Bundestag beschließt nationales IT-Sicherheitsrecht

14.11.2025

Quelle: E & M powernews

Mit dem neuen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wird die Zahl der Kritis-Unternehmen mit Registrierungs- und Meldepflichten deutlich ausgeweitet.
 
Die Cybersicherheitslage in Deutschland ist weiterhin angespannt. Dies geht nicht zuletzt aus dem Lagebericht zur IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) jährlich im November veröffentlicht. Mit dem im Bundestag beschlossenen Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie werde das IT-Sicherheitsrecht nun umfassend modernisiert, heißt es in einer Mitteilung der Behörde.

Mit der Novellierung des BSI-Gesetzes, die mit der NIS-2-Umsetzung einhergeht, erweitere sich der Kreis der regulierten Einrichtungen erheblich: Statt bisher rund 4.500 sollen künftig etwa 29.500 Einrichtungen unter die Regeln fallen. Diese müssen sich beim BSI registrieren und erhebliche Sicherheitsvorfälle melden. Zudem seien technische und organisatorische Risikomanagementmaßnahmen verpflichtend umzusetzen.

Für die Behörden des Bundes werden gleichzeitig erstmals Mindestanforderungen der Informationssicherheit verbindlich. In der Rolle des Chief Information Security Officer (CISO Bund) werde das BSI künftig die ressortübergreifende IT-Governance der Bundesbehörden und Institutionen übernehmen.

BSI-Präsidentin Claudia Plattner bezeichnete den Bundestagsbeschluss nachdrücklich als Meilenstein für eine resilientere Cyberabwehr. Die Zusammenführung von Mandat, Expertise und Ressourcen ermögliche eine wirksamere Organisation der IT-Sicherheit innerhalb der Bundesverwaltung. Unternehmen wolle man mit Starterpaketen und Kick-off-Seminaren beim Einstieg in die neuen Pflichten unterstützen.

Vorabfreigabe kritischer Komponenten entfällt

Auch der Verband kommunaler Unternehmen (VKU) bewertete die Änderungen grundsätzlich positiv. Die Abgeordneten haben sich aus Sicht des Verbandes auf die sicherheitsrelevanten Kernbereiche konzentriert und übermäßige Bürokratie verhindert. Besonders die Regel zu kritischen Komponenten sei aus VKU-Sicht entscheidend, da sie eine Überregulierung und zusätzliche Meldepflichten für Einrichtungen verhindere, die nur im Nebenzweck Energie produzieren, wie thermische Abfallbehandlungsanlagen oder Klärwerke. Diese Unternehmen würden weiterhin ausschließlich nach dem BSI-Gesetz reguliert und müssten nicht zusätzlich an die Bundesnetzagentur berichten. Zudem entfalle für Stadtwerke die bislang notwendige Einzelfall-Vorabfreigabe kritischer Komponenten. Damit sollen Ausbauprojekte im Bereich Energie- und Telekommunikationsinfrastrukturen beschleunigt werden.

Im Gesetzgebungsverfahren wurde intensiv über die Untersagung kritischer Komponenten diskutiert, vor allem mit Blick auf mögliche Spionage- oder Sabotagerisiken aus dem Ausland. Am Ende einigte man sich darauf, dass das Innenministerium ein solches Verbot nachträglich aussprechen kann, wenn die öffentliche Ordnung oder Sicherheit voraussichtlich beeinträchtigt wird.

Weitergehende Aufsichtsbefugnisse

Dennis Rendschmidt, Geschäftsführer von VDMA Power Systems, sprach von einem wichtigen Schritt für ein höheres Schutzniveau der kritischen Infrastruktur. Angriffe könnten aufgrund der starken Vernetzung des Energiesystems ganze Netzbereiche destabilisieren. Cybersicherheit sei daher nicht allein eine technische Notwendigkeit, sondern ein zentrales Element der Versorgungssicherheit und der nationalen Sicherheit. Die Möglichkeit des Innenministeriums, kritische Komponenten nachträglich zu untersagen, erhöhe die staatliche Handlungsfähigkeit. Allerdings reiche eine reine Betrachtung einzelner Komponenten aus Sicht des Verbands nicht aus. Ebenso notwendig sei eine konsequente Überprüfung aller digitalen Zugriffe etwa durch Hersteller oder Dienstleister mit Fernzugriffen auf systemnahe Funktionen.

Der Bundestag setzt mit der Umsetzung der NIS-2-Richtlinie der EU, welche den Schutz kritischer Infrastruktur europaweit vereinheitlichen soll, strengere und verbindlichere Maßstäbe für die Cybersicherheit im Bereich der kritischen Infrastruktur. Betroffen sind rund 29.500 Unternehmen sowie alle Behörden der Bundesverwaltung. Sie müssen künftig umfassende Schutzmaßnahmen etablieren, darunter Risikoanalysen, Notfallpläne, Backup-Konzepte und Verschlüsselungslösungen.

Das Ausmaß der Vorgaben richtet sich nach der Bedeutung der jeweiligen Einrichtung. Cyberangriffe sind verpflichtend binnen 24 Stunden zu melden, ein Zwischenstand muss nach 72 Stunden, ein Abschlussbericht nach einem Monat vorliegen. Das BSI erhält weitergehende Aufsichtsbefugnisse, einschließlich der Möglichkeit, Bußgelder zu verhängen.
 
Autor: Fritz Wilhelm