Ausnahme der Bundesverwaltung von den Regelungen des Paragraf 30 (Risikomanagementmaßnahmen) stößt weiter auf Kritik. "Gerade der Bund und die öffentliche Verwaltung sollten und müssen Vorreiter bei der Cybersicherheit sein, wir können uns angesichts der Bedrohungslage keine Sicherheitslücken leisten" , erklärt Ralf Wintergerst, Präsident des Branchenverbands Bitkom.
"Europarechtlich heikel"
Uneinigkeit herrscht in der Bewertung des neu eingefügten Kriteriums der " vernachlässigbaren Geschäftstätigkeiten " (Paragraf 28 Abs. 3). Verbände wie die AG Kritis oder Eco sehen darin eine problematische Abweichung von der NIS-2-Richtlinie, die zu rechtlichen Risiken und Wettbewerbsverzerrungen führen könnte.
"Was politisch pragmatisch klingt, ist europarechtlich heikel" , sagt Ulrich Plate, Leiter der Kompetenzgruppe Kritis bei Eco, "sollte diese Regelung vor dem EuGH scheitern, drohen Vertragsverletzungsverfahren und ein Rückfall in die Unsicherheit, die NIS2 eigentlich beenden sollte" . Andere wie der Handelsverband Deutschland HDE begrüßen die Einschränkungen dagegen grundsätzlich, fordern aber eine klare Definition dafür, was unter vernachlässigbaren Tätigkeiten zu verstehen sei.
Der Autor meint dazu: Hauptsache, die Umsetzung läuft
Deutschland ist wie viele andere EU-Länder bei der Umsetzung der NIS-2-Richtlinie massiv im Verzug. Es ist deshalb auf jeden Fall zu begrüßen, dass das Gesetzgebungsverfahren mit dem nun verabschiedeten Regierungsentwurf einen Schritt weitergekommen ist - auch wenn einige der berechtigten Kritikpunkte nicht ausgeräumt wurden.
Unternehmen, deren Betroffenheit unzweifelhaft ist, haben hoffentlich schon im vergangenen Jahr Maßnahmen getroffen, um NIS-2-konform zu werden. Sie müssen höchstens in Detailfragen nachjustieren. Bei Zweifeln an der eigenen Betroffenheit sollte noch einmal geprüft werden, ob das Unternehmen die Kriterien für besonders wichtige, beziehungsweise wichtige Einrichtungen erfüllt.
Vor allem der neu eingeführte Begriff der " vernachlässigbaren Geschäftstätigkeiten " eröffnet Interpretationsspielraum. Ob diese Abweichung von der NIS-2-Richtlinie europarechtskonform ist, ist fraglich. Klar ist aber auch: IT-Sicherheit muss in jedem Unternehmen höchste Priorität genießen, unabhängig davon, ob es unter die NIS-2-Regelungen fällt oder nicht. Cyberkriminelle führen schließlich keine Betroffenheitsprüfung durch, bevor sie ein Unternehmen angreifen.
Dr. Thomas Hafen ist freier IT-Journalist.