NIS-2-Umsetzungsgesetz: Kritik am Gesetzentwurf wächst

Am 11.9.2025 hat der sich der Bundestag in erster Lesung mit dem NIS-2-Umsetzungs- und Cybersicherheitsgesetz befasst und das Vorhaben an den federführenden Innenausschuss und die weiteren Ausschüsse überwiesen. Die erste Debatte zeigt: Der Gesetzentwurf ist längst „noch nicht rund“.

🧐 Hintergrund

Cyberattacken auf IT-Systeme öffentlicher Einrichtungen und privater Unternehmen nehmen immer mehr zu, die wirtschaftlichen Schadensfolgen durch den Ausfall dieser Systeme sind gewaltig. Die EU-Kommission hat das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäischen Volkswirtschaften identifiziert. Die erforderlichen Investitionen in IT-Sicherheitssysteme werden deshalb immer umfänglicher und kostspieliger, sie erfolgen aber bislang freiwillig und ohne staatliche Vorgaben. Das soll sich nun ändern. Ich hatte hierzu bereits in meinem Beitrag „Schutz vor Cyberangriffen: Bundeskabinett beschließt Gesetz zur Stärkung der Cybersicherheit“ berichtet.

Nach dem Kabinettsbeschluss vom 30.7.2025 zur Umsetzung des NIS-2- Umsetzungs- und Cybersicherheitsgesetzes ist dieses am 11.9.2025 erstmals im Bundestag beraten und an die BT-Ausschüsse überwiesen.

🏛️ Worum geht es in dem Gesetzentwurf?

Den unionsrechtlichen Vorgaben entsprechend soll der mit dem aktuell geltenden IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert werden. Zusätzlich sollen entsprechende Vorgaben für die Bundesverwaltung eingeführt werden. Der Entwurf sieht vor, dass der Anwendungsbereich ausgeweitet und neue Einrichtungskategorien eingeführt werden. Zudem soll die bislang einstufige Meldepflicht bei Sicherheitsvorfällen durch ein dreistufiges Melderegime ersetzt werden. Das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll im Hinblick auf Aufsichtsmaßnahmen erweitert werden. Darüber hinaus soll in der Bundesverwaltung ein zentraler Koordinator (CISO Bund) für Maßnahmen zur Informationssicherheit in deren Einrichtungen etabliert werden.

Zu den „Besonders wichtige Einrichtungen“ (§ 28 Abs. 1 Gesetzentwurf) zählen Unternehmen mit mehr als 249 Beschäftigten oder mindestens 50 Mio. Euro Umsatz und einer Jahresbilanzsumme von über 43 Mio. Euro. Zu den „Wichtigen Einrichtungen“ (§ 28 Abs. 2 Gesetzentwurf) zählen Unternehmen mit mehr als 49 Beschäftigten oder mehr als 10 Mio. Euro Umsatz.

ERSTE BEWERTUNG

Welche Schwachstellen hat der Gesetzentwurf?

Ein erster Blick auf den Gesetzentwurf zeigt: Der Gesetzgeber will EU-Recht nicht einfach nur umsetzen, sondern macht es mit eigenen Vorgaben noch komplexer: So sollen neue Begrifflichkeiten eingeführt werden, durch die sich der Kreis der betroffenen Unternehmen noch erweitert. Wenn nach dem Entwurf Unternehmen mit mehr als 49 Beschäftigten „oder“ mehr als 10 Mio. Euro Umsatz haben, geht das über die EU-Vorgaben hinaus, die eine „Und“-Regelung vorsehen. Dies ist deshalb erstaunlich, weil die Bundesregierung selbst noch im Koalitionsvertrag 2025 angekündigt hat, bei der Umsetzung von EU-Recht künftig auf das sog. Gold-Plating zu verzichten, also nicht mehr vorzugeben als das EU-Recht verlangt.

Wenig verständlich ist auch die Beschränkung der künftigen Vorgaben innerhalb der Bundesverwaltung. Auch die nachgeordneten Behörden der öffentlichen Verwaltung sollten in einem Atemzug Aufnahme in den Bereich der „kritischen Infrastruktur“ finden.

Schon in ersten Stellungnahmen haben selbst Abgeordnete der Regierungsfraktionen einen Verbesserungsbedarf konstatiert und festgestellt, dass Entwurf ein Anfang sei, „aber noch nicht rund“. Deswegen spricht vieles dafür, dass der Gesetzentwurf in der weiteren parlamentarischen Beratung noch Verbesserungen vor allem für die betroffenen Unternehmen erfährt.

Das ist auch aus Kostengründen dringend erforderlich: Der aktuelle Gesetzentwurf beschreibt, dass auf die Unternehmen einmalige Kosten in Höhe von 2,2 Mrd. Euro, ferner ein jährlicher Erfüllungsaufwand von 2,3 Mrd. Euro zukommt – eine (zu) gewaltige Belastung!

Weitere Informationen: