Termine Mediadaten Abo Über uns Newsletter
Dossiers

KRITIS-Dachgesetz und NIS2-Richtlinie: mehr Schutz, mehr Bürokratie

23. September 2025 09:22:00

Mit zwei Gesetzesvorhaben will der Bund EU-Richtlinien für mehr Infrastruktur-Sicherheit umsetzen. Damit soll der Schutz von IT-Systemen und wichtigen Einrichtungen verbessert werden. Doch es gibt auch Kritik an der Regulierung.

von Carl-Friedrich Höck
0 Kommentare
Kabel stecken an einem Server
©

Inga Kjer / Photothek

Kabel eines Servers in einem Berliner Rechenzentrum: Mit der NIS-2-Richtlinie soll wichtige Informationstechnik besser geschützt werden.

Behörden und Stadtwerke müssen auf der Hut sein, warnt das Bundesinnenministerium (BMI). Das Haus von Minister Alexander Dobrindt (CSU) berichtete in einer Mitteilung Ende Juli: „Wirtschaft und Verwaltung sehen sich zunehmend Angriffen durch Des­information, Hacktivismus, Spionage und Sabotage ausgesetzt.“ 

Gesetz für mehr Cybersicherheit

Anlass für die Mitteilung: Das Bundeskabinett hat ein Gesetz zur Stärkung der Cybersicherheit auf den Weg gebracht. Es betrifft Behörden, aber auch rund 29.500 Unternehmen, beispielsweise aus den Bereichen Energie, Gesundheit, Transport oder digitale Dienste. Sie sollen künftig zentrale Schutzmaßnahmen ergreifen. Dazu zählen etwa Risikoanalysen, Notfallpläne, Backup-Konzepte und Verschlüsselungslösungen. Außerdem müssen sie Cyberangriffe in einem gestuften Verfahren melden: Innerhalb von 24 Stunden soll eine kurze Erstmeldung erfolgen, nach 72 Stunden muss ein Zwischenbericht vorgelegt werden und innerhalb eines Monats ein Abschlussbericht. Wer gegen die Vorgaben verstößt, dem drohen künftig Bußgelder. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält mehr Befugnisse. Es soll die Einhaltung der neuen Standards überwachen und die Unternehmen „gezielter ­begleiten“, wie es das BMI ausdrückt.

Mit dem Cybersicherheits-Gesetz will die schwarz-rote Koalition eine EU-Richtlinie aus dem Jahr 2022 in nationales Recht umsetzen. Sie verschärft die bisherigen Schutzvorgaben für Netzwerk- und Informationssysteme und ist in der Fachwelt als NIS2-Richtlinie bekannt. Ein Ziel ist es, Informationen über Cyberbedrohungen europaweit auszutauschen, um auf Vorfälle besser reagieren zu können. Mit der neuen Richtlinie werden auch zusätzliche Sektoren in den Blick genommen: Neben den klassischen Bereichen der kritischen Infrastruktur wie Energie, Verkehr, Gesundheitswesen oder Wasserwirtschaft werden nun zum Beispiel auch die Abfall- und Abwasserwirtschaft zu mehr Vorsicht verpflichtet, außerdem die öffentliche Verwaltung auf zentraler und regionaler Ebene.

KRITIS-Dachgesetz kommt

Während NIS2 auf die digitale Sicherheit abzielt, soll ein weiteres Gesetz den physischen Schutz kritischer Infrastrukturen verbessern: das KRITIS-Dachgesetz. Auch dieses basiert auf EU-Vorgaben (CER-Richtlinie). Ein Gesetzentwurf befand sich in der vergangenen Wahl­periode schon im parlamentarischen Verfahren, als die Neuwahl ihn ausbremste. Damit sollte erstmals bundesweit festgelegt werden, welche Unternehmen und Einrichtungen Teil der kritischen Infrastruktur sind. Der Entwurf sah zudem Mindeststandards für den physischen Schutz der kritischen Infrastrukturen vor. 

Das BMI plant nun einen neuen Anlauf. „Unternehmen sollen ihre wichtigen Dienstleistungen auch im Ernstfall zuverlässig aufrechterhalten können“, gibt das Bundesinnenministerium als Ziel vor. (Nachtrag der Redaktion: Mittlerweile liegt der Gesetzentwurf der Regierung vor, siehe bmi.bund.de.)

Kommunen indirekt betroffen

Was ändert sich mit der NIS2-Richtlinie für die Kommunen? Im Idealfall nicht viel, erklärt Alexander Handschuh, Beigeordneter beim Deutschen Städte- und Gemeindebund. Die kommunalen Kernverwaltungen seien von den Verpflichtungen ausgenommen. Trotzdem werden sich viele Städte und Landkreise mit den EU-Vorgaben befassen müssen. Häufig sind sie an einem Stadtwerk oder einem Wasserzweckverband beteiligt, und für diese gelten die neuen Sicherheitspflichten, stellt Handschuh klar. Kompliziert werde es zum Beispiel, wenn sich eine Verwaltung und ein kommunales Unternehmen den gleichen IT-Dienstleister teilen. Zu unterscheiden, für welche IT-Infrastruktur welche Sicherheitsanforderungen gelten, sei dann „gar nicht mehr richtig trennscharf möglich“. Das sorge für Unsicherheiten in der Branche.

Der Verband kommunaler Unternehmen (VKU) ist mit dem Gesetzentwurf der Bundesregierung daher nicht glücklich. „Etwa droht Mehrspartenunternehmen eine Doppelregulierung, das betrifft unter anderem thermische Abfallbehandlungs- oder Bioabfallvergärungsanlagen“, erklärt ein Sprecher. Der VKU bedauert zudem, dass das Cybersicherheitsgesetz nicht gemeinsam mit dem KRITIS-Dachgesetz in den Bundestag eingebracht wurde. Beide Gesetze gehörten zusammen, weil physische und virtuelle Sicherheit zusammengedacht werden müssten. Als Beispiel nennt der Verband physische Anschläge auf Server eines Netzbetreibers. Der VKU vermisst in den bisherigen Entwürfen eine Antwort, wie die Verantwortung zwischen Staat und Gesellschaft verteilt werden soll. „Wer ist zum Beispiel zuständig, wenn unbekannte Drohnen über sensible Anlagen fliegen?“ Offen sei auch, wie die teils aufwendigen Schutzmaßnahmen finanziert werden sollen. Besonders problematisch sei die geteilte Zuständigkeit zwischen Bund und Ländern beim Vollzug. Unternehmen würden mit einer unübersehbaren Anzahl von Aufsichtsbehörden und unterschiedlichen Anforderungen konfrontiert.

 

Dieser Text stammt aus der DEMO-Ausgabe 3/2025 (erschienen am 4. September 2025)

Schlagwörter
Cybersicherheit Sicherheit kritische Infrastruktur
Autor*in
Porträtfoto Mann mit Brille und dunkelblonden Haaren
©

Dirk Bleicker

Carl-Friedrich Höck

ist Leitender Redakteur der DEMO. Er hat „Public History” studiert.

0 Kommentare
0 Kommentare
Noch keine Kommentare