NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (Regierungsentwurf vom 25.07.2025) 

1. Ausgangslage, Historie, Zielsetzung

Der Regierungsentwurf setzt die Richtlinie (EU) 2022/2555 (NIS-2) in deutsches Recht um und reformiert zugleich das BSI-Gesetz umfassend. Hintergrund sind wachsende Cyberbedrohungen, verschärft durch geopolitische Lagen (u. a. Russland/Ukraine; Folgen des 7.10.2023), Supply-Chain-Risiken und die hohe volkswirtschaftliche Schadenslast wiederkehrender Angriffe. Der Entwurf ordnet diese Entwicklungen ein und begründet die Notwendigkeit eines unionsweit harmonisierten, hohen Sicherheitsniveaus. Zugleich wird auf die unzureichende Wirksamkeit bisheriger untergesetzlicher Steuerungsinstrumente für die Bundesverwaltung verwiesen (BRH-Befunde). Ziel ist ein kohärenter, verhältnismäßiger Ordnungsrahmen für Wirtschaft und Bundesverwaltung.

Das Gesetz knüpft an IT-SiG 2015 und IT-SiG 2.0 (2021) an, weitet den Anwendungsbereich aber in Umsetzung von NIS-2 erheblich aus und verankert erstmals ein verbindliches Informationssicherheitsmanagement in der Bundesverwaltung.

2. Regelungskonzept und Anwendungsbereich

Kern der Umsetzung ist die Zweiteilung in „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ mit größenbezogenen Schwellen (Beschäftigte, Umsatz/Bilanzsumme) und sektorspezifischer Zuordnung nach Anlagen 1 (besonders wichtig/wichtig) und 2 (wichtig). Betreiber kritischer Anlagen, qualifizierte Vertrauensdienste, DNS/TLD-Stellen sowie Telekommunikationsunternehmen können unabhängig von Größenkriterien erfasst sein.

§ 28 BSIG-E definiert beide Kategorien und enthält Schwellenwerte (u. a. ≥ 250 Beschäftigte bzw. > 50 Mio. € Umsatz + > 43 Mio. € Bilanzsumme für „besonders wichtig“; ≥ 50 Beschäftigte bzw. > 10 Mio. € Umsatz/Bilanzsumme für „wichtig“), wobei für bestimmte Sektoren eine größenunabhängige Erfassung vorgesehen ist. Die Anlagen listen u. a. Energie, Wärme, Kraftstoff, Wasser, Gesundheit, Finanzmarktinfrastrukturen, digitale Infrastrukturen (IXP, Cloud, Rechenzentren, CDN, Vertrauensdienste, Telekommunikation, MSP/MSSP) sowie weitere Produktions- und Entsorgungssektoren.

Für Telekommunikation und Energie enthält § 28 Abs. 5 BSIG-E eine Verknüpfung mit TKG/EnWG, um Doppelregulierung zu vermeiden; ausgenommen bleibt, soweit darüber hinaus weitere kritische Anlagen betrieben oder weitere Einrichtungsarten erfüllt werden.

3. Pflichten der Einrichtungen

3.1 Risikomanagement (§ 30, § 31 BSIG-E)

Einrichtungen müssen ein dem Stand der Technik entsprechendes Risikomanagement für alle zur Diensterbringung genutzten IT-Systeme, -Komponenten und -Prozesse etablieren (Abkehr vom früheren Fokus nur auf „kritis-relevante“ Systeme). Für Betreiber kritischer Anlagen gelten zusätzliche branchenspezifische Anforderungen.

3.2 Melde-, Registrierungs- und Nachweispflichten (§§ 32–36, 39–40 BSIG-E)

Die bisherige einstufige Meldung wird durch ein dreistufiges Melderegime nach NIS-2 ersetzt (Frühwarnung, Folgeberichte, Abschlussbericht). Der Entwurf betont, dass der bürokratische Aufwand dabei minimiert werden soll. Einrichtungen unterliegen der Registrierungspflicht; § 34 ergänzt besondere Registrierungen für bestimmte Einrichtungsarten. Rückmeldungen des BSI, Nachweispflichten für Betreiber kritischer Anlagen und die Rolle der nationalen Verbindungs-/Meldestelle (§ 40) sind konkret geregelt.

3.3 Unternehmensleitungspflichten (§ 38 BSIG-E)

Die Unternehmensleitung hat Umsetzungs-, Überwachungs- und Schulungspflichten; sie trägt Verantwortung für das Cybersicherheits-Risikomanagement und die Einhaltung der Melde-/Registrierungspflichten.

3.4 Untersagung kritischer Komponenten, Auskunftsrechte (§§ 41–42 BSIG-E)

Das BSI kann den Einsatz kritischer Komponenten untersagen; ferner bestehen Auskunftsrechte gegenüber Einrichtungen.

4. Neue und erweiterte Befugnisse des BSI (Auswahl)

Der Entwurf re-kodifiziert und erweitert die BSI-Befugnisse in Teil 2 BSIG-E:

• Zentrale Meldestellen und Koordination: Zentrale Meldestelle für die Bundesverwaltung (§ 4) und allgemeine Meldestelle (§ 5), inkl. koordinierter Offenlegung von Schwachstellen (anonyme Meldungen möglich).

• Informationsaustauschplattform: BSI-betriebene Online-Plattform zum Austausch mit Einrichtungen und ggf. Herstellern/Dienstleistern (§ 6).

• Kontrolle und Betreten: Kontrolle der Kommunikationstechnik des Bundes, umfassende Einsichts- und Betretensrechte, Mitteilungspflichten und Umsetzungsanordnungen; ressort- und verfassungsorganbezogene Ausnahmen sind normiert (§ 7).

• Abwehrbefugnisse & Datenverarbeitung: Automatisierte Auswertung von Protokoll- und Schnittstellendaten zur Angriffserkennung/Abwehr; Speicherung unter strengen Voraussetzungen (max. 18 Monate), Pseudonymisierung, Richtervorbehalt für bestimmte Verwendungen, Benachrichtigungspflichten; Zweckbindung und Kernbereichsschutz (§ 8).

• Bestandsdatenauskunft, Warnungen, Untersuchungen: § 12 (Bestandsdatenauskunft), § 13 (Warnungen), § 14 (Untersuchungen, Auskunftsverlangen), § 15 (Detektion von Angriffsmethoden).

• Anordnungen gegenüber Dritten: Befugnisse gegenüber Telekommunikationsanbietern (§ 16), Anbietern digitaler Dienste (§ 17) und Herstellern von IKT-Produkten (§ 18).

• Bereitstellung von IT-Sicherheitsprodukten für die Bundesverwaltung (§ 19) sowie Ausgestaltung von Zertifizierung/Konformität/IT-Sicherheitskennzeichen (§§ 52–55).

• Datenschutz-Schutzklauseln: Einschränkungen von Betroffenenrechten, soweit zur Gefahrenabwehr erforderlich (§§ 20–27), mit strikten Dokumentations-, Prüf- und Löschpflichten.

5. Aufsicht, Durchsetzung, Sanktionen

Das BSI ist zuständige Aufsichts- und Durchsetzungsbehörde (§ 59), mit unionsrechtlicher Zentralzuständigkeit für bestimmte Einrichtungsarten (§ 60). Die Aufsichtsmaßnahmen gegenüber besonders wichtigen (§ 61) und wichtigen Einrichtungen (§ 62) sowie Verwaltungszwang (§ 63) sind staffelbar.

Das Bußgeldregime (§ 65) folgt NIS-2: bis zu 2 % des weltweiten Jahresumsatzes bei besonders wichtigen Einrichtungen und 1,4 % bei wichtigen Einrichtungen; Doppelahndungen neben DSGVO-Bußgeldern sind ausgeschlossen („ne bis in idem“).

6. Erhoffte Wirkung und ökonomische Einordnung

Der Entwurf beziffert die jährliche Schadensvermeidung – bei unterstellter Halbierung der Schäden in den verpflichteten Unternehmen – auf ca. 3,6 Mrd. € (250 Tsd. € je Unternehmen × 14 500). Diese Schätzung beruht auf Bitkom-Erhebungen zu jährlichen Schäden (2021–2024) und adressiert nur den privaten Sektor; zusätzliche Wirkungen in Verwaltung und Netzinfrastrukturen bleiben unbeziffert.

Dem stehen jährliche Erfüllungsaufwände der Wirtschaft von rund 2,3 Mrd. € sowie einmalig rund 2,2 Mrd. € gegenüber (insb. Einführung/Anpassung digitaler Prozesse). Bürokratiekosten aus Informationspflichten werden im Entwurf uneinheitlich angegeben – teils rund 2,4 Mio. €, teils rund 2,8 Mio. €; die Divergenz ist als redaktioneller Klärungsbedarf zu vermerken.

Für die Bundesverwaltung beziffert der Entwurf einmalige Ausgaben mit rund 59 Mio. € und bis 2029 durchschnittliche laufende jährliche Ausgaben von rund 212 Mio. € (kumuliert 906 Mio. €); Sozialversicherungsträger: rund 16,6 Mio. € p. a..

Kurzfazit ökonomisch: Nach den Regierungsannahmen übersteigt der erwartete Nutzen (Schadensvermeidung) den jährlichen Erfüllungsaufwand der Wirtschaft um ca. 1,3 Mrd. € p. a.; nicht monetarisierte Systemnutzen (Resilienz, Ausfall- und Kaskadenvermeidung, Versorgungs- und Marktvertrauenseffekte) sprechen zusätzlich für einen positiven Nettowirkungssaldo.

7. Bürokratieabbau – Einordnung

Der Entwurf verweist ausdrücklich auf Verhältnismäßigkeit (Differenzierung zwischen „besonders wichtig“ und „wichtig“) und Minimierung des Meldemehraufwands durch das dreistufige, standardisierte Melderegime und die Nutzung bestehender Strukturen. Die Anknüpfung an sektorale Spezialgesetze (TKG/EnWG) soll Doppelprüfungen vermeiden. Gleichwohl ist aufgrund Registrierung, Audit-Nachweisen, Leitungspflichten und ggf. Zertifizierung von einem spürbaren initialen Implementierungsaufwand auszugehen, der erst mittelfristig durch Standardisierung und Lernkurven sinkt.

8. Informationssicherheit in der Bundesverwaltung

Neu ist ein gesetzlich verankertes Informationssicherheitsmanagement für die Bundesverwaltung (§§ 43–48), einschließlich Vorgaben des BSI, Informationssicherheitsbeauftragten in Einrichtungen und Ressorts, Governance für wesentliche Digitalisierungsvorhaben und Amt eines Koordinators für Informationssicherheit (CISO Bund). Für Bundesstellen gelten im Grundsatz die Regeln für „besonders wichtige Einrichtungen“, abweichend flankiert durch spezifische BSI-Befugnisse (§§ 4, 7, 10, 43 Abs. 1/2/4/5).

9. Bewertung und offene Punkte

1. Zielerreichung: Die Kombination aus erweitertem Anwendungsbereich, klaren Leitungspflichten und gestärkten BSI-Befugnissen adressiert die in „Problem und Ziel“ beschriebenen Defizite plausibel. Die intendierte Schadensreduktion ist ökonomisch tragfähig, bleibt aber modellannahmenabhängig.

2. Verhältnis DSGVO/Sicherheitsrecht: Die detaillierten Zweckbindungen, Speicherfristen, Pseudonymisierung und Richtervorbehalte in § 8 schaffen Rechtssicherheit, verlangen in der Praxis aber strikte Protokollierung und Datenschutz-Governance.

3. Bürokratiekosten-Divergenz: Die widersprüchlichen Angaben zu Bürokratiekosten (2,4 Mio. € vs. 2,8 Mio. €) sollten vor Beschlussfassung konsolidiert werden.

4. Branchenschnittstellen: Die Verweisungstechnik zu TKG/EnWG reduziert Doppelregulierung, erfordert aber enges Aufsichts-Koordinat zwischen BSI, BNetzA und Energieregulierung.

Der Regierungsentwurf etabliert einen verhältnismäßig gestuften und unionsrechtlich kohärenten Cybersicherheitsrahmen. Ökonomisch ist – bei Eintreten der angenommene Effekte – ein positiver Nettowirkungssaldo wahrscheinlich. Für die Praxis entscheidend werden die Konkretisierung der Mindestmaßnahmen, effiziente Meldeprozesse und eine aufsichtsbehördliche Koordination sein; das BSI erhält hierfür ein deutlich gestärktes Instrumentarium.