Der Beitrag ist Teil einer Artikelserie zur 21. Legislaturperiode mit folgenden, bereits veröffentlichten Beiträgen:
- Neue Compliance-Regeln in der 21. Legislaturperiode
- Ein Ausblick in den Datenschutz während der 21. Legislaturperiode
Umsetzung der NIS2-Richtlinie (RZ 987)
Hintergrund
Eine wichtige Priorität ist die überfällige Umsetzung der zweiten europäischen Netzwerk- und Informationssicherheitsrichtlinie (NIS2) in deutsches Recht. Die neue Richtlinie hat 2022 die frühere NIS1-Richtlinie ersetzt und sollte bis Oktober 2024 von den Mitgliedstaaten umgesetzt werden. Die Verzögerung bei der Umsetzung birgt aktuell das Risiko von Vertragsverletzungsverfahren und möglichen Sanktionen durch die EU. Die neue Bundesregierung ist sich dieser Dringlichkeit bewusst und hat deutlich gemacht, dass die Umsetzung der NIS2-Richtlinie ganz oben auf ihrer Agenda steht. Welche Auswirkungen NIS2 auf Unternehmen hat, können Sie bereits in diesem Artikel hier durchlesen: https://www.audatis.de/aktuelles/nis-2-der-eu-auswirkungen-voraussetzungen-und-vorbereitungen-fuer-unternehmen
Der neue Entwurf
Am 2. Juni 2025 hat das Bundesministerium des Innern (BMI) bereits einen neuen Gesetzentwurf zur Umsetzung der NIS2-Richtlinie vorgelegt. Der Entwurf baut weitgehend auf den Grundlagen auf, die im Entwurf unter der damaligen Ampel-Regierung vorgelegt worden waren.
Erweiterung des Anwendungsbereichs (§ 28 Abs. 3 Nis2UmsuCG)
Der neue Gesetzentwurf sieht eine Ausweitung des Geltungsbereichs vor. So heißt es:
„Bei der Zuordnung [...] können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind.“
Nach dem alten Entwurf galt in Bezug auf die Zuordnung gem. § 28 Abs. 3 Nr. 1 nur die Beachtung der:
„Einrichtungsart zuzuordnende[n] Geschäftstätigkeit“
Die Zuordnung erfolgte also ausschließlich auf Geschäftstätigkeiten, die in direktem Zusammenhang mit der Art der betroffenen Unternehmen standen. Nun sieht § 28 Abs. 3 des neuen Entwurfs vor, dass alle Tätigkeiten eines Unternehmens berücksichtigt werden müssen, unabhängig davon, wie zentral sie für sein Kerngeschäftsmodell sind. Die einzige Ausnahme gilt für vernachlässigbare Nebentätigkeiten des Unternehmens. Bislang ist jedoch nicht eindeutig, nach welchen Kriterien eine Tätigkeit als „vernachlässigbar“ gilt.
KRITIS-Dachgesetz (RZ 2698)
Als Reaktion auf die Herausforderungen und Schwachstellen im Bereich der kritischen Infrastrukturen sowie der Umsetzungspflicht der CER-Richtlinie ist eine grundlegende Neuausrichtung des Schutzes dieser geplant. Im Mittelpunkt dieser Initiative steht der Entwurf eines KRITIS-Dachgesetzes, mit dem die derzeitigen Anforderungen an Betreiber kritischer Anlagen in einem einheitlichen Rechtsrahmen zusammengefasst werden sollen.
Bislang sind die Verpflichtungen auf mehrere Gesetze verteilt, darunter das
Ein einheitliches Gesetz würde nicht nur einheitliche Standards gewährleisten, sondern auch die Durchsetzung klarer und effizienter gestalten. Ziel ist es, einheitliche Mindestanforderungen festzulegen, die sowohl den physischen Schutz wie Notfallplanung, als auch die Cybersicherheit, einschließlich Angriffserkennungssysteme und Meldeverfahren, abdecken.
Die Widerstandsfähigkeit kritischer Infrastrukturen in Bereichen wie Wasser, Energie, Gesundheit und Telekommunikation soll dadurch deutlich verbessert werden.
Cyber Resilience Act (RZ 285)
Auf europäischer Ebene wurde im Dezember 2024 der Cyber-Resilienz-Akt (CRA) verabschiedet, welcher verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Komponenten einführt. Der CRA zielt darauf ab, die Sicherheit von Hardware und Software während ihres gesamten Lebenszyklus zu verbessern.
