ImageFlow – shutterstock.com
Der Bundestag hat den Gesetzesentwurf der Bundesregierung zur Umsetzung der NIS-2-Richtlinie am 13. November 2025 verabschiedet. Union, SPD und AfD stimmten dafür. Die Grünen, denen das Gesetzt nicht weit genug geht, votierten dagegen. Die Linksfraktion enthielt sich.
Von den neuen Vorgaben sind schätzungsweise 29.850 Unternehmen und Behörden der Bundesverwaltung betroffen. Diese müssen nun nicht nur mehr Prävention betreiben, sondern auch gewisse Mindeststandards einhalten, etwa in Bezug auf Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselung.
Zudem sind betroffene Einrichtungen dazu verpflichtet, das Bundesamt für Sicherheit in der Informationstechnik (BSI) über alle relevanten IT-Sicherheitsvorfälle zu informieren. Nach einem Cyberangriff müssen Unternehmen diesen binnen 24 Stunden melden, nach 72 Stunden einen Zwischenstand liefern und innerhalb eines Monats einen Abschlussbericht vorlegen.
Ein weiterer Punkt: Mit dem Gesetz bekommt das BSI mehr Aufsichtsbefugnisse und kann bei schwerwiegenden Verstößen sogar Bußgelder verhängen. Auch der Bundes-CISO wird künftig bei der Sicherheitsbehörde angesiedelt.
Neue Regel zu kritischen IT-Komponenten
Darüber hinaus enthält der Gesetzentwurf auch Regelungen zur „Untersagung des Einsatzes von kritischen Komponenten“. Sie sollen regeln, wann Hardware, Software oder Cloud-Dienste aus bestimmten Ländern, durch die Spionage- oder Sabotagemöglichkeiten bestehen könnten, verboten werden können.
Solche Verbote soll nun das Bundesinnenministerium in Abstimmung mit dem jeweils betroffenen Ministerium aussprechen, „wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt.“
Kritik von Experten
Der Bitkom hält von der kurzfristig in das Gesetzgebungsverfahren eingebrachten Neuregelung zu „kritischen Komponenten“ allerdings nichts. „Unternehmen brauchen verlässliche Rahmenbedingungen, Verbote können erhebliche Auswirkungen auf die Geschäftstätigkeit haben“, kritisiert Bitkom-Präsident Ralf Wintergeist in einer Mitteilung. „Vor solch wichtigen Entscheidungen müssen die Betroffenen unbedingt vorab konsultiert werden.“
Nach Ansicht des Digitalverbands sollte die Definition von kritischen Komponenten auch künftig auf Grundlage technischer Kriterien durch die Bundesnetzagentur und das BSI erfolgen – nicht federführend durch das Bundesinnenministerium.
Auch der eco Verband warnte bereits vor dem Beschluss des Bundestags, dass diese Eingriffsbefugnisse bei „kritischen Komponenten“ zu Unsicherheit führen. „Neu ist dabei, dass das Bundesinnenministerium künftig auch ohne Meldung des Betreibers aktiv werden kann, um Komponenten zu verbieten. Für Unternehmen bedeutet das: Einschätzungen des Innenministeriums können kostspielige Austauschpflichten nach sich ziehen“, erklärt Ulrich Plate, Leiter der Kompetenzgruppe KRITIS beim eco.
Aus wirtschaftlicher Sicht sei das ein Risiko für Investitionsklarheit und Vertrauen. Zugleich würden Aufsicht und Sanktionen künftig stärker im Innenministerium gebündelt, fügt Plate hinzu. Seiner Meinung nach ist dies ein „weiterer Schritt hin zu einer politischen Zentralisierung der Cybersicherheitsarchitektur.“
Der eco-Experte monierte zudem, „dass zwar die Rolle des BSI gestärkt wurde, die Bedeutung und der Stellenwert einer BSI-Zertifizierung für die Wirtschaft aber weiterhin schwer einschätzbar bleiben, weil sie unter dem Vorbehalt politischer Entscheidungen stünden.“
Der beschlossene Gesetzentwurf wurde auch in der Security-Szene scharf kritisiert. Nach Ansicht des Sicherheitsexperten Christoph Ebeling grenzt der Beschluss an „einen politischen Skandal.“ Der DevSecOps-Spezialist schimpfte in einem LinkedIn-Post: „Der EU-Entwurf wurde im parlamentarischen Verfahren weiter entkernt, an entscheidenden Stellen sogar verwässert. Dass ausgerechnet die Pflicht zu einem funktionierenden Schwachstellenmanagement – dem Kern moderner Cybersicherheit – fast vollständig gestrichen wurde, ist Realsatire.“
Lesetipp: NIS2-Umsetzungsgesetz – Geschäftsleitung haftet mit Privatvermögen
No Responses