Quelle: Shutterstock / solarseven
IT:
Wirtschaftsverbände begrüßen NIS-2-Gesetz unter Vorbehalten
Das Bundeskabinett hat das NIS-2-Umsetzungsgesetz beschlossen. BEE, BDEW und BREKO begrüßen das Vorhaben, kritisieren aber konkrete Regelungen und fordern Nachbesserungen.
Die Bundesregierung hat am 30. Juli 2025 den Entwurf zur Umsetzung der europäischen NIS-2-Richtlinie verabschiedet. Ziel des
Gesetzes ist es, die Cybersicherheit in kritischen Infrastrukturen und der Wirtschaft zu stärken. Wirtschaftsverbände wie
der Bundesverband Erneuerbare Energie (BEE), der Bundesverband der Energie- und Wasserwirtschaft (BDEW) und der Bundesverband
Breitbandkommunikation (BREKO) unterstützen das Vorhaben grundsätzlich. In ihren Stellungnahmen fordern sie jedoch Nachbesserungen
bei der Ausgestaltung einzelner Regelungen.
Mit dem sogenannten NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) setzt Deutschland die EU-Richtlinie zur Netz- und Informationssicherheit um. Der Entwurf erweitert den Kreis betroffener Einrichtungen auf rund 29.500 Organisationen, darunter auch viele mittelständische Unternehmen. Neu geregelt werden Meldepflichten, Risikomanagementmaßnahmen sowie Verantwortlichkeiten der Geschäftsführung. Zuständig für die Umsetzung ist das Bundesamt für Sicherheit in der Informationstechnik (BSI), das laut dem Gesetzentwurf eine zentrale Rolle bei der Überwachung und Beratung übernehmen soll.
BDEW warnt vor Überlastung beim Prüfverfahren
„Der Regierungsentwurf knüpft an die guten Erfahrungen mit den IT-Sicherheitskatalogen an“, erklärte Kerstin Andreae, Vorsitzende der BDEW-Hauptgeschäftsführung. Sie warnt jedoch vor möglichen Engpässen bei der Prüfung sogenannter kritischer Komponenten. Nach dem Entwurf sollen Betreiber kritischer Infrastrukturen melden, wenn sie IT-Komponenten von Herstellern einsetzen, die als nicht vertrauenswürdig gelten könnten – etwa aus sicherheitspolitisch sensiblen Herkunftsstaaten.
Andreae sieht darin ein legitimes Ziel, warnt aber vor einer Überlastung des Verfahrens. Bei vierstelligen Meldezahlen pro Jahr sei zu befürchten, dass Projekte zur Energiewende oder zum Netzausbau ins Stocken geraten. Der BDEW schlägt stattdessen eine Ausschlussliste mit nicht vertrauenswürdigen Herstellern vor. Anbieter mit Sitz in der EU sollten pauschal als vertrauenswürdig gelten.
BEE fordert differenzierte Anforderungen für KMU
Der BEE sieht in dem Entwurf einen wichtigen Schritt zur Stärkung der IT-Sicherheit in der Wirtschaft. BEE-Präsidentin Simone Peter lobt die zentrale Rolle der Bundesnetzagentur als zuständige Behörde für Cybersicherheitsmaßnahmen im Energiesektor. Auch verpflichtende Risikomaßnahmen für kritische Anlagen und gemeinsame Informationsmanagementsysteme in Unternehmensverbünden bewertet der Verband positiv.
Kritisch sieht der BEE jedoch die praktische Umsetzbarkeit für kleinere Betreiber. Der Verband fordert eine stärkere Differenzierung der Anforderungen nach Unternehmensgröße sowie präzisere Definitionen der betroffenen IT-Systeme. Zudem müsse die Rolle der Behörden bei der Einstufung betroffener Unternehmen klarer gefasst werden. Andernfalls drohten insbesondere kleine und mittelständische Unternehmen, überfordert zu werden.
BREKO sieht Risiken für Glasfasernetze
Der BREKO unterstreicht, dass Telekommunikationsunternehmen bereits umfangreich in Netz- und IT-Sicherheit investierten. Geschäftsführer Stephan Albers
kritisiert am Gesetzentwurf die Ausweitung der Untersagungsmöglichkeit für sogenannte kritische Komponenten auch auf Glasfasernetze. Dies könne zu rechtlicher Unsicherheit und vermeidbaren bürokratischen Belastungen führen. Der BREKO fordert eine Überarbeitung dieser Regelung, um wirtschaftliche Risiken zu minimieren und laufende Investitionen in den Netzausbau nicht zu gefährden. Ob der Gesetzentwurf die Bedenken der Verbände im parlamentarischen Verfahren noch aufnimmt, bleibt offen.
BSI erhält zentrale Rolle
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird mit dem neuen Gesetz zur zentralen Aufsichtsbehörde für IT-Sicherheit in Deutschland ausgebaut. Nach Angaben des BSI wird sich der Kreis der regulierten Einrichtungen von derzeit rund 4.500 auf 29.500 vergrößern. Dazu zählen künftig auch viele Unternehmen außerhalb der klassischen kritischen Infrastrukturen. Für sie gelten neue Pflichten wie Registrierung, Meldung erheblicher Sicherheitsvorfälle sowie Umsetzung technischer und organisatorischer Maßnahmen – etwa Risikobewertungen, Sicherheitskonzepte oder Maßnahmen zur Absicherung der Lieferkette.
BSI-Präsidentin Claudia Plattner erklärte: „Mit dem heutigen Regierungsentwurf geht Deutschland einen wichtigen Schritt in Richtung einer resilienten Cybernation.“ Besonders betonte sie die Verantwortung der Geschäftsführungen. Um vom Gesetz betroffene Einrichtungen zu unterstützen, stellt das BSI Informationen und eine interaktive Prüfung zur Betroffenheit auf seiner Website bereit.
Die BEE-Stellungnahme zum NIS2-Gesetzentwurf steht im Internet bereit.
Mit dem sogenannten NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) setzt Deutschland die EU-Richtlinie zur Netz- und Informationssicherheit um. Der Entwurf erweitert den Kreis betroffener Einrichtungen auf rund 29.500 Organisationen, darunter auch viele mittelständische Unternehmen. Neu geregelt werden Meldepflichten, Risikomanagementmaßnahmen sowie Verantwortlichkeiten der Geschäftsführung. Zuständig für die Umsetzung ist das Bundesamt für Sicherheit in der Informationstechnik (BSI), das laut dem Gesetzentwurf eine zentrale Rolle bei der Überwachung und Beratung übernehmen soll.
BDEW warnt vor Überlastung beim Prüfverfahren
„Der Regierungsentwurf knüpft an die guten Erfahrungen mit den IT-Sicherheitskatalogen an“, erklärte Kerstin Andreae, Vorsitzende der BDEW-Hauptgeschäftsführung. Sie warnt jedoch vor möglichen Engpässen bei der Prüfung sogenannter kritischer Komponenten. Nach dem Entwurf sollen Betreiber kritischer Infrastrukturen melden, wenn sie IT-Komponenten von Herstellern einsetzen, die als nicht vertrauenswürdig gelten könnten – etwa aus sicherheitspolitisch sensiblen Herkunftsstaaten.
Andreae sieht darin ein legitimes Ziel, warnt aber vor einer Überlastung des Verfahrens. Bei vierstelligen Meldezahlen pro Jahr sei zu befürchten, dass Projekte zur Energiewende oder zum Netzausbau ins Stocken geraten. Der BDEW schlägt stattdessen eine Ausschlussliste mit nicht vertrauenswürdigen Herstellern vor. Anbieter mit Sitz in der EU sollten pauschal als vertrauenswürdig gelten.
BEE fordert differenzierte Anforderungen für KMU
Der BEE sieht in dem Entwurf einen wichtigen Schritt zur Stärkung der IT-Sicherheit in der Wirtschaft. BEE-Präsidentin Simone Peter lobt die zentrale Rolle der Bundesnetzagentur als zuständige Behörde für Cybersicherheitsmaßnahmen im Energiesektor. Auch verpflichtende Risikomaßnahmen für kritische Anlagen und gemeinsame Informationsmanagementsysteme in Unternehmensverbünden bewertet der Verband positiv.
Kritisch sieht der BEE jedoch die praktische Umsetzbarkeit für kleinere Betreiber. Der Verband fordert eine stärkere Differenzierung der Anforderungen nach Unternehmensgröße sowie präzisere Definitionen der betroffenen IT-Systeme. Zudem müsse die Rolle der Behörden bei der Einstufung betroffener Unternehmen klarer gefasst werden. Andernfalls drohten insbesondere kleine und mittelständische Unternehmen, überfordert zu werden.
BREKO sieht Risiken für Glasfasernetze
Der BREKO unterstreicht, dass Telekommunikationsunternehmen bereits umfangreich in Netz- und IT-Sicherheit investierten. Geschäftsführer Stephan Albers
kritisiert am Gesetzentwurf die Ausweitung der Untersagungsmöglichkeit für sogenannte kritische Komponenten auch auf Glasfasernetze. Dies könne zu rechtlicher Unsicherheit und vermeidbaren bürokratischen Belastungen führen. Der BREKO fordert eine Überarbeitung dieser Regelung, um wirtschaftliche Risiken zu minimieren und laufende Investitionen in den Netzausbau nicht zu gefährden. Ob der Gesetzentwurf die Bedenken der Verbände im parlamentarischen Verfahren noch aufnimmt, bleibt offen.
BSI erhält zentrale Rolle
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird mit dem neuen Gesetz zur zentralen Aufsichtsbehörde für IT-Sicherheit in Deutschland ausgebaut. Nach Angaben des BSI wird sich der Kreis der regulierten Einrichtungen von derzeit rund 4.500 auf 29.500 vergrößern. Dazu zählen künftig auch viele Unternehmen außerhalb der klassischen kritischen Infrastrukturen. Für sie gelten neue Pflichten wie Registrierung, Meldung erheblicher Sicherheitsvorfälle sowie Umsetzung technischer und organisatorischer Maßnahmen – etwa Risikobewertungen, Sicherheitskonzepte oder Maßnahmen zur Absicherung der Lieferkette.
BSI-Präsidentin Claudia Plattner erklärte: „Mit dem heutigen Regierungsentwurf geht Deutschland einen wichtigen Schritt in Richtung einer resilienten Cybernation.“ Besonders betonte sie die Verantwortung der Geschäftsführungen. Um vom Gesetz betroffene Einrichtungen zu unterstützen, stellt das BSI Informationen und eine interaktive Prüfung zur Betroffenheit auf seiner Website bereit.
Die BEE-Stellungnahme zum NIS2-Gesetzentwurf steht im Internet bereit.
© 2025 Energie & Management GmbH
Mittwoch, 30.07.2025, 14:58 Uhr
Mittwoch, 30.07.2025, 14:58 Uhr
teilen
teilen
teilen
teilen
Mehr zum Thema
Grünes Licht für Erdgasförderung vor Borkum
