Gesetzgebung | Gesetz zur Umsetzung der NIS-2-Richtlinie im Bundesrat beschlossen (Bundesregierung)

Mit einem Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, will die Bundesregierung einheitliche europäische Sicherheitsstandards in deutsches Recht umsetzen. Das Ziel ist es, wichtige Einrichtungen und den europäischen Binnenmarkt zu schützen und deren Abwehrfähigkeit zu stärken. Der Bundesrat hat den Gesetzentwurf der Bundesregierung gebilligt.

Hintergrund: Die NIS-2-Richtlinie verpflichtet mehr Unternehmen und Branchen zu einheitlich europäischen Sicherheitsstandards und setzt strengere Sicherheitsanforderungen voraus. Sie sieht zudem umfangreiche Meldepflichten bei Sicherheitsvorfällen vor sowie schärfere Sanktionen bei Verstößen. Außerdem soll die Zusammenarbeit zwischen den EU-Staaten bei der Abwehr von Cyberangriffen verbessert werden. Insbesondere Unternehmen, die für die Grundversorgung der Bevölkerung wichtig sind – etwa in den Bereichen Gesundheit, Energie und Infrastruktur – müssen künftig strengere Regeln zur IT-Sicherheit einhalten. Dazu zählen unter anderem klare Meldefristen bei Sicherheitsvorfällen und Maßnahmen zum Schutz ihrer Systeme. Mit dem neuen Gesetz wird die digitale Infrastruktur widerstandfähiger. Eine stabile Energieversorgung, funktionierende Kommunikation im Krisenfall und der Schutz persönlicher Daten stärkt nicht nur Unternehmen und Behörden, sondern auch die Menschen, die auf deren Leistungen angewiesen sind.

Der Deutsche Bundestag hat in seiner 2. und 3. Lesung noch Änderungen am Gesetzentwurf der Bundesregierung beschlossen:

• Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wird ermöglicht, gegenüber bisher von der Regelung nicht erfassten Anbietern von öffentlich zugänglichen Telekommunikationsdiensten mit 100.000 oder weniger Kunden Anordnungen zur Abwehr erheblicher Gefahren auszusprechen. Ohne diese Erweiterung würden eine Vielzahl von Nutzern, denen über kleinere (etwa regionale) Anbieter Telekommunikationsdienstleistungen zur Verfügung gestellt werden, nicht entsprechend geschützt werden.

• Des Weiteren ist unter anderem vorgesehen, dass das Bundesinnenministerium gegenüber dem Betreiber kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers im Benehmen mit den für den jeweiligen Sektor genannten Bundesministerien sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen kann, wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt.

Quelle: Bundesregierung online, Meldung v. 21.11.2025 (lb)