NIS2-RichtlinieNoch viele Punkte offen

Gestern (30. Juli 2025) hat das Bundeskabinett den Gesetzentwurf zur Umsetzung der EU-Richtlinie NIS2 beschlossen (wir berichteten). Ziel der europäischen Vorgabe ist es, ein einheitlich hohes Niveau an Cybersicherheit in der EU zu schaffen. Nun soll diese Anforderung in deutsches Recht überführt und zugleich das Informationssicherheitsmanagement in der Bundesverwaltung neu geregelt werden. Fachverbände loben den überfälligen Schritt, kritisieren aber Lücken und offene Fragen, die im parlamentarischen Verfahren geklärt werden müssten. Ulrich Plate, Leiter der Kompetenzgruppe KRITIS beim Verband der Internetwirtschaft, eco, betont: „Die eigentliche Arbeit beginnt erst jetzt, im parlamentarischen Verfahren.“ Dort werde sich zeigen, ob die Bundesregierung bereit sei, bei Ausnahmen, Zuständigkeiten und Übergangsfristen für Klarheit zu sorgen.

Keine Ausnahmen für die Verwaltung

Der Digitalverband Bitkom sieht in dem Kabinettsbeschluss einen Fortschritt. Die Richtlinie könne sowohl für europaweit einheitliche Regeln sorgen als auch die Sicherheitslage insgesamt verbessern, so der Bitkom-Präsident Ralf Wintergerst. Entscheidend sei jedoch, dass Deutschland die Vorgaben „eins zu eins“ umsetze und keine nationalen Sonderwege gehe. Gerade Unternehmen bräuchten verlässliche und einheitliche Rahmenbedingungen in der EU. Kritisch bewertet der Bitkom, dass die Bundesverwaltung offenbar von den strengeren Anforderungen der Richtlinie ausgenommen bleiben soll. Das sei ein falsches Signal: „Gerade der Bund und die öffentliche Verwaltung sollten und müssen Vorreiter bei der Cybersicherheit sein“, so Wintergerst.

Unklar sei außerdem, welche Unternehmen genau unter den Anwendungsbereich der Richtlinie fallen – insbesondere dann, wenn nur ein Teil ihrer Tätigkeit kritische Funktionen betrifft. Auch fehle bislang eine erkennbare Abstimmung mit der europäischen CER-Richtlinie zur physischen Resilienz kritischer Einrichtungen. Der Verband fordert daher, das parlamentarische Verfahren zur Klärung dieser Punkte zu nutzen. Angesichts der bereits laufenden EU-Vertragsverletzungsverfahren gegen Deutschland müsse das Gesetz unmittelbar nach der Sommerpause verabschiedet werden.

Klärungsbedarf bei Ausnahmen und Zuständigkeiten

Auch der Internetwirtschaftsverband eco begrüßt den Kabinettsbeschluss. KRITIS-Experte Ulrich Plate nennt die Entscheidung überfällig. Die Richtlinie sei ein notwendiger Impuls für die strukturelle Modernisierung Kritischer Infrastrukturen. Ähnlich wie der Bitkom betont auch der eco, dass der nun beschlossene Entwurf zahlreiche offene Fragen lasse. Besonders problematisch sei die geplante Ausnahme für Unternehmen mit angeblich „vernachlässigbarer“ kritischer Tätigkeit. Diese könne sich vor dem Europäischen Gerichtshof als unhaltbar erweisen. Plate fordert daher mehr Klarheit zu Zuständigkeiten, Übergangsfristen und Ausnahmen – und warnt vor einem „regulatorischen Flickenteppich“, falls Mitgliedstaaten wie Deutschland ihre Umsetzung nicht konsequent auf europäische Harmonisierung ausrichten.

Rechtssicherheit für die Telekommunikationsbranche

Positiv äußert sich der Bundesverband Breitbandkommunikation (BREKO). Geschäftsführer Stephan Albers sieht im Gesetz einen wichtigen Schritt für mehr Sicherheit und Rechtsklarheit in der Telekommunikationsbranche. Die betroffenen Unternehmen könnten damit die bereits begonnenen Umsetzungen auf verlässlicher Grundlage fortsetzen. Die EU-weiten Mindeststandards schafften nicht nur ein angemessenes Schutzniveau, sondern auch Rechtssicherheit bei Haftungsfragen. Kritik übt BREKO allerdings an der vorgesehenen Regelung zu sogenannten kritischen Komponenten. Der Gesetzentwurf ermögliche Untersagungen nicht nur bei 5G-, sondern auch bei Glasfaserkomponenten – selbst wenn diese bereits im Betrieb seien. Das werfe für Unternehmen Rechts- und Investitionsrisiken auf. BREKO fordert eine Überarbeitung, um Bürokratie zu vermeiden und Rechtssicherheit herzustellen.