Cybersicherheit: Sachverständigenkritik an NIS-2-Umsetzung

Berlin 14.10.2025   

– An dem von der Bundesregierung vorgelegten Gesetzentwurf zur Umsetzung der NIS-2-Richtline (21/1501) gibt es aus Sicht der zu einer öffentlichen Anhörung des Innenausschusses am Montag geladenen Sachverständigen Nachbesserungsbedarf. Ziel der Regelung ist es laut Bundesregierung, die Widerstandskraft von Staat und Wirtschaft gegen Cyberangriffe „deutlich zu erhöhen“. Die Richtlinie setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Vorgesehen ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen.

Hauptkritikpunkt bei der Anhörung war, dass lediglich Bundesministerien und das Bundeskanzleramt in die Regelung mit einbezogen werden sollen, nicht aber die nachgeordneten Behörden des Bundes und auch nicht die kommunale Ebene. Auch beim Schwachstellenmanagement gebe es Mängel, hieß es.

Ferdinand Gehringer von der Konrad-Adenauer-Stiftung sagte während der Anhörung: Wenn die öffentliche Verwaltung der Länder und Kommunen nicht in den Geltungsbereich des Umsetzungsgesetzes einbezogen werde, blieben zentrale Bereiche staatlicher Handlungsfähigkeit – insbesondere in der Daseinsvorsorge und im Verwaltungsvollzug – ohne verbindliche Cybersicherheitsanforderungen. Diese Ebenen seien jedoch entscheidend für die Aufrechterhaltung grundlegender staatlicher Funktionen.

Laut Gehringer ist es „mehr als erforderlich“, im Interesse einer umfassenden Erhöhung der Sicherheit und Resilienz das NIS-2-Umsetzungsgesetz und das KRITIS-Dachgesetz viel stärker aufeinander abzustimmen und die beiden Umsetzungsprozesse weitergehend zu harmonisieren.

Einen koordinierten Ansatz „mit einheitlicher Abwehrstrategie, gemeinsamen Lagebildern und abgestimmten Standards auf allen Verwaltungsebenen“ forderte Sabine Griebsch, Management Director bei GovThings. Nur so könne ein geschlossenes Schutzschild gegen Cyberangriffe aufgebaut werden.

Griebsch ging auf die Nicht-Einbeziehung von Kommunen in den Anwendungsbereich der NIS-2-Richtlinie ein. Der Verweis auf föderale Zuständigkeiten und die Bemühungen, Überschneidungen zu vermeiden, erschienen zwar auf den ersten Blick pragmatisch. Allerdings überwögen aus ihrer Sicht die Nachteile einer Nicht-Einbeziehung der Kommunen deutlich, da keine Alternativen aufgezeigt würden, wie auf anderem Wege für IT-Sicherheit in Kommunen gesorgt werden soll. So würde die bestehende Fragmentierung der Sicherheitsarchitektur in Deutschland verfestigt.

Sven Herpig, Leiter Cybersecurity Policy and Resilience bei Interface, sagte, der aktuelle Entwurf verzichte weiterhin darauf, den Umgang mit Schwachstellen für IT-Sicherheits-, nachrichtendienstliche oder polizeiliche Zwecke durch die Bundes- und Landesbehörden klar zu regeln. Die diesbezüglichen Änderungen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) trügen daher nur zur Fragmentierung und Rechtsunsicherheit bei, „ohne einen umfassenden Ansatz zur Stärkung der IT-Sicherheit zu leisten“.

Auch Herpig schlug eine nochmalige Prüfung vor, ob eine Ausweitung des Geltungsbereichs auf die Einrichtungen der Länderverwaltungen umsetzbar ist, da seiner Auffassung nach davon die IT-Sicherheit in Deutschland „sehr wahrscheinlich profitieren würde“.

Aus Sicht von Professor Dennis-Kenji Kipker von der Universität Bremen scheitert der Entwurf daran, dass er uneinheitliche, fragmentierte Regelungen schaffe, „die die Informationssicherheit in Teile zwar stärken, in der Fläche jedoch Raum für erhebliche Vulnerabilitäten und Rechtsunsicherheit lassen“. Konkret bemängelte er mit Blick auf die Rolle des BSI, dass die Fragen rund um die Verbesserung seiner Unabhängigkeit bereits seit mehreren Jahren erörtert würden, gleichwohl aber keine nennenswerten Fortschritte ersichtlich seien.

Nach wie vor fehlten zudem klare Regelungen für ein staatliches Schwachstellenmanagement, wie mit gemeldeten Sicherheitsinformationen umgegangen werden soll. Eine gesetzliche Klarstellung zur unverzüglichen Schließung von ermittelten Schwachstellen ist laut Kenji Kipker „nicht nur wünschenswert, sondern dringend geboten“.

Timo Kob von der HiSolutions AG ging auf die „unsägliche Ausnahme der nachgeordneten Behörden“ ein. Er verwies darauf, dass die Ausnahme nicht den Verzicht auf eine Erhöhung der Anforderungen bedeute, sondern ein Absenken der Anforderungen darstelle. „Statt Cybersicherheit zu stärken, schwächt das Gesetz sie sogar“, urteilte Kob. Seit 2017 seien die Ministerien und nachgeordneten Behörden verpflichtet, den IT-Grundschutz umzusetzen. Der Umsetzungsstand nach acht Jahren sei erschütternd, so Kob.

Mit Blick auf das neue Digitalisierungsministerium, sagte er, wenn man nun hoffentlich bei der Digitalisierung vorankommt, aber gleichzeitig bei der Sicherheit stehenbleibt oder gar zurückfällt, sei klar, was passieren werde. „Jede Einsparung an Sicherheit ist de facto eine Sabotage an den Digitalisierungsplänen, weil diese entweder unsicher betrieben werden oder die nötigen Schutzmaßnahmen in den Projekten finanziert und zeitaufwändig umgesetzt werden müssten“, sagte er.

Felix Kuhlenkamp von IT-Branchenverband Bitkom machte deutlich, dass die Wirtschaft schnellstmöglich Rechtssicherheit brauche. Je mehr Zeit Deutschland bei der Umsetzung brauche, desto größer werde die Unsicherheit für betroffene Unternehmen – gerade im Vergleich zu anderen Mitgliedstaaten mit bereits abgeschlossener Umsetzung. Schon jetzt, so Kuhlenkamp, zeigten sich unterschiedliche Anforderungsniveaus in Europa, die grenzüberschreitende Tätigkeiten erschweren. Eine 1:1-Umsetzung der europäischen Vorgaben ohne zusätzliches nationales „Gold-Plating“ sei nicht nur eine Frage der Praktikabilität, sondern auch der Wettbewerbsfähigkeit.

Der aktuelle Entwurf löse viele Herausforderungen jedoch weiterhin nicht, sagte er. Mit ihm werde kein konsistentes Sicherheitsniveau innerhalb der Bundesverwaltung erreicht. Unklar bleibe auch, welche Unternehmen künftig konkret vom Gesetz erfasst werden.

Der Standard, den die nachgeordneten Behörden einhalten sollen, sei zu niedrig, womit die Richtlinie nicht korrekt umgesetzt sei, sagte Professor Meinhard Schröder von der Universität Passau. Es stelle sich zudem die Frage, warum für den öffentlichen Sektor andere Standards gelten sollen als für private Einrichtungen.

Zum Thema Schwachstellenmanagement sagte Schröder, das BSI dürfte laut dem Entwurf scannen, ob bei Einrichtungen bekannte Schwachstellen vorliegen, „was sicher gut ist“. Nicht geregelt sei aber, wie mit Sicherheitslücken umzugehen ist, von denen das BSI oder eine andere Stelle der Bundesverwaltung zufällig erfährt. Hier müsse dafür gesorgt werden, dass solche Meldungen nicht aus Angst vor Strafe unterbleiben. Andererseits müsse im Einklang mit den Vorgaben des Bundesverfassungsgerichts geregelt werden, „wann die Hersteller über Schwachstellen informiert werden müssen und wann der Staat das Wissen für eigene legitime Zwecken nutzen darf“.