VATM fordert Nachbesserungen bei NIS-2-Gesetz

Die Umsetzung der europäischen NIS-2-Richtlinie in deutsches Recht gerät zur Zerreißprobe zwischen Sicherheitsanspruch und praktischer Umsetzbarkeit. Bei der öffentlichen Anhörung im Bundestag am 13. Oktober 2025 zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) übte der VATM deutliche Kritik am vorliegenden Gesetzentwurf. Die Richtlinie verpflichtet künftig rund 29.000 Unternehmen in Deutschland zu umfassenden Cybersicherheitsmaßnahmen – darunter zahlreiche Telekommunikationsanbieter, Systemhäuser und ITK-Dienstleister.

„Ein wirksames Gesetz muss Sicherheit erhöhen, ohne das Engagement der Unternehmen durch unnötige Doppelstrukturen in Bund und Ländern auszubremsen“, betont VATM-Geschäftsführer Dr. Frederic Ufer. Der Verband mahnt, dass bürokratische Prozesse gestrafft und ein einheitliches Meldeportal eingeführt werden müssen. Die Kritik zielt vor allem auf die komplexe Zuständigkeitsarchitektur, die zwischen Bundesbehörden und Landesstellen unterscheidet und Unternehmen vor erhebliche praktische Probleme stellt.

Das Kernproblem aus Sicht des VATM: Der aktuelle Entwurf sieht keine zentrale, einheitliche Anlaufstelle für die Meldung von Sicherheitsvorfällen vor. Stattdessen müssen Unternehmen je nach Standort und Zuständigkeit mit verschiedenen Behörden kommunizieren – ein Aufwand, der gerade für bundesweit oder international tätige Anbieter kaum zu bewältigen ist. „Sicherheit erreichen wir vor allem durch klare, einfache und digitale Abläufe", so Ufer. „Daher muss ein zentrales, behördenübergreifendes System schnell pilotiert werden und perspektivisch europaweit funktionieren.“

Die Forderung nach einem einheitlichen Portal ist mehr als eine technische Frage. Sie berührt die grundsätzliche Frage, wie effektiv Cybersicherheit organisiert werden kann. Wenn im Ernstfall – etwa bei einem Angriff auf kritische Infrastruktur – erst geklärt werden muss, welche Behörde zuständig ist, gehen wertvolle Stunden verloren. Gerade für Unternehmen, die weltweit tätig sind, sei es essenziell, dass international einheitliche Standards gelten, betont der VATM.

Ein zweiter Kritikpunkt wiegt schwer: Der Gesetzentwurf unterscheidet bei den Pflichten und Sanktionen zwischen privaten Unternehmen und staatlichen Einrichtungen. Während Telekommunikationsanbieter, Systemhäuser und andere ITK-Dienstleister umfassende Sicherheitsmaßnahmen nachweisen und bei Verstößen mit empfindlichen Strafen rechnen müssen, gelten für Behörden andere Maßstäbe. „Sicherheitsgarantien müssen einheitlich gelten", kritisiert Ufer. „Bei den notwendigen Pflichten und Sanktionen darf der Gesetzgeber nicht zwischen Wirtschaft und staatlichen Einrichtungen unterscheiden. Wir brauchen vielmehr ein robustes, zukunftsfestes und einheitliches Schutzniveau für Wirtschaft, Verwaltung und Gesellschaft."

Diese Ungleichbehandlung ist nicht nur eine Frage der Fairness. Sie schwächt auch die Gesamtsicherheit. Denn Cyberangriffe machen keinen Unterschied zwischen privaten und öffentlichen Systemen. Wenn behördliche IT-Infrastrukturen weniger streng reguliert sind, können sie zur Schwachstelle im Gesamtsystem werden – mit Folgen auch für vernetzte Unternehmen und Dienstleister.

Bedauerlich sei zudem, dass es bislang nicht gelungen ist, physische Sicherheit und Cybersicherheit gemeinsam zu denken, moniert der VATM-Geschäftsführer. Parallel zum NIS-2-Gesetz läuft die Umsetzung des KRITIS-Dachgesetzes, das die europäische CER-Richtlinie zum Schutz kritischer Infrastrukturen in nationales Recht überführt. Beide Regelwerke betreffen dieselben Unternehmen, setzen aber unterschiedliche Schwerpunkte: das eine auf Cybersicherheit, das andere auf physischen Schutz. „Das NIS2UmsuCG und das KRITIS-Dachgesetz sind zwei Seiten einer Medaille und in der Praxis untrennbar verbunden“, so Ufer. „Einheitliche Regelungen in beiden Gesetzen würden unnötige Doppelbelastungen für die Unternehmen und Reibungsverluste vermeiden.“

In der Praxis bedeutet das: Ein Rechenzentrum muss sowohl gegen Hackerangriffe als auch gegen Einbrüche geschützt werden. Ein Telekommunikationsanbieter muss seine Netzinfrastruktur gegen Sabotage ebenso sichern wie gegen digitale Bedrohungen. Getrennte Gesetze mit unterschiedlichen Meldewegen, Fristen und Anforderungen erschweren diese Aufgabe, statt sie zu erleichtern.

Der Zeitdruck ist erheblich. Die EU-Kommission hat gegen Deutschland ein Vertragsverletzungsverfahren eingeleitet, weil die Umsetzung der NIS-2-Richtlinie zu lange dauert. Gerade angesichts dieses Drucks müssen sowohl das NIS2UmsuCG wie auch das KRITIS-Dachgesetz jetzt endlich verabschiedet werden, fordert der VATM. Nationale Sonderwege, die vom EU-Recht abweichen, müssten dabei im Interesse eines harmonisierten europäischen Rechtsrahmens unbedingt vermieden werden, betont Ufer.

Die Forderung ist nicht nur rechtlich geboten, sie ist auch wirtschaftlich sinnvoll. Für international tätige ITK-Unternehmen sind europaweit einheitliche Standards ein Wettbewerbsvorteil. Nationale Alleingänge erhöhen dagegen den Compliance-Aufwand und binden Ressourcen, die besser in konkrete Sicherheitsmaßnahmen investiert würden.

Der VATM verweist in seiner Stellungnahme ausdrücklich auf die Ziele der Modernisierungsagenda des Bundesdigitalministers: „Wir brauchen pragmatische Lösungen beim Bürokratieabbau und eine Rechtsetzung, die adressatenorientiert und praxistauglich ist. Dies muss auch bei den weiteren Beratungen des NIS2-Gesetzentwurfs in Bundesrat und Bundestag berücksichtigt werden.“

Für Telekommunikationsanbieter, Systemhäuser und ITK-Dienstleister ist das NIS-2-Gesetz mehr als eine weitere Compliance-Anforderung. Es definiert grundlegend neu, wie Cybersicherheit organisiert, dokumentiert und überwacht wird. Die betroffenen Unternehmen müssen in Risikomanagementsysteme investieren, Meldeprozesse etablieren und ihre Lieferketten auf Sicherheitsrisiken prüfen. Das bindet personelle und finanzielle Ressourcen – Ressourcen, die gerade kleinere Systemhäuser und spezialisierte Anbieter nicht unbegrenzt haben.

Umso wichtiger ist es, dass die gesetzlichen Vorgaben klar, praktikabel und digital umsetzbar sind. Ein komplexes Regelwerk mit Doppelstrukturen und uneinheitlichen Standards würde die Unternehmen überfordern, ohne die Sicherheit tatsächlich zu erhöhen. Die kommenden Wochen werden zeigen, ob der Gesetzgeber die Kritik aufgreift und nachbessert – oder ob Deutschland erneut ein Regelwerk verabschiedet, das zwar gut gemeint ist, in der Praxis aber zu teuer und zu kompliziert wird.