Quelle: Deutscher Bundestag / Achim Melde
POLITIK:
Kritik an Cybersicherheitsplänen für kritische Infrastruktur
Der Bundestag diskutiert den Gesetzentwurf zur Umsetzung der EU-NIS-2-Richtlinie und das „KRITIS“-Gesetz. Energieverbände sehen darin Risiken für Versorgungssicherheit und Netzausbau.
Der Gesetzentwurf zur Umsetzung der EU-NIS-2-Richtlinie wurde am 11. September im Bundestag in erster Lesung behandelt. Mit
dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) soll die Widerstandsfähigkeit von Staat und Wirtschaft
gegen Cyberangriffe erhöht werden. Laut Regierungsangaben sollen damit strengere Sicherheitsanforderungen, umfangreiche Meldepflichten
bei Sicherheitsvorfällen und schärfere Sanktionen bei Verstößen eingeführt werden. Ziel sei ein „hohes gemeinsames Cybersicherheitsniveau“
in der Europäischen Union.
Der Entwurf sieht vor, den bestehenden Ordnungsrahmen aus IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 auf weitere Unternehmen auszuweiten und neue Einrichtungskategorien einzuführen. Zudem soll ein dreistufiges Meldesystem für Sicherheitsvorfälle etabliert werden. Für die Bundesverwaltung plant die Regierung die Einrichtung eines zentralen Koordinators für Informationssicherheit (CISO Bund). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zusätzliche Befugnisse bei Aufsichtsmaßnahmen erhalten.
Finanziell rechnet die Bundesregierung mit erheblichen Kosten. Für die Bundesverwaltung entstehen laut Entwurf einmalige Ausgaben von rund 59 Millionen Euro und bis 2029 jährliche Kosten von durchschnittlich 212 Millionen Euro. Unternehmen sollen durch die neuen Vorgaben einmalig mit 2,2 Milliarden Euro und dauerhaft mit etwa 2,3 Milliarden Euro pro Jahr belastet werden.
Kritik aus der Wirtschaft
Parallel steht das Kritis-Dachgesetz im Parlament zur Diskussion. Es soll bundesweit einheitliche Regeln für den physischen Schutz kritischer Infrastrukturen schaffen, die in zehn Sektoren wie Energie, Transport, Gesundheit oder Informationstechnik definiert sind. Nur große Einrichtungen, die mehr als 500.000 Menschen versorgen, fallen unter die neuen Vorgaben. Betreiber sollen verpflichtet werden, angemessene Schutzmaßnahmen umzusetzen, Risikoanalysen zu erstellen und Störfälle zu melden. Bei Verstößen sind Bußgelder vorgesehen.
Bundesinnenminister Alexander Dobrindt (CSU) erklärte, mit dem Kritis-Dachgesetz solle Deutschland widerstandsfähiger gegen Krisen und Angriffe werden. Der jüngste Brandanschlag auf ein Stromkabel in Berlin, der zu einem großflächigen Stromausfall führte, habe die Bedeutung von Schutzmaßnahmen verdeutlicht.
Die Energiebranche reagierte kritisch auf die geplanten Regelungen. Der Bundesverband der Energie- und Wasserwirtschaft (BDEW) und der Verband kommunaler Unternehmen (VKU) fordern in einem gemeinsamen Positionspapier eine Überarbeitung von § 41 des geplanten Gesetzes. Die vorgesehene Pflicht zur Anzeige jeder kritischen Komponente beim Innenministerium sei unpraktikabel und führe zu „hunderttausenden Verwaltungsakten ohne Sicherheitsgewinn“, so die Verbände.
Gegenvorschläge der Energieverbände
Stattdessen schlagen sie Blacklists nicht vertrauenswürdiger oder Whitelists vertrauenswürdiger Hersteller vor. Zudem warnen BDEW und VKU vor einem rückwirkenden Verbot bereits eingesetzter Komponenten. Dies könne Investitionen entwerten und Projekte verzögern. Auch ein nationaler Alleingang ohne Abstimmung auf EU-Ebene sei problematisch, da er Wettbewerbsverzerrungen und steigende Energiepreise nach sich ziehen könnte.
„Wir teilen das Ziel, Cybersicherheit zu stärken, aber die aktuellen Verfahren führen zu Rechtsunsicherheit, zusätzlichen Kosten und Engpässen in den Lieferketten“, sagte Kerstin Andreae, Vorsitzende der BDEW-Hauptgeschäftsführung. Ingbert Liebing, Hauptgeschäftsführer des VKU, betonte, kommunale Energieversorger benötigten praktikable Lösungen mit Bestandsschutz und europäischer Harmonisierung. „Nur so lässt sich Sicherheit mit Wirtschaftlichkeit und Versorgungssicherheit in Einklang bringen“, erklärte er.
Auch der Verband Deutscher Maschinen- und Anlagenbau (VDMA) sieht Handlungsbedarf. „Cybersicherheit ist nationale Sicherheit: Ein Angriff auf das Energiesystem könnte nicht nur einzelne Anlagen, sondern ganze Netzbereiche destabilisieren“, sagte Dennis Rendschmidt, Geschäftsführer von VDMA Power Systems. Der Verband fordert eine schnelle Verabschiedung des Gesetzes, aber zugleich klare Regeln für digitale Zugriffe durch Dritte.
Das gemeinsame KRITIS-Positionspapier von VKU und BDEW steht im Internet bereit.
Der Entwurf sieht vor, den bestehenden Ordnungsrahmen aus IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 auf weitere Unternehmen auszuweiten und neue Einrichtungskategorien einzuführen. Zudem soll ein dreistufiges Meldesystem für Sicherheitsvorfälle etabliert werden. Für die Bundesverwaltung plant die Regierung die Einrichtung eines zentralen Koordinators für Informationssicherheit (CISO Bund). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zusätzliche Befugnisse bei Aufsichtsmaßnahmen erhalten.
Finanziell rechnet die Bundesregierung mit erheblichen Kosten. Für die Bundesverwaltung entstehen laut Entwurf einmalige Ausgaben von rund 59 Millionen Euro und bis 2029 jährliche Kosten von durchschnittlich 212 Millionen Euro. Unternehmen sollen durch die neuen Vorgaben einmalig mit 2,2 Milliarden Euro und dauerhaft mit etwa 2,3 Milliarden Euro pro Jahr belastet werden.
Kritik aus der Wirtschaft
Parallel steht das Kritis-Dachgesetz im Parlament zur Diskussion. Es soll bundesweit einheitliche Regeln für den physischen Schutz kritischer Infrastrukturen schaffen, die in zehn Sektoren wie Energie, Transport, Gesundheit oder Informationstechnik definiert sind. Nur große Einrichtungen, die mehr als 500.000 Menschen versorgen, fallen unter die neuen Vorgaben. Betreiber sollen verpflichtet werden, angemessene Schutzmaßnahmen umzusetzen, Risikoanalysen zu erstellen und Störfälle zu melden. Bei Verstößen sind Bußgelder vorgesehen.
Bundesinnenminister Alexander Dobrindt (CSU) erklärte, mit dem Kritis-Dachgesetz solle Deutschland widerstandsfähiger gegen Krisen und Angriffe werden. Der jüngste Brandanschlag auf ein Stromkabel in Berlin, der zu einem großflächigen Stromausfall führte, habe die Bedeutung von Schutzmaßnahmen verdeutlicht.
Die Energiebranche reagierte kritisch auf die geplanten Regelungen. Der Bundesverband der Energie- und Wasserwirtschaft (BDEW) und der Verband kommunaler Unternehmen (VKU) fordern in einem gemeinsamen Positionspapier eine Überarbeitung von § 41 des geplanten Gesetzes. Die vorgesehene Pflicht zur Anzeige jeder kritischen Komponente beim Innenministerium sei unpraktikabel und führe zu „hunderttausenden Verwaltungsakten ohne Sicherheitsgewinn“, so die Verbände.
Gegenvorschläge der Energieverbände
Stattdessen schlagen sie Blacklists nicht vertrauenswürdiger oder Whitelists vertrauenswürdiger Hersteller vor. Zudem warnen BDEW und VKU vor einem rückwirkenden Verbot bereits eingesetzter Komponenten. Dies könne Investitionen entwerten und Projekte verzögern. Auch ein nationaler Alleingang ohne Abstimmung auf EU-Ebene sei problematisch, da er Wettbewerbsverzerrungen und steigende Energiepreise nach sich ziehen könnte.
„Wir teilen das Ziel, Cybersicherheit zu stärken, aber die aktuellen Verfahren führen zu Rechtsunsicherheit, zusätzlichen Kosten und Engpässen in den Lieferketten“, sagte Kerstin Andreae, Vorsitzende der BDEW-Hauptgeschäftsführung. Ingbert Liebing, Hauptgeschäftsführer des VKU, betonte, kommunale Energieversorger benötigten praktikable Lösungen mit Bestandsschutz und europäischer Harmonisierung. „Nur so lässt sich Sicherheit mit Wirtschaftlichkeit und Versorgungssicherheit in Einklang bringen“, erklärte er.
Auch der Verband Deutscher Maschinen- und Anlagenbau (VDMA) sieht Handlungsbedarf. „Cybersicherheit ist nationale Sicherheit: Ein Angriff auf das Energiesystem könnte nicht nur einzelne Anlagen, sondern ganze Netzbereiche destabilisieren“, sagte Dennis Rendschmidt, Geschäftsführer von VDMA Power Systems. Der Verband fordert eine schnelle Verabschiedung des Gesetzes, aber zugleich klare Regeln für digitale Zugriffe durch Dritte.
Das gemeinsame KRITIS-Positionspapier von VKU und BDEW steht im Internet bereit.
© 2025 Energie & Management GmbH
Donnerstag, 11.09.2025, 15:30 Uhr
Donnerstag, 11.09.2025, 15:30 Uhr
teilen
teilen
teilen
teilen
Mehr zum Thema
Deutschland ist vorbildlich bei Cybersicherheit im intelligenten Messwesen
