Im Blickpunkt

An dem von der Bundesregierung vorgelegten Gesetzentwurf zur Umsetzung der NIS-2-RL (21/1501) gibt es aus Sicht der zu einer öffentlichen Anhörung des Innenausschusses am 13.10.2025 geladenen Sachverständigen Nachbesserungsbedarf (vgl. hib – heute im bundestag Nr. 507 vom 14.10.2025). Ziel der Regelung sei es laut Bundesregierung, die Widerstandskraft von Staat und Wirtschaft gegen Cyberangriffe “deutlich zu erhöhen”. Die Richtlinie setze u. a. strengere Sicherheitsanforderungen voraus, sehe umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Vorgesehen sei die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union “ein hohes gemeinsames Cybersicherheitsniveau” sicherzustellen. Hauptkritikpunkt bei der Anhörung war, dass lediglich Bundesministerien und das Bundeskanzleramt in die Regelung mit einbezogen werden sollen, nicht aber die nachgeordneten Behörden des Bundes und auch nicht die kommunale Ebene. Auch beim Schwachstellenmanagement gebe es Mängel, hieß es. U. a. wurde weiter Folgendes kritisiert: Aus Sicht von Prof. Dennis-Kenji Kipker, Universität Bremen, scheitere der Entwurf daran, dass er uneinheitliche, fragmentierte Regelungen schaffe, “die die Informationssicherheit in Teilen zwar stärken, in der Fläche jedoch Raum für erhebliche Vulnerabilitäten und Rechtsunsicherheit lassen”. Konkret bemängelte er mit Blick auf die Rolle des BSI, dass die Fragen rund um die Verbesserung seiner Unabhängigkeit bereits seit mehreren Jahren erörtert würden, gleichwohl aber keine nennenswerten Fortschritte ersichtlich seien. Nach wie vor fehlten zudem klare Regelungen für ein staatliches Schwachstellenmanagement, wie mit gemeldeten Sicherheitsinformationen umgegangen werden soll. Eine gesetzliche Klarstellung zur unverzüglichen Schließung von ermittelten Schwachstellen ist laut Kenji Kipker “nicht nur wünschenswert, sondern dringend geboten”. Felix Kuhlenkamp, IT-Branchenverband Bitkom, machte deutlich, dass die Wirtschaft schnellstmöglich Rechtssicherheit brauche. Je mehr Zeit Deutschland bei der Umsetzung brauche, desto größer werde die Unsicherheit für betroffene Unternehmen – gerade im Vergleich zu anderen Mitgliedstaaten mit bereits abgeschlossener Umsetzung. Schon jetzt, so Kuhlenkamp, zeigten sich unterschiedliche Anforderungsniveaus in Europa, die grenzüberschreitende Tätigkeiten erschweren. Eine 1:1-Umsetzung der europäischen Vorgaben ohne zusätzliches nationales “Gold-Plating” sei nicht nur eine Frage der Praktikabilität, sondern auch der Wettbewerbsfähigkeit. Der aktuelle Entwurf löse viele Herausforderungen jedoch weiterhin nicht, sagte er. Mit ihm werde kein konsistentes Sicherheitsniveau innerhalb der Bundesverwaltung erreicht. Unklar bleibe auch, welche Unternehmen künftig konkret vom Gesetz erfasst werden. Vgl. zum Thema auch Schreiber, Die Erste Seite, BB Heft 39/2025.
Uta Wichering, Ressortleiterin Wirtschaftsrecht