Über ein Jahr nachdem die EU-Richtlinie zu NIS 2 in deutsches Recht hätte umgesetzt werden müssen, hat die Bundesregierung am 13.11.2025 den „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungsgesetz) beschlossen.

Zum eigentlichen Gesetzesentwurf (Stand: 08.09.2025) wurden eine Beschlussempfehlung und ein Bericht des Innenausschusses (Drucksache 21/2782, 12.11.2025) veröffentlicht, in dem die Änderungen aufgeführt sind.

Was sind die wesentlichsten Änderungen gegenüber dem letzten Gesetzesentwurf?

Die folgenden Änderungen aus Beschlussempfehlung und Bericht sind für die Praxis besonders relevant:

Im § 16 BSI-Gesetz (BSIG) „Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telekommunikationsdiensten“ entfällt der Schwellenwert von mehr als 100.000 Kunden. Das bedeutet, dass auch TK-Anbieter, die entsprechend weniger Kunden haben, Maßnahmen vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) angeordnet bekommen können.

Die Ausnahmeregelung in § 28 BSIGBesonders wichtige Einrichtungen und wichtige Einrichtungen“, Abs. 5 Satz 4, wurde dahingehend geändert, dass deutlich wird, dass der Betrieb einer Energieanlage nur eine Nebentätigkeit darstellen darf, um u. a. keine Risikomanagementmaßnahmen ergreifen zu müssen.

Der § 29 BSIG „Einrichtung der Bundesverwaltung“ umfasst jetzt die komplette Bundesverwaltung sowie die Geschäftsbereichsbehörden. Somit unterliegen sie alle der Pflicht nach § 30 BSIG „Risikomanagementmaßnahmen“ zu ergreifen.

Bundesverwaltung und Geschäftsbehörden können auch Rechtsverordnungen, wie sie nach § 56 BSIG „Ermächtigung zum Erlass von Rechtsverordnung“ erlassen werden können, unterliegen.

§ 44 BSIG „Vorgaben des Bundesamts“, Abs. 1 und 2, wurden entsprechend der Erweiterung aus § 29 BSIG überarbeitet.

Die erforderlichen Angaben bei § 33 BSIG „Registrierungspflichten“, Abs. 2, sind um den Punkt kritische Komponenten erweitert worden. KRITIS-Betreiber müssen die zum Einsatz kommenden Typen von kritischen Komponenten benennen und nach Abs. 5 auch jede Änderung am zum Einsatz kommenden Typen von kritischen Komponenten übermitteln.

In diesem Zuge ist § 41 BSIG „Untersagung des Einsatzes kritischer Komponenten“ geändert worden. Das Bundesministerium des Innern (BMI) hat, auch in Zusammenarbeit mit weiteren Bundesministerien, im Rahmen der Überarbeitung generell die Befugnis bekommen, den Betreibern kritischer Anlagen den Einsatz kritischer Komponenten zu verbieten.

Was unter diese kritischen Komponenten fällt, kann das BMI nach § 56 BSIG durch eine Rechtsverordnung bestimmen. So wird in Abs. 7 eine kritische Komponente bestimmt als

  1. ein IKT-Produkt,
  2. mit Einsatz in einer kritischen Anlage, und
  3. Realisierung einer kritischen Funktion,
  4. das, wenn eine Störung (Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit) dieser kritischen Komponente vorliegt, negative Folgen für die Funktionsfähigkeit der kritischen Anlage haben könnte.

Die Aufgaben und Befugnisse des Amts des Koordinators für Informationssicherheit wurden in § 48 BSIG in den Abs. 1 bis 6 dargestellt. Der*die Amtsinhaber*in ist dafür zuständig, das operative Informationssicherheitsmanagement auf Bundesebene abzustimmen sowie im Sinne des Gesetze Programme zu Erreichung der Ziele der Informationssicherheit zu erarbeiten.

Neben der Überwachung und Umsetzung der Informationssicherheit in der Bundesverwaltung, unterstützt der*die Amtsinhaber*in das Bundesministerium für Digitales und Staatmodernisierung (BMDS). Zu den Befugnissen gehören weiterhin das halbjährliche Vortragsrecht im Deutschen Bundestag sowie die Beteilung an den entsprechenden thematischen Gesetzesvorhaben.

Bündnis 90/Die Grünen fordert Harmonisierung der KRITIS-Gesetze

Zusätzlich zu dem Gesetzesbeschluss hat das Bündnis 90/Die Grünen einen Antrag mit dem Titel „Deutschland resilient machen – Für einen ganzheitlichen Schutz unserer kritischen Infrastruktur“ gestellt.

Sie fordern von der Bundesregierung eine Harmonisierung der KRITIS-Gesetze; es soll nur noch ein Dachgesetz mit dazugehöriger Rechtsverordnung für Betreiber geben sowie einheitliche IT-Sicherheitsstandards für Bund und Länder, ohne Ausnahmen für Bereiche der öffentlichen Verwaltung. Daraus sollen die Standards der physischen und digitalen Sicherheit eindeutiger hervorgehen und durch klare Festlegung der Zuständigkeiten der Aufsichtsbehörden gerade für KMU Prozesse verschlankt werden (vgl. Website des Bundestages).

Fazit

Die meisten Änderungen gegenüber dem Gesetzesentwurf vom 08.09.2025 betreffen die Bundesverwaltung. So wurde nachgebessert, was die Ausnahmen zahlreicher Einrichtungen der Bundesverwaltung betraf. Dies war ein Kritikpunkt vieler Interessenverbände, wie der Bitkom, die es nun begrüßt, dass gerade sehr sensible Bereiche als Stützpfeiler der Demokratie Risikomanagementmaßnahmen umsetzen müssen (siehe Pressemitteilung der Bitkom).

Ebenfalls wurde Klarheit geschaffen, was die Aufgaben und Verantwortlichkeiten des Amts des Koordinators für Informationssicherheit umfassen. So können die CISO-Tätigkeiten auf Bundesebene dafür sorgen, dass alle Einrichtungen der Bundesverwaltung zielgerichtet auf eine einheitliche Umsetzung entsprechender Cybersicherheitsmaßnahmen hinarbeiten.

Die wesentlichste Änderung für die Unternehmen besteht beim Einsatz kritischer Komponenten, die bereits bei der Registrierung genannt werden müssen und deren Verwendung generell vom BMI untersagt werden können.

Laut Bitkom-Geschäftsführer Dr. Ralf Wintergerst sei dieser Teil der Gesetzesänderung nachteilig für Unternehmen, da das Gesetz nicht entsprechend konkretisiert ist. Somit fehlen verlässliche Rahmenbedingungen für KRITIS-Betreiber, so dass es zu keinen negativen Auswirkungen auf die Geschäftstätigkeit kommt (siehe oben genannte Pressemittelung).

Es bleibt abzuwarten, wie sich das nun verabschiedete NIS-2-Umsetzungsgesetz in der Praxis auf Unternehmen und die Bundesverwaltung auswirken wird. Positiv ist jedenfalls anzumerken, dass mit dem Antrag von Bündnis 90/Die Grünen zur Harmonisierung der KRITIS-Gesetze weiterhin die Thematik im Fokus steht.

| | | , , , , , , , , , ,