Kritische Infrastruktur: Bundestag verabschiedet NIS2-Gesetz

Mit den Stimmen der schwarz-roten Koalition und der AfD hat der Bundestag am Donnerstagnachmittag das von der Bundesregierung vorgelegte Gesetz für mehr Sicherheit in Netzen und Informationssystemen verabschiedet. Mit dem Gesetz setzt Deutschland die Vorgaben der europäischen Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) mit über einem Jahr Verspätung um.

Das Gesetz verpflichtet Betreiber kritischer Infrastrukturen zu erhöhten Schutz- und Präventionsmaßnahmen gegen Angriffe auf ihre Systeme. Zugleich erweitert es den Kreis der betroffenen Unternehmen und Behörden erheblich. Das sind unter anderem Unternehmen aus den Bereichen Energie, Gesundheit, Transport oder digitale Dienste. Auch für Behörden und die Verwaltung gelten neue Regeln.

Erweiterte Schutzmaßnahmen

Die betroffenen Unternehmen und Einrichtungen müssen künftig Schutzmaßnahmen wie etwa Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen ergreifen. Cyberangriffe müssen binnen 24 Stunden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden, das mit dem Gesetz mehr Aufsichtsbefugnisse erhält und bei schwerwiegenden Verstößen Bußgelder verhängen kann.

Während sich die Linke enthielt, stimmte die Fraktion Bündnis90/Grüne gegen das Gesetz. Die Grünen fordern die Bundesregierung auf, den Schutz kritischer Infrastrukturen endlich mit einem „echten Kritis-Dachgesetz“ zu regeln. Das Kritis-Dachgesetz soll weitere Teile der EU-Vorgaben umsetzen. Ein Entwurf der Bundesregierung wird derzeit in den Ausschüssen beraten, auch die Vorschläge der Grünen landen nun dort.

Deutschland hängt mit der Umsetzung von NIS2 und dem Kritis-Dachgesetz deutlich hinterher. Die Ampel-Regierung hatte ihren Entwurf nicht mehr vor dem Scheitern der Koalition durch den Bundestag bekommen, sodass Schwarz-Rot einen neuen Entwurf vorlegen musste. Eigentlich hätte die Richtlinie schon im Oktober 2024 in nationales Recht umgesetzt werden müssen. Die EU droht im Rahmen eines Vertragsverletzungsverfahrens bereits mit Konsequenzen.

Der Branchenverband Bitkom begrüßte die Entscheidung des Bundestags als überfällig. Mit dem Gesetz werde die Cybersicherheit in Deutschland gestärkt, allerdings könnten die Neuregelungen „erhebliche Auswirkungen“ auf die Investitionsentscheidungen von Unternehmen haben. „Äußerst positiv“ sei, dass nun auch Bundesbehörden in den Anwendungsbereich von NIS-2 einbezogen werden.

Konsequenzen für Netzbetreiber

Der Bundesverband Breitbandkommunikation (Breko) spricht von einem „grundsätzlich wichtigen und notwendigen Schritt für mehr Sicherheit“. Die Netzbetreiber sind aber skeptisch, was die Regeln für den Einsatz kritischer Komponenten betrifft.

„Der Gesetzentwurf erlaubt Eingriffe nicht nur bei Mobilfunkkomponenten, sondern pauschal auch bei Glasfasernetzen – selbst für bereits eingesetzte Komponenten“, sagt Sven Knapp, Leiter des Breko-Hauptstadtbüros. „Das sorgt für Unsicherheit.“ Der Breko appelliert an den Bundesrat, sich für eine „präzisere und praxistaugliche Regelung“ stark zu machen.

(vbr)