NIS-2: Nationales Umsetzungsgesetz soll Cybersicherheit der deutschen Wirtschaft stärken

Der TÜV-Verband begrüßt NIS-2-Umsetzung und fordert Nachbesserungen: Ausnahmeregelungen seien zu schärfen oder zu streichen, damit Unternehmen klare Vorgaben erhalten, wie Nachweise für die Umsetzung zu erbringen sind

[datensicherheit.de, 30.07.2025] Der TÜV-Verband hat am 30. Juli 2025 zu dem an diesem Tag vom Bundeskabinett beschlossenen nationalen Umsetzungsgesetz der europäischen NIS-2-Richtlinie Stellung genommen: „Deutschland ist Ziel hybrider Angriffe und Cyberattacken auf Unternehmen, Kritische Infrastrukturen und politische Institutionen gehören zur Tagesordnung. Die Umsetzung der NIS-2-Richtlinie in nationales Recht ist ein wichtiger Schritt, um die Cybersicherheit in der deutschen Wirtschaft zu verbessern“, kommentiert Marc Fliehe, Fachbereichsleiter „Digitalisierung und Bildung“ beim TÜV-Verband.

Umsetzungsgesetz der europäischen NIS-2-Richtlinie lange überfällig

Fliehe betont: „Das Gesetz ist längst überfällig und muss angesichts der Bedrohungslage im Cyberraum zügig beschlossen werden!“ Mit dem aktuellen Entwurf liege eine solide Grundlage vor – jetzt brauche es den politischen Willen, offene Punkte im parlamentarischen Verfahren konstruktiv und schnell zu klären.

Aus Sicht des TÜV-Verbands sei es nun Aufgabe des Bundestags, den Gesetzesentwurf an entscheidenden Stellen zu schärfen, um die Wirksamkeit in der Praxis zu erhöhen. Besonders relevant sind demnach dabei folgende Punkte:

1. TÜV-Verband-Forderung: Ausnahmeregelungen klar definieren oder streichen!

Aus Sicht des TÜV-Verbands wirft die neu eingeführte Ausnahme für „vernachlässigbare“ Geschäftstätigkeiten erhebliche Fragen auf. Dieser Begriff sei unbestimmt und werde im Gesetz nicht näher definiert – es bleibe unklar, nach welchen Kriterien eine Tätigkeit als vernachlässigbar gelten soll.

„Ohne präzise Vorgaben besteht die Gefahr uneinheitlicher Auslegung und einer Rechtsunsicherheit für Unternehmen“, warnt Fliehe. Zudem könnte diese nationale Sonderregelung zu einem faktischen Ausschluss regulierungspflichtiger Tätigkeiten führen, welche laut NIS-2-Richtlinie eigentlich erfasst sein sollten. Der TÜV-Verband sieht daher die Gefahr, dass der deutsche Gesetzgeber mit dieser Öffnungsklausel vom europäischen Harmonisierungsziel abweiche, und fordert eine „eindeutige und EU-rechtskonforme Ausgestaltung dieser Ausnahme“.

2. TÜV-Verband-Forderung: Nachweispflichten überarbeiten!

In der NIS-2-Richtlinie sei eine regelmäßige Nachweispflicht für „besonders wichtige Einrichtungen“ vorgesehen, welche aus Sicht des TÜV-Verbands im deutschen Gesetz nicht ausreichend umgesetzt sei. „In der Praxis läuft es auf stichprobenartige Einzelfallprüfungen hinaus, was nicht der Intention der Richtlinie entspricht und sicherheitstechnisch bedenklich ist“, so Fliehe. Er unterstreicht: „Die Behörden müssen die Umsetzung der Sicherheitsmaßnahmen überprüfen und durchsetzen können!“

In diesem Zusammenhang sieht der TÜV-Verband auch die Verlängerung der Nachweisfristen für die Betreiber Kritischer Infrastrukturen von zwei auf drei Jahre sehr negativ. Fliehe gibt zu bedenken: „Die Betreiber Kritischer Infrastrukturen sind regelmäßig gezielten Cyberangriffen ausgesetzt. Eine Verlängerung des Nachweiszyklus ist vor diesem Hintergrund mehr als kontraproduktiv.“

3. TÜV-Verband-Forderung: Vertrauen schaffen durch unabhängige Zertifizierungen!

Nur bei Einbindung unabhängiger Dritter ist aus Sicht des TÜV-Verbands sichergestellt, „dass das notwendige Vertrauen in die Umsetzung von Cybersicherheitsanforderungen geschaffen werden kann“.

Deshalb regt der TÜV-Verband an, Zertifizierungen durch „akkreditierte und unabhängige Konformitätsbewertungsstellen“ verbindlich in dem Prozess der Nachweiserbringung (§ 39 BSIG-E) durch die Hersteller vorzusehen.

4. TÜV-Verband-Forderung: Absicherung der Lieferketten ausformulieren!

Mit Blick auf die weitgefassten Formulierungen zur Absicherung der Lieferkette sei es erforderlich, den Unternehmen eine Handreichung und Orientierungshilfe zur Gestaltungstiefe der Maßnahmen zur Absicherung der Lieferkette an die Hand zu geben.

In diesem Sinne sei beispielsweise die Forderung „Security by Design“ recht vage und bedürfe weiterer Detaillierungen. Eine Orientierungshilfe könne sowohl Mindestmaßnahmen aufzeigen als auch Interpretations- und Auslegungsspielräume reduzieren und leiste somit einen Beitrag zur Erhöhung der Klarheit und Handlungssicherheit der Verpflichteten.

30.000 Unternehmen in Deutschland vom NIS-2-Umsetzungsgesetz betroffen

Der TÜV-Verband zum Hintergrund: „Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) gilt für rund 30.000 Unternehmen in Deutschland.“ 

• Es verpflichte die Unternehmen unter anderem zur Durchführung und Einführung von Risikoanalysen und Sicherheitskonzepten, Maßnahmen zur Vorbeugung und Reaktion auf IT-Sicherheitsvorfälle, Zugangskontrollen, Verschlüsselung, Multi-Faktor-Authentifizierung, Mitarbeiterschulungen, Notfallplänen sowie Maßnahmen für die Absicherung der Lieferkette.

Diese Anforderungen müssten „dem Stand der Technik“ entsprechen und unterschieden sich je nach Größe, Branche und Kritikalität des Unternehmens.

Weitere Informationen zum Thema:

TÜV VERBAND
Stellungnahme zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung / Um die digitale Resilienz in Deutschland zu stärken, hat das BMI einen überarbeiteten Referentenentwurf zur NIS-2-Umsetzung vorgelegt. Der TÜV-Verband begrüßt dieses Ziel, zeigt in seiner aktuellen Stellungnahme aber Anpassungsbedarf auf.

TÜV VERBAND, 11.06.2025
Jedes siebte Unternehmen gehackt – Risiken werden unterschätzt / TÜV Cybersecurity Studie veröffentlicht: IT-Sicherheitsvorfälle in 15 Prozent der Unternehmen. Phishing ist die dominierende Angriffsmethode. Neun von zