Die sicherheitspolitische Lage in Europa und darüber hinaus hat sich in den letzten Jahren deutlich verschärft. Der russische Angriffskrieg auf die Ukraine und der Terrorangriff der Hamas auf Israel zeigen, wie anfällig die Gesellschaft ist – auch im digitalen Raum. Wirtschaft und Verwaltung sehen sich zunehmend Angriffen durch Desinformation, Hacktivismus, Spionage und Sabotage ausgesetzt.

Höhere Anforderungen an Cybersicherheit

Mit einem Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, will die Bundesregierung einheitliche europäische Sicherheitsstandards in deutsches Recht umsetzen. Das Ziel ist es, wichtige Einrichtungen und den europäischen Binnenmarkt zu schützen und deren Abwehrfähigkeit zu stärken. Das Gesetz der Bundesregierung ist am 6. Dezember 2025 in Kraft getreten.

Erweiterte Vorgaben für mehr Sicherheit

Die NIS-2-Richtlinie verpflichtet mehr Unternehmen und Branchen zu einheitlich europäischen Sicherheitsstandards und setzt strengere Sicherheitsanforderungen voraus. Sie sieht zudem umfangreiche Meldepflichten bei Sicherheitsvorfällen vor sowie schärfere Sanktionen bei Verstößen. Außerdem soll die Zusammenarbeit zwischen den EU-Staaten bei der Abwehr von Cyberangriffen verbessert werden.

Zentrale Versorgungsbereiche stärken

Insbesondere Unternehmen, die für die Grundversorgung der Bevölkerung wichtig sind – etwa in den Bereichen Gesundheit, Energie und Infrastruktur – müssen künftig strengere Regeln zur IT-Sicherheit einhalten. Dazu zählen unter anderem klare Meldefristen bei Sicherheitsvorfällen und Maßnahmen zum Schutz ihrer Systeme.

Einheitliche Standards für die Bundesverwaltung

Auch die Behörden der Bundesverwaltung müssen künftig verbindliche IT-Sicherheitsstandards treffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird dabei wesentlich unterstützen. Einrichtungen der Bundesverwaltung müssen künftig unter der Aufsicht des BSI weitreichende Anforderungen zur IT-Sicherheit erfüllen. Die Behörden müssen unter anderem auf Vorfälle fristgerecht reagieren, Meldepflichten einhalten und Maßnahmen entsprechend dem IT-Grundschutz umsetzen.

Mehr Schutz für die Gesellschaft

Mit dem neuen Gesetz wird die digitale Infrastruktur widerstandfähiger. Eine stabile Energieversorgung, funktionierende Kommunikation im Krisenfall und der Schutz persönlicher Daten stärkt nicht nur Unternehmen und Behörden, sondern auch die Menschen, die auf deren Leistungen angewiesen sind.

Änderungen am Gesetzentwurf

Der Deutsche Bundestag hat in seiner zweiten und dritten Lesung noch Änderungen am Gesetzentwurf der Bundesregierung beschlossen. Nachstehend die wichtigsten Änderungen am Gesetzentwurf:

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wird ermöglicht, gegenüber bisher von der Regelung nicht erfassten Anbietern von öffentlich zugänglichen Telekommunikationsdiensten mit 100.000 oder weniger Kunden Anordnungen zur Abwehr erheblicher Gefahren auszusprechen. Ohne diese Erweiterung würden eine Vielzahl von Nutzern, denen über kleinere (etwa regionale) Anbieter Telekommunikationsdienstleistungen zur Verfügung gestellt werden, nicht entsprechend geschützt werden.

Des Weiteren ist unter anderem vorgesehen, dass das Bundesinnenministerium gegenüber dem Betreiber kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers im Benehmen mit den für den jeweiligen Sektor genannten Bundesministerien sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen kann, wenn der Einsatz die öffentlicher Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt.