NIS-2 in Deutschland: Später Start erfordert nun Vertrauen und Klarheit zu schaffen

Die Umsetzung der NIS-2-Richtlinie steht unmittelbar auf der Agenda – die neuen Vorgaben sollen ohne Übergangsfrist gelten

[datensicherheit.de, 13.11.2025] Der eco – Verband der Internetwirtschaft e.V. meldet, dass im Bundestag die Umsetzung der NIS-2-Richtlinie nun unmittelbar auf der Agenda stehen – demnach soll nach den Beratungen im Innenausschuss das Gesetz im Plenum verabschiedet werden. Fest stehe schon jetzt: „Die neuen Vorgaben kommen – und zwar ohne Übergangsfrist!“

Foto: eco

Ulrich Plate fordert angesichts der NIS-2-Umsetzung ein Gesetz, welches das Vertrauen stärkt und keine neue Unsicherheit schafft

Geschwindigkeit der NIS-2-Umsetzung hat ihren Preis

Ulrich Plate, Leiter der eco-Kompetenzgruppe „KRITIS“, kommentiert: „Spät gestartet, aber auf der Zielgeraden: Deutschland hat den langen Anlauf geschafft und wird nun die wichtige NIS-2-Umsetzung endlich beschließen.“

• Die zweite Stufe des EU-Vertragsverletzungsverfahrens habe lange wie ein „Damoklesschwert“ über Berlin gehangen – jetzt gebe es endlich Bewegung im Gesetzgebungsstau der Cybersicherheit.

Doch diese Geschwindigkeit habe ihren Preis: „Viele Stimmen aus der Wirtschaft, darunter auch eco, haben vergeblich gewarnt, dass die Eingriffsbefugnisse bei den ‚kritischen Komponenten‘ (vgl. § 41 BSIG-E) zu Unsicherheit führen.“

NIS-2 könnte zur politischen Zentralisierung der Cybersicherheitsarchitektur führen

Neu sei nun, dass das Bundesinnenministerium künftig auch ohne Meldung des Betreibers aktiv werden könne, um Komponenten zu verbieten. Für Unternehmen bedeute dies: „Einschätzungen des Innenministeriums können kostspielige Austauschpflichten nach sich ziehen.“

• Auch könne das Ministerium die Untersagung riskanter Bauteile selbst veranlassen und andere Ressorts allein ihrer „Fachkompetenz und Perspektive“ wegen hinzuziehen.

Aus wirtschaftlicher Sicht sei es mithin ein Risiko für Investitionsklarheit und Vertrauen. Zugleich würden Aufsicht und Sanktionen künftig stärker im Innenministerium gebündelt, was einen weiteren Schritt hin zu einer politischen Zentralisierung der Cybersicherheitsarchitektur darstelle.

Schnittstellen zwischen NIS-2-Umsetzungsgesetz und CRA hätten enger verzahnt werden können

Zwar sei die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) in einzelnen Punkten gestärkt worden, etwa durch erweiterte Aufsichts- und Koordinierungsaufgaben, doch seine Zertifizierungen stünden weiterhin unter dem Vorbehalt politischer Entscheidungen. Die Bedeutung und der Stellenwert einer BSI-Zertifizierung blieben damit für die Wirtschaft schwer einzuschätzen.

• „Positiv ist, dass der Änderungsantrag nun ausdrücklich den Bezug zum europäischen ,Cyber Resilience Act’ (CRA) herstellt. Das ist ein wichtiger Schritt, um technische Sicherheitsanforderungen an Produkte EU-weit zu harmonisieren.“ Dennoch hätte man die Schnittstellen zwischen NIS-2-Umsetzungsgesetz und CRA enger verzahnen können, um Doppelregulierung und Interpretationsspielräume zu vermeiden.

Entscheidend werde nun die Verordnungsphase sein: Die Bundesregierung sollte in den kommenden Monaten gemeinsam mit der Wirtschaft und den Fachverbänden klare, überprüfbare Kriterien für „kritische Komponenten“ definieren und die Entscheidungswege zwischen BMI, BSI und anderen Ressorts verbindlich abstimmen. „Nur dann wird aus einem späten Gesetz noch ein gutes Gesetz – eines eines, das Vertrauen stärkt und keine neue Unsicherheit schafft“, so Plates abschließende Einschätzung.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Über uns / eco – Verband der Internetwirtschaft e.V.: Wir gestalten das Internet.

eco VERBAND DER INTERNETWIRTSCHAFT
KRITIS

Bundesministerium der Justiz und für Verbraucherschutz, Bundesamt für Justiz
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) – § 9b Untersagung des Einsatzes kritischer Komponenten

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen / Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

datensicherheit.de, 18.10.2025
Umsetzung der NIS-2-Richtlinie: Verschleppung der Cybersicherheitsreform kritisiert / Die EU war lange Vorreiter bei Cybersicherheitsgesetzen – doch NIS-2 gilt als Richtlinie und nicht als direkt geltende Verordnung, wodurch ein „Flickenteppich“ nationaler Lösungen droht

datensicherheit.de, 16.10.2025
NIS-2: Genug Vorlauf – eco fordert nun Präzision / Der eco begrüßt sehr wohl die intensive politische Diskussion um die NIS-2-Richtlinie, betont aber, dass es nun an der Zeit ist, Rechtssicherheit zu schaffen

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden