Das Bundeskabinett hat das Gesetz zur Umsetzung der EU-Richtlinie NIS2 beschlossen. Telekommunikationsverbände sehen darin einen wichtigen Schritt für mehr Netzsicherheit, verweisen aber auf offene Punkte.
Mit der Umsetzung der NIS2-Richtlinie will die Bundesregierung die Abwehr von Cyberangriffen stärken
(Quelle: shutterstock / AntonKhrupinArt)
Mit dem am 30. Juli 2025 beschlossenen NIS2-Umsetzungsgesetz will die Bundesregierung die Cybersicherheit in Deutschland auf ein neues Niveau heben. Die EU-Richtlinie verpflichtet künftig rund 30.000 Unternehmen, darunter viele aus der Telekommunikationsbranche, zu strengeren Sicherheitsstandards und klaren Verfahren im Umgang mit Cybervorfällen. Neu ist auch die klare Verantwortung der Geschäftsleitungen: Manager können bei Nichterfüllung persönlich haftbar gemacht werden. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.
„Telekommunikationsnetze bilden das digitale Rückgrat unserer Gesellschaft“, erklärte Breko-Geschäftsführer Stephan Albers. „Ob Wirtschaft, öffentliche Verwaltung oder lebenswichtige Einrichtungen wie Krankenhäuser – sie alle sind auf stabile und störungsfreie Datenverbindungen angewiesen. Umso mehr muss ihr Schutz höchste Priorität haben.“ Er begrüßte, dass die Bundesregierung auf Vorarbeiten der vorherigen Regierung zurückgreife: „Dies hilft den betroffenen Unternehmen, die bereits begonnene Umsetzung der Anforderungen fortzuführen. Das Gesetz schafft Sicherheit: Die EU-weiten Mindeststandards sorgen für ein angemessenes Schutzniveau vor Cyberattacken und Rechtssicherheit bei Haftungsfragen.“
Ausnahmen und Rechtsunsicherheit im Fokus
Kritisch sehen die Verbände vor allem die im Gesetzentwurf vorgesehenen Ausnahmeregelungen. Bitkom-Präsident Ralf Wintergerst warnte: „Gerade der Bund und die öffentliche Verwaltung sollten und müssen Vorreiter bei der Cybersicherheit sein.“ Stattdessen sei die Bundesverwaltung von den strengeren Vorgaben ausgenommen, was aus seiner Sicht ein falsches Signal setze.
Auch der TÜV-Verband bemängelt die Ausgestaltung. Fachbereichsleiter Marc Fliehe sprach von einer „überfälligen“ Umsetzung, die in Details jedoch nachgebessert werden müsse. Konkret kritisierte er die neu eingeführte Ausnahme für „vernachlässigbare“ Tätigkeiten: „Ohne präzise Vorgaben besteht die Gefahr uneinheitlicher Auslegung und einer Rechtsunsicherheit für Unternehmen.“ Aus Sicht des TÜV-Verbandes droht damit, dass eigentlich regulierungspflichtige Tätigkeiten fälschlicherweise herausfallen und Deutschland vom Harmonisierungsziel der EU abweicht.
Ulrich Plate, Leiter der Kompetenzgruppe Kritis beim Eco-Verband, warnt im Zusammenhang mit NIS2 vor einem europäischen Flickenteppich
Quelle: Eco
Der Verband Eco warnt vor Unsicherheiten bei Ausnahmen und Übergangsfristen. Ulrich Plate, Leiter der Kompetenzgruppe Kritis, mahnt: „Was politisch pragmatisch klingt, ist europarechtlich heikel. Sollte diese Regelung vor dem EuGH scheitern, drohen Vertragsverletzungsverfahren und ein Rückfall in die Unsicherheit, die NIS2 eigentlich beenden sollte.“ Außerdem sieht er die Gefahr eines Flickenteppichs: Während Deutschland noch diskutiert, schaffen andere Mitgliedstaaten bereits nationale Fakten, teils mit eigenen Auslegungen. „Deutschland täte gut daran, hier nicht ebenfalls zum Alleingang anzusetzen“, so Plate.
Nachweispflichten und Prüfintervalle
Ein weiterer Streitpunkt sind die vorgesehenen Kontrollen. Laut NIS2 sollen „besonders wichtige Einrichtungen“ regelmäßig den Nachweis erbringen, dass sie die Sicherheitsanforderungen erfüllen. Der TÜV-Verband kritisiert, dass dies im deutschen Entwurf auf stichprobenartige Prüfungen hinauslaufe. „Das entspricht nicht der Intention der Richtlinie und ist sicherheitstechnisch bedenklich“, so Fliehe. Besonders kritisch sei die Verlängerung der Nachweisfristen für Betreiber kritischer Infrastrukturen von zwei auf drei Jahre. „Die Betreiber kritischer Infrastrukturen sind regelmäßig gezielten Cyberangriffen ausgesetzt. Eine Verlängerung des Nachweiszyklus ist vor diesem Hintergrund mehr als kontraproduktiv.“
Neben den internen Sicherheitsmaßnahmen rückt auch die Absicherung von Lieferketten stärker in den Fokus. Die Richtlinie spricht zwar von Anforderungen wie „Security by Design“, bleibt aus Sicht des TÜV-Verbandes jedoch zu vage. Unternehmen bräuchten klare Handreichungen und Orientierungshilfen, um ihre Lieferketten wirksam abzusichern. „Eine Konkretisierung würde Mindestmaßnahmen definieren und Interpretationsspielräume reduzieren und so mehr Handlungssicherheit schaffen“, heißt es aus dem Verband.
Unterstützung durch das BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitet sich bereits organisatorisch auf die Umsetzung vor. Geplant ist ein zentrales Melde- und Registrierungsportal, über das Unternehmen künftig ihre Betroffenheit anzeigen und Sicherheitsvorfälle melden sollen. Nach Angaben des BSI könnten künftig rund 29.500 Unternehmen unter die Vorgaben fallen. Für die betroffenen Firmen bedeutet das, bestehende Sicherheitsarchitekturen und interne Risikoanalysen jetzt zu überprüfen. Eco-Experte Plate betonte dazu: „Für Unternehmen ist jetzt der richtige Zeitpunkt, aktiv zu werden. Wer frühzeitig für Klarheit sorgt, stärkt nicht nur die eigene Compliance, sondern auch die betriebliche Resilienz.“
Deutschland hatte die eigentliche EU-Frist zur Umsetzung von NIS2 bereits im Oktober 2024 verpasst. Mit dem Kabinettsbeschluss soll nun das parlamentarische Verfahren folgen, um ein drohendes Vertragsverletzungsverfahren abzuwenden und den betroffenen Unternehmen Planungssicherheit zu geben. Ob die Nachbesserungen, die die Verbände fordern, umgesetzt werden, dürfte sich im Herbst entscheiden. Klar ist schon jetzt: Die Telekommunikationsbranche muss sich auf strengere Vorgaben einstellen – und zwar nicht nur Netzbetreiber, sondern auch Systemhäuser, die für ihre Kunden Sicherheitskonzepte umsetzen und dokumentieren müssen.
