Das Deutsche Gesetz zur Umsetzung der NIS-2 Richtlinieist in Kraft1.
Der Name des Gesetzes lautet:
Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
Die Bundesregierung stellt dazu fest2, dass „Einrichtungen der Bundesverwaltung (…) künftig unter der Aufsicht des BSI weitreichende Anforderungen zur IT-Sicherheit erfüllen [müssen]. Die Behörden müssen unter anderem auf Vorfälle fristgerecht reagieren, Meldepflichten einhalten und Maßnahmen entsprechend dem IT-Grundschutz umsetzen.“
Zu den wichtigsten Last-Minute-Änderungen gehören demnach:
„Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wird ermöglicht, gegenüber bisher von der Regelung nicht erfassten Anbietern von öffentlich zugänglichen Telekommunikationsdiensten mit 100.000 oder weniger Kunden Anordnungen zur Abwehr erheblicher Gefahren auszusprechen. Ohne diese Erweiterung würden eine Vielzahl von Nutzern, denen über kleinere (etwa regionale) Anbieter Telekommunikationsdienstleistungen zur Verfügung gestellt werden, nicht entsprechend geschützt werden.
Des Weiteren ist unter anderem vorgesehen, dass das Bundesinnenministerium gegenüber dem Betreiber kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers im Benehmen mit den für den jeweiligen Sektor genannten Bundesministerien sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen kann, wenn der Einsatz die öffentlicher Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt.“
Es gibt immer noch Kritik
Der Branchenfachverband bitkom fand am einige Ungereimtheiten3 , zum Beispiel eine interessante Neuerung zur Definition des begriffes „Managed Service Provides“ (MSP):
ein bestimmter Kundenstamm [ist im neuen Entwurf] keine Voraussetzung für die
Einstufung als MSP […] und beispielsweise auch Unternehmen, die ausschließlich den zentralen IT-Betrieb einer Unternehmensgruppe übernehmen, [fallen jetzt] grundsätzlich unter den Begriff MSP.
Der Verband führt aus: „In mehreren anderen Mitgliedstaaten findet eine derart weitreichende Einbeziehung konzerninterner IT-Dienstleister nicht statt. Eine einheitliche europäische Auslegung ist jedoch essenziell, um Rechtssicherheit und gleiche regulatorische Voraussetzungen zu schaffen.„
Nach Ansicht der internationalen Cybersicherheits-Organisation ISC2 bleibt das Gesetz teilweise hinter den Vorgaben der NIS-2 Richtlinie zurück4.
Sie kommentiert daher:
(…) wir [empfehlen] insbesondere, die folgenden Aspekte im Entwurf zu berücksichtigen:
- den Gesetzesentwurf durch klarere Beschreibungen des Bedarfs an Cybersicherheits-kompetenz und Leitlinien zu den Ausbildungs- und Zertifizierungsanforderungen zu verstärken.
- Aufnahme eines Artikels, der eine spezielle nationale Cybersicherheitsstrategie gemäß Artikel 7 der NIS-2-Richtlinie fordert.
Immer noch unbefriedigend gelöst ist die Frage des Umgangs mit öffentlichen Verwaltungen auf Landesebene, wie zum Beispiel Gemeinden – denn für diese gilt das Bundesgesetz nicht. Es sind also verbesserte Regelungen zur Informationssicherheit auf Landesebene gefragt. Deren aktuelle Ausprägungen decken (entsprechenden Aussagen aus der Landespolitik zum Trotz) Geist und Zweck der NIS-2 überwiegend nur teilweise ab.
Woran lag’s? Fast egal!
Als „Normalo“-Informationssicherheits-Fachmann fragt man sich vielleicht: Warum nur war es so schwer (immerhin hat es drei Jahre gebraucht), eine offensichtlich hilfreiche (weil ziemlich klare und definitiv nützliche) Vorgabe aus Brüssel ganz einfach umzusetzen?
Pluralismus und Föderalismus sind möglicherweise nicht allein der Grund.
Vielleicht sind die Kerne des Problems, dass
- die Informationssicherheit mit ihrem fundamentalen Wert für Wirtschaft und Gesellschaft ihren Platz in den Köpfen mancher Politiker noch nicht gefunden hat. Sie schwadronnieren lieber über „hocheffiziente Verbrenner“ statt dieses fachlich komplexe Thema pragmatisch anzugehen oder
- manche Politiker von der Natur und Systematik hinter dem Problem „Cybersicherheit“ kein besonders fundiertes Verständnis haben – dazu kommt, dass
- leider in obigen zwei Punkten auch Politikerinnen einbezogen werden müssen – dies nur zur Linderung des Gender-Drucks 😉
Wie dem auch sei, die Organisationen in Deutschland werden sich nun mittelfristig mit den neuen Vorgaben auseinandersetzen müssen. Man darf bei aller Kritik auch nicht vergessen, dass sie gegenüber den bisherigen Regelungen ein deutlicher Fortschritt sind:
BSI-Präsidentin Claudia Plattner:
Die Cybersicherheitslage Deutschlands ist angespannt: Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im digitalen Raum verwundbar. Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird dazu führen, dass sich die Resilienz unseres Landes spürbar und messbar verbessert.
- siehe https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/251205_NIS-2-Umsetzungsgesetz_in_Kraft.html ↩︎
- siehe https://www.bundesregierung.de/breg-de/aktuelles/nis-2-richtlinie-deutschland-2373174 ↩︎
- siehe https://www.bundestag.de/resource/blob/1114792/21-4-062-B-Stellungnahme-Felix-Kuhlenkamp-Bitkom-e-V-NIS-2-Richlinie-21-1501.pdf ↩︎
- siehe https://www.bundestag.de/resource/blob/1114818/21-4-064-Stellungnahme-ISC2-NIS-2-Richtlinie-21-1501.pdf ↩︎