Das Bundesinnenministerium arbeitet an der Umsetzung der NIS-2-Richtlinie. Ein geleakter Referentenentwurf vom 26. Mai zeigt, wohin die Reise geht. Der Text ähnelt dem früheren Regierungsentwurf unter der Ampel. Inhaltliche Änderungen gibt es vor allem bei Zuständigkeiten, Ressourcen und Mitspracherechten.
IT-Grundschutz wird Pflicht für die gesamte Bundesverwaltung
Der Entwurf verpflichtet erstmals die gesamte Bundesverwaltung zur Umsetzung des BSI IT-Grundschutzes. Bisher galt das nur für Kanzleramt und Bundesministerien. Hintergrund ist eine neue Haushaltsregel: Cybersicherheitsinvestitionen dürfen von der Schuldenbremse ausgenommen werden. Damit stehen deutlich mehr Mittel zur Verfügung.
Deutlich höhere Kosten und mehr Stellen durch NIS-2
Das BMI schätzt den jährlichen Erfüllungsaufwand nun auf 334 Millionen Euro. Das sind 123 Millionen mehr als in der letzten Legislatur. Auch die Zahl der notwendigen Stellen steigt massiv: Statt 395 sollen jetzt 1190 neue Stellen entstehen. Neben Verwaltungspersonal ist auch externe Beratung eingeplant.
Verortung des Bundes-CISO bleibt offen
Der Entwurf nennt zwar das Amt, lässt aber offen, wo es organisatorisch angesiedelt wird. Unter SPD und Grünen war die Position bei der BSI-Präsidentin vorgesehen. Diese Entscheidung wird nun offenkundig vertagt.
Mehr Beteiligung von Wirtschaft und BSI bei der Umsetzung von NIS-2
Verbände sollen künftig bei Verordnungen mitsprechen. Auch das BSI erhält mehr Einfluss. Wenn die Bundesnetzagentur IT-Sicherheitskataloge für Energieunternehmen ändert, ist künftig die Zustimmung des BSI erforderlich. Bisher reichte eine Information aus. Fachleute begrüßen diese Änderung, weil sie IT-Sicherheit stärker gewichtet.
Neue Pflichten für digitale Energiedienste
Ein neuer Absatz im Energiewirtschaftsgesetz nimmt Betreiber digitaler Energiedienste in die Pflicht. Wer zentrale oder dezentrale Energieanlagen digital steuert, muss seine IT-Systeme wirksam gegen Angriffe schützen. Die Anforderungen an Technik und Beschaffung sollen künftig von BSI und Bundesnetzagentur gemeinsam vorgegeben werden.
Sozialversicherung und Grundsicherung als kritische Anlagen
Der Entwurf ändert auch die BSI-Kritisverordnung. Sozialversicherungsträger und die IT-Systeme der Bundesagentur für Arbeit gelten nun als kritische Anlagen. Damit fallen sie unter besondere Sicherheitsanforderungen. Gleichzeitig werden alle Verweise auf das Kritis-Dachgesetz gestrichen. Eine inhaltliche Verknüpfung der beiden Gesetze scheint nicht mehr vorgesehen.
Zweifel an Umsetzung und Effektivität von NIS-2
Ob die neuen Regelungen greifen, ist offen. Fachleute bezweifeln, dass die nötigen Stellen zeitnah besetzt werden. Die Mängel in den Aufsichtsbehörden bestehen weiter. Auch inhaltlich bleibt der Entwurf hinter Erwartungen zurück. Kritik gibt es vor allem an der Regulierungsschwelle und unklaren Definitionen.
Fazit zum neuen NIS-2-Entwurf
Der Entwurf zeigt den politischen Willen zur Umsetzung. Doch neue Strukturen allein reichen nicht. Ohne personelle Verstärkung und klare Regeln bleibt die praktische Wirkung begrenzt.
weiterführende Links:
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
BSI – NIS-2 – was tun?
BSI – NIS-2-regulierte Unternehmen
NIS2-Umsetzung: Kommt das neue BSI-Gesetz jetzt im Eiltempo?
Allianz Risk Barometer 2025: Cybercrime größtes Risiko für Firmen – Lanzrath CyberSec
Die Lage der IT-Sicherheit in Deutschland 2024 – Lanzrath CyberSec
Aktueller Stand der NIS2-Umsetzung in Deutschland – Lanzrath CyberSec
NIS2 & Cybersecurity: Warum Sicherheit kein Luxus sein darf – Lanzrath CyberSec
Bild: DALL·E 3 | OpenAI