Land in Sicht bei NIS-2 : Kritische Cybersicherheit am Horizont: Was die nationale NIS-2-Umsetzung bedeutet – und wann wir mit ihr rechnen können

Wer vom überarbeiteten BSIG erfasst sein wird, muss Risikomanagement-Vorgaben treffen, sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und bei Sicherheitsvorfällen einer künftig dreistufigen Meldepflicht nachkommen. Je nach Einrichtungskategorie gelten gegebenenfalls gesteigerte Sicherheits-Vorgaben. Bei Verstößen drohen Bußgelder, die nun auch eine Konzernbemessungsvorschrift entsprechend zur EU Datenschutzgrundverordnung (DSGVO) erhalten [11, 12].

Im Gesetzgebungsverfahren der letzten Legislaturperiode trug das Gesetz noch den Titel „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“ [13]. Hiervon scheint man abzuweichen, der neue Referentenentwurf wird als „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ bezeichnet. Der neue Name beschreibt das Ansinnen des Gesetzes nun noch wörtlicher  – eine inhaltliche Neuausrichtung ist aber bislang nicht zu erkennen. Es ändert sich lediglich das Wording leicht, was im Angesicht der Verpflichtung zur richtlinienkonformen Umsetzung aber nicht weiter überrascht.

Konkrete Anpassungen

Bewegung bei der Bundesverwaltung

Die geopolitische Lage verdeutlicht eindrucksvoll, wie gefährdet staatliche Einrichtungen durch hybride Ereignisse mittlerweile sind. Der IT-Sicherheit kommt hier eine besondere Bedeutung zu, weil staatlich unterstützte Cyberangriff e auf andere staatliche Einrichtungen die Funktionsfähigkeit der Einrichtung in ihrer Gesamtbedeutung für die Gesellschaft stören und auch das Vertrauen der Bevölkerung in staatliche Institutionen senken können. Gleichzeitig ist es ein wichtiges Signal des Staats, wenn er Privatunternehmen scharfe IT-Sicherheits-Vorgaben macht, auch selbst mit gutem Beispiel voranzugehen und die eigenen Einrichtungen resilient aufzustellen.

Die NIS-2-Richtlinie erfasst als Sektor „Öffentliche Verwaltung“ sowohl die Einrichtungen der öffentlichen Verwaltung von Zentralregierungen als auch diejenigen auf regionaler Ebene. Dies betriff t also die Bundesverwaltung und die Landesverwaltungen – für Letztere gibt es auf Landesebene schon vereinzelte Regulierungsvorhaben zur Umsetzung der NIS-2-Vorgaben. Von der Öffnungsklausel in Art. 2 Abs. 5 Lit. a NIS-2-RL für die Erfassung der öffentlichen Verwaltung auf lokaler Ebene – also der Kommunalverwaltungen – will man in Deutschland keinen Gebrauch machen. Dies stellt jedoch mehr eine finanzielle und personelle als eine verantwortungsbewusste Entscheidung dar. Ähnliches gilt für die Ausnahme der Universitäten und Hochschulen als öffentliche Forschungseinrichtungen.

Der künftige § 29 BSIG-E [4] widmet sich den Einrichtungen der Bundesverwaltung und erfasst hierunter die Bundesbehörden, öff entlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung sowie weitere Körperschaften, Anstalten und Stiftungen des öff entlichen Rechts auf Bundesebene. Für diese gelten im Grundsatz die Cybersecurity-Regelungen für besonders wichtige Einrichtungen, wie § 29 Abs. 2 BSIG-E zeigt. Allerdings wird dieser Verweis sowohl unmittelbar dort als auch im gesamten BSIG-E deutlich aufgeweicht – es gibt zahlreiche Ausnahmen und Sondervorschriften für die Bundesverwaltung.

Die aktuellste Ausnahme ist erst durch die letzte Fassung des Referentenentwurfs vor der Sommerpause hinzugekommen: Im neuen § 29 Abs. 2 Satz  2 BSIG-E ist geplant, dass die Vorschriften zum Cybersecurity-Risikomanagement des § 30 BSIG-E für Einrichtungen der Bundesverwaltung, ausgenommen das Bundeskanzleramt und die Bundesministerien, nicht anzuwenden sind. In der Begründung wird ausgeführt, dass § 30 BSIG-E durch die Einhaltung von § 44 Abs. 1 BSIG-E erfüllt werde, wie auch § 44 Abs. 2 BSIG-E zeige. Hierbei handelt es sich um eine Entscheidung, die besonders unter Fachexperten kritisch gesehen wird, da sie letztlich die Informationssicherheit von öffentlichen und privaten Einrichtungen mit zweierlei Maß misst.

§ 44 Abs. 1 BSIG-E regelt die Vorgaben des BSI zu den Mindestanforderungen zum Schutz der in der Bundesverwaltung verarbeiteten Informationen – hier hält die Vorschrift ebenfalls Neuerungen bereit: Die Mindestanforderungen ergeben sich aus den BSI-Standards und dem IT-Grundschutz Kompendium (IT-Grundschutz) sowie aus den Mindeststandards für die Sicherheit in der Informationstechnik des Bundes (Mindeststandards Bund, [14]). Neu ist nun, dass sowohl der IT-Grundschutz als auch die Mindeststandards verpflichtend regelmäßig evaluiert und dem Stand der Technik entsprechend angepasst werden müssen. Zu kritisieren ist der Zusatz des Entwurfs, dass hierbei „der Umsetzungsaufwand soweit möglich minimiert“ wird, während es für die allgemeinen Risikomanagement-Maßgaben des § 30 BSIG-E allein auf die Angemessenheit von Maßnahmen ankommt. Hier liegt ein erneuter Beleg dafür vor, dass man bei Privatunternehmen die notwendige wirtschaftliche Leistungsfähigkeit unterstellt, dies bei staatlichen Einrichtungen aber nicht ohne Weiteres anzunehmen sei. Für die Überarbeitung des ITGrundschutz sieht das Gesetz eine Frist vor: Bis zum 1. Januar 2026 ist dieser durch das BSI zu entwickeln.

Der Nachweiszeitraum (§ 43 Abs. 4. Satz  2 BSIG-E) für die Anforderungen des BSIG in der Bundesverwaltung wird im Vergleich zu den vorherigen Entwürfen gestrafft: Statt bislang fünf Jahren soll künftig ein Drei-Jahres-Zeitraum ab Inkrafttreten des Gesetzes gelten.

Mutlose und schwammige Vorgaben zum Bundes-CISO

Der Gesetzentwurf plant die Einführung einer Koordinatorin oder eines Koordinators für Informationssicherheit durch die Bundesregierung (§ 48 BSIG-E), die/ der auch als „Bundes-CISO“ bezeichnet wird. Während in Unternehmen solche Chief-Information-Security-Officers längst häufig eingesetzt werden, soll der Bund diese Position erstmalig erhalten. Sie soll zentral die Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung koordinieren und die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützen. Außerdem sind in § 45 BSIG-E – wie auch schon im „Umsetzungsplan Bund 2017“ – Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung (Einrichtungs-ISBs) und in § 46 BSIG-E Informationssicherheitsbeauftragte der Ressorts (Ressort-ISBs) vorgesehen.

Weder Aufgabenbereich noch Organisation des „Bundes-CISO“ werden jedoch näher gesetzlich geregelt, was bedauerlich ist. Die Entwurfsbegründung führt aus, die konkrete organisatorische Anbindung und Einbindung in relevante Gremien bleibe dem umsetzenden Kabinettsbeschluss vorbehalten – zur Vermeidung von Interessenskonflikten solle die Funktion möglichst unabhängig organisiert werden. Mutloser und schwammiger können Organisationsvorgaben kaum formuliert werden. Damit die Funktion des Bundes-CISO für die Cyberresilienz der Bundesverwaltung eine ernsthafte und nachhaltige Verbesserung mit sich bringt, müssen Organisation und Aufgaben fest im Gesetz verankert werden und nicht einem Beschluss der Bundesregierung vorbehalten bleiben. Begriffe wie „sollten“ und „möglichst unabhängig“ in der Organisationsbeschreibung eines CISO würden in der Privatwirtschaft in einem Audit sicherlich kritisch beurteilt werden.

Bemerkenswert ist auch, dass der Entwurf zum Einrichtungs-ISB ausdrücklich anmerkt, dass eine klare gesetzliche Definition der Aufgaben und Befugnisse auch eine verbesserte Zusammenarbeit mit der jeweiligen Leitung sowie mit anderen Verantwortungsbereichen und deren Beauftragten, etwa Datenschutz und Geheimschutz, erleichtert. Konkreter sind auch die Vorgaben zu den Ressort-ISBs, die nach § 46 Abs. 2 BSIG-E eine notwendige Fachkunde voraussetzen und für die § 46 Abs. 3 BSIG-E die Aufgaben näher definiert. Die Unabhängigkeit beider ISBs ist in § 45 Abs. 3 Satz 5 sowie § 46 Abs. 3 Satz 3 BSIG-E ausdrücklich im Gesetz gefordert – und nicht lediglich beiläufig in einer Entwurfsbegründung vermerkt.

Änderung beim Anwendungsbereich

Auch für Einrichtungen außerhalb der Bundesverwaltung hat sich in den Referentenentwürfen der neuen Legislaturperiode etwas Bewegung ergeben, die im Schwerpunkt den Anwendungsbereich der Vorschriften betrifft.

Das betrifft unter anderem Managed-ServicesProvider (MSP), also Dienstleister, die für ihre Kunden IT-Dienste langfristig übernehmen und betreiben und zum Sektor „Digitale Infrastruktur“ zählen. Der Entwurf konkretisiert den MSP-Begriff und versteht hierunter einen gewissen Grad an tatsächlichem Zugriff auf IKT-Produkte, -Netzwerke und -Infrastrukturen, der über eine reine Beratungstätigkeit hinausgeht. Ein bestimmter Kundenkreis sei für die Einstufung als MSP nicht erforderlich.

Dadurch dürften nunmehr auch konzerninterne IT-Dienstleister unter den MSP-Begriff fallen, auch wenn aus dem Konzern selbst keine für die weiteren KRITIS-Sektoren relevante Dienstleistung erbracht wird. Ebenfalls dürften von Kommunen gemeinsam „gehaltene“ IT-Dienstleister erfasst sein, was das oben genannte Ausbleiben der Aufnahme von Kommunen etwas relativiert.

Die NIS-2-Umsetzung bringt aber nicht nur Neuerungen im BSIG mit sich, sondern erfasst auch andere Regelwerke, die IT-Sicherheitsvorgaben machen. Das führt zu einer Neuerung im Energiesektor: Nach § 5c Abs. 3 EnWG sind künftig auch Sicherheitsvorgaben für sogenannte Betreiber eines digitalen Energiedienstes vorgesehen, sofern diese eine besonders wichtige oder wichtige Einrichtung im Sinne des BSIG-E betreiben und ihre Energieanlage an ein Energieversorgungsnetz angeschlossen haben.

Aus dem Entwurf zur BSI-KRITIS-Verordnung, die künftig „Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz“ heißen wird, ergibt sich, dass ein digitaler Energiedienst „eine Anlage oder ein System [ist], das den zentralen, standortübergreifenden Zugriff auf die Steuerung oder die unmittelbare Beeinflussung von Energieanlagen oder zentralen, standortübergreifenden Zugriff auf die Steuerung oder die unmittelbare Beeinflussung dezentralen Anlagen zum Verbrauch elektrischer Energie oder Gas ermöglicht“. Künftig werden dann etwa auch Virtual Power-Plants (virtuelle Kraftwerke) oder Demand-Response-Plattformen zu IT-Sicherheitsmaßnahmen verpflichtet, sofern sie die Größenangaben des Gesetzes erfüllen.

Mehr eine Umstrukturierung als eine Neuerung im Anwendungsbereich deutet sich für die Sozialversicherungsträger an: Diese waren auch schon jetzt vom BSIG im Sektor „Finanz- und Versicherungswesen“ erfasst. In den bisherigen Entwürfen war keine Auftrennung dieses Sektors zu erahnen, sie zeichnet sich jetzt aber seit dem neuesten Referentenentwurf der aktuellen Legislaturperiode ab. Denn der Entwurf zur überarbeiteten (und künftig nicht mehr so bezeichneten) BSI-KRITIS-Verordnung nennt neben dem Sektor Finanzwesen „Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitssuchende“ als eigenständigen Sektor. Der Hintergrund ist nicht klar, lässt sich aber dahingehend interpretieren, dass die Bandbreite von Finanz- und Versicherungswesen doch sehr weit ist und somit über eigene Sektoren zielgenauere Maßgaben für die Betroffenheit von Einrichtungen gemacht werden sollen.

Entkoppelung vom KRITIS-Dachgesetz

Eine von den Richtliniengebern der EU vermutlich nicht so beabsichtigte, aber aufgrund der Verzögerungen möglicherweise unausweichliche Folge scheint die Entkoppelung der Gesetzgebungsvorhaben zur Umsetzung der NIS-2-Richtlinie und der Resilienz-Richtlinie (CER, [5]) zu sein, die den Schutz sensibler Einrichtungen vor physischen Gefahren zum Ziel hat. Das die Richtlinie umsetzende KRITIS-DachG erreichte in der letzten Legislaturperiode ebenfalls nur den Status eines Regierungsentwurfs, wobei zwischen beiden verspäteten Gesetzesvorhaben ein annähernder zeitlicher Gleichschritt zu beobachten war. Wegen der versäumten rechtzeitigen Umsetzung läuft nun auch hier ein Vertragsverletzungsverfahren gegen Deutschland.

Selbst wenn das Vorhaben, den Binnenmarkt gegenüber der hybriden Bedrohungslage resilient zu gestalten, durch die EU selbst auf zwei Richtlinien aufgespalten wurde, sollte bei der Umsetzung der Richtlinie stets der Fokus darauf gerichtet sein, dass die Umsetzungsgesetze „Hand in Hand“ greifen sollen, sich möglichst nicht widersprechen und keine blinden Flecken hinterlassen. Dem hätte es gutgetan, wenn beide Vorhaben parallel zueinander auf den Weg gebracht worden wären.

Aufgrund des Sanktionsdrucks durch die Vertragsverletzungsverfahren ist nun aber Eile geboten. Während es sich bei der Umsetzung von NIS-2 im BSIG „nur“ um eine Überarbeitung eines bestehenden Gesetzes handelt, muss das KRITIS-DachG gänzlich neu erarbeitet werden. Dies gestaltet sich fachlich schwieriger, weshalb der Schritt der Entkopplung beider Vorhaben möglicherweise der risikoärmere Weg ist. Die hinter den Kulissen bereits begonnene Aufnahme der Arbeiten am KRITIS-DachG muss dann aber passgenau auf das vorauseilende NIS-2-Vorhaben erfolgen! Wenn dessen Wortlaut dann schon weitgehend klar ist, kann es auch ein Vorteil sein, dass die Entkopplung durchgeführt wurde. Laut Aussagen des BMI soll es jedenfalls nicht ausgeschlossen sein, dass im Fortgang des weiteren Gesetzgebungsverfahrens doch noch ein Gleichlauf hergestellt wird.

Fazit und Ausblick

Im Ergebnis wird man nicht davon ausgehen können, dass sich bei der Umsetzung der NIS-2-Richtlinie in Deutschland noch erhebliche Änderungen ergeben werden. Einerseits ist dies bedingt durch den europäischen Grundsatz der Mindestharmonisierung, wonach die europäische Cybersecurity-Richtlinie in ihrer Wirkkraft national ohnehin nicht abgeschwächt werden darf – andererseits läuft der Bundesregierung zunehmend auch die Zeit davon, womit eine möglichst richtliniennahe Umsetzung naheliegt.

Einige Stellschrauben, die in diesem Beitrag genannt wurden, sowie die in der letzten Entwurfsfassung neu aufgenommenen und nicht unumstrittenen „vernachlässigbaren Tätigkeiten“ dürften sicher noch für Diskussionsstoff im weiteren Gesetzgebungsverfahren sorgen. Mit Blick auf den Zeitplan ist das Umsetzungsziel ambitioniert, wenngleich realistisch: Neben einem Kabinettsbeschluss noch im Juli sind zum Redaktionsschluss dieser Ausgabe Verkündung und Inkrafttreten des nationalen NIS-2-Gesetzes bis Ende 2025 geplant – dazwischen findet die Befassung des Bundesrats und des Bundestags im Fachausschuss inklusive der Sachverständigenanhörungen statt.

Dr. Tilmann Dittrich ist Rechtsanwalt mit Schwerpunkt für Cybersicherheit, Cybercrime, Strafrecht im Gesundheitswesen sowie Notfallmedizin in der Kanzlei Wessing & Partner Rechtsanwälte mbB, Düsseldorf. Prof. Dr. Dennis-Kenji Kipker ist wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt am Main.

Literatur

_{[1] Europäische Union, Richtlinie (EU) 2022/2555 … vom 14.  Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union … (NIS-2-Richtlinie), in: Amtsblatt der Europäischen Union L333, S. 80, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555}  

_{[2] Europäische Kommission, Kommission leitet Schritte zur Gewährleistung der vollständigen und fristgerechten Umsetzung von EU-Richtlinien ein, Pressemitteilung, November 2024, https://ec.europa.eu/commission/presscorner/detail/de/inf_24_5988}

_{[3] cyberintelligence.institute (CII), NIS-2-Referentenentwurf: Updates, Analysen, Hintergründe, Juli 2025, https://cyberintelligence.institute/news-media/nis-2-referentenentwurf-updates-analysen-hintergruende}

_{[4] Bundesministerium des Innern (BMI), Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Referentenentwurf vom 23. Juni 2025, www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/CI1/NIS-2-RefE_2025.html}

_{[5] Europäische Union, Richtlinie (EU) 2022/2557 … vom 14.  Dezember 2022 über die Resilienz kritischer Einrichtungen …, in: Amtsblatt der Europäischen Union L333, S. 164, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2557}

_{[6] Deutscher Bundestag, Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen, BundestagsDrucksache (BT-Drs.) 20/13961, Novemner 2024, https://dserver.bundestag.de/btd/20/139/2013961.pdf}

_{[7] Dr. Dennis-Kenji-Kipker, Dr. Tilmann Dittrich, Kritischer Infrastrukturschutz ganz konkret?, Das KRITIS-Dachgesetz zur Umsetzung der neuen EU Resilienz-Richtlinie, Zeitschrift für Rechtspolitik (ZRP) Heft  8/2023, S. 230, https://beck-online.beck.de/?vpath=bibdata%2Fzeits%2FZRP%2F2023%2Fcont%2FZRP%2e2023%2eH08%2ehtm    (kostenpflichtig)}

_{[8] Dr. Philipp Irmscher, Risikobasierter Ansatz als regulatorischer Trend  – auch bei kritischer Infrastruktur, Zeitschrift für Rechtspolitik (ZRP) Heft  5/2024, S. 158, https://beck-online.beck.de/?vpath=bibdata%2Fzeits%2FZRP%2F2024%2Fcont%2FZRP%2e2024%2eH05%2ehtm   (kostenpflichtig)}

_{[9] Europäische Union, Kleinstunternehmen sowie kleine und mittlere Unternehmen: Defi nition und Umfang, Zusammenfassung der EU-Gesetzgebung, Juli 2016, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=LEGISSUM:n26026}

_{[10] Dr. Tilmann Dittrich, Dennis-Kenji-Kipker, Rolle der Kritischen Infrastrukturen nach dem neuen NIS-2-Umsetzungsund Cybersicherheitsstärkungsgesetz, Nationale Besonderheiten und europäische Überformung, MMR – Zeitschrift für IT-Recht und Recht der Digitalisierung Heft 7/2023, S. 481, https://rsw.beck.de/docs/mmrlibraries/default-document-library/mmr-07-2023–-beitrag-kipker–-dittrich.pdf}

_{[11] Christian Heinelt, Dr. Tilmann Dittrich, Dr. Eren Basar, NIS-2: Sanktionen und Strafrecht – Teil 1, Compliance-Berater 2025/05, S. 151, https://online.ruw.de/suche/cb/2025/05 (kostenpflichtig)}

_{[12] Christian Heinelt, Dr. Tilmann Dittrich, Dr. Eren Basar, NIS-2: Sanktionen und Strafrecht – Teil 2, Compliance-Berater 2025/06, S. 177, https://online.ruw.de/suche/cb/2025/06 (kostenpflichtig)}

_{[13] Dr. Dennis-Kenji Kipker, NIS2UmsuCG, Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz kommt  – ein Überblick über den Status quo, 2023# 4, S. 70, www.kes-informationssicherheit.de/print/titelthema-supply-chain-security-integritaetdigitaler-artefakte/nis2umsucg/ (<kes>+)}  

_{[14] Bundesamt für Sicherheit in der Informationstechnik (BSI), Mindeststandards Bund, Überblicks-Broschüre, August 2024, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Mindeststandards_Bund.html  – Download einzelner Mindeststandards via https://www.bsi.bund.de/dok/MST}