Hersteller, Importeure und Händler werden verpflichtet, bei der Konzeption und Entwicklung ihrer Geräte und Anwendungen grundlegende Sicherheitsmaßnahmen zu ergreifen und bekannte Schwachstellen umgehend zu beheben. Produkte, die diese Anforderungen nicht erfüllen, dürfen nach einer Übergangsfrist nicht mehr im EU-Binnenmarkt verkauft werden.
Für betroffene Unternehmen unabhängig von ihrer Größe oder ihrem Standort bedeutet der CRA Handlungsbedarf. Dazu gehört die
- Gewährleistung sicherer Standardeinstellungen
- ein wirksames Schwachstellenmanagement
- zuverlässige Aktualisierungsprozesse
Die ersten Meldepflichten treten ab September 2026 in Kraft, und die meisten verbindlichen Sicherheitsstandards werden ab Dezember 2027 verbindlich. Die Koalition hat die Bedeutung dieser Verordnung erkannt und sich verpflichtet, inländische Unternehmen bei der Erfüllung dieser neuen Anforderungen zu unterstützen. Da der CRA für fast alle Branchen gilt, z. B. für
- IoT-Geräte
- Unternehmenssoftware
- Industriemaschinen
wird der CRA eine Schlüsselrolle bei der Förderung von „Security by Design“ in der gesamten Wirtschaft spielen.
Rechtssicherheit für IT-Sicherheitsforschung
Ein weiterer Punkt ist die geplante Änderung im Computerstrafrecht zugunsten der IT-Sicherheitsforschung. Im Koalitionsvertrag heißt es ausdrücklich, dass
„Rechtssicherheit für IT-Sicherheitsforschung [geschaffen wird], wobei wir Missbrauchsmöglichkeiten verhindern“.
Penetrationstester, die im Auftrag einer Organisation Schwachstellen aufdecken, können sich gem. § 202a StGB (unbefugter Datenzugriff) oder § 303a StGB (Datenveränderung) strafbar machen, selbst wenn sie im Interesse einer verbesserten Sicherheit handeln.
Um gutgläubige Penetrationstests und die verantwortungsvolle Offenlegung von Sicherheitslücken zu ermöglichen, sollen nun entsprechende Normen gelockert und präzisiert werden. Ziel ist es, sicherzustellen, dass Penetrationstests, ethische Sicherheitsforschung und die sorgfältige Meldung von Sicherheitslücken eindeutig von der strafrechtlichen Haftung ausgenommen sind.
Ausbau des BSI (RZ 2678)
Die Nationale Cybersicherheitsstrategie Deutschlands soll weiterentwickelt werden, um Zuständigkeiten zu klären und Doppelstrukturen zu beseitigen. Ein zentrales Element dieser Bemühungen ist die geplante Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI), das zu einer Zentralstelle für Fragen der Informations- und Cybersicherheit ausgebaut werden soll. Im Rahmen dieser Reform wird die Aufgabenverteilung zwischen den relevanten Akteuren beispielsweise zwischen dem BSI, den Innenministerien der Länder und anderen Behörden vereinfacht, um Überschneidungen zu reduzieren.
Im Zuge der Umsetzung von NIS2 wird das BSI-Gesetz geändert, um dem BSI erweiterte Aufsichtsbefugnisse und eine stärkere Rolle bei der Unterstützung von Unternehmen zu verleihen. Darüber hinaus plant die Regierung, die Sicherheit der Kommunikationsnetze des Bundes zu stärken, insbesondere für die Krisenkommunikation und den Schutz von Verschlusssachen.
Eine wichtige Ankündigung ist die Absicht, die Fähigkeiten zur aktiven Cyberabwehr auszubauen. Konkret soll das Nationale Cyber-Abwehrzentrum gestärkt und der Informationsaustausch zwischen den Sicherheitsbehörden intensiviert werden. Innerhalb der Nachrichtendienste wird der gemeinsame Fokus auf den Cyber- und Informationsbereich verstärkt, unterstützt durch eine neue technische Zentrale, an der auch die zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) beteiligt sein wird. Diese Maßnahmen sollen staatliche Akteure besser in die Lage versetzen, sich gegen Cyberangriffe zu verteidigen.
