Bundeskabinett verabschiedet Entwurf – Bundesverwaltung bleibt ausgenommen – Bitkom-Präsident Wintergerst fordert Nachbesserungen

Die Bundesregierung hat heute den Entwurf für ein Gesetz zur Umsetzung der EU-NIS2-Richtlinie beschlossen. Ziel ist es, die Cybersicherheit kritischer und wichtiger Einrichtungen in Deutschland zu stärken und auf europäischer Ebene einheitlich zu regulieren. Neben der Umsetzung europäischer Vorgaben enthält das Gesetz auch Regelungen zum Informationssicherheitsmanagement in der Bundesverwaltung.

Mit der Verabschiedung reagiert die Bundesregierung auf die europarechtlich verpflichtende Umsetzung der im Januar 2023 in Kraft getretenen NIS2-Richtlinie. Die eigentliche Umsetzungsfrist – Oktober 2024 – hatte Deutschland bereits überschritten. Ein Vertragsverletzungsverfahren der EU-Kommission gegen die Bundesrepublik ist eingeleitet.

Bitkom: Keine nationalen Sonderwege bei der Umsetzung

Der Präsident des Digitalverbands Bitkom, Dr. Ralf Wintergerst, begrüßt den Fortschritt grundsätzlich, mahnt jedoch konkrete Nachbesserungen an. „Die NIS2-Richtlinie kann einen europaweit einheitlichen Rahmen für Cybersicherheit schaffen und die Resilienz gegen Cyberangriffe erhöhen“, so Wintergerst. Entscheidend sei jedoch eine direkte, eins-zu-eins-Umsetzung ohne zusätzliche nationale Anforderungen: „Die Unternehmen benötigen verlässliche und einheitliche Bedingungen innerhalb des EU-Binnenmarkts. Nationale Sonderwege gefährden Planungssicherheit und führen zu Mehraufwand.“

Kritik an Ausnahmen für die Bundesverwaltung

Besonders kritisch sieht Bitkom den Umstand, dass die Bundesverwaltung sich selbst von zentralen Vorgaben der NIS2 ausnimmt. Laut Wintergerst sendet dies ein falsches Signal: „Der Bund und seine Behörden müssen Vorbild sein – insbesondere angesichts der anhaltenden Bedrohungslage durch Cyberangriffe.“ Sicherheitslücken in staatlichen Infrastrukturen seien nicht akzeptabel.

Unklare Zuständigkeiten und Abgrenzungen

Zusätzlichen Klärungsbedarf sieht Bitkom bei der Frage, welche Unternehmen künftig unter die Regelungen fallen. Unpräzise Formulierungen im Gesetzesentwurf führen dazu, dass Organisationen mit gemischten Geschäftsbereichen unsicher bleiben, ob sie unter den Anwendungsbereich der Richtlinie fallen. Auch die fehlende Koordination mit der geplanten Umsetzung der europäischen CER-Richtlinie zur physischen Sicherheit kritischer Einrichtungen wird kritisiert.

Ausblick: Gesetzgebungsverfahren im Herbst

Die Bundesregierung plant, das Gesetz nach der Sommerpause im Bundestag zu beraten. Bitkom fordert eine zügige parlamentarische Behandlung und gezielte Anpassungen im Gesetzestext. „Die Zeit drängt“, betont Wintergerst. „Deutschland darf beim Thema Cybersicherheit nicht erneut ins Hintertreffen geraten.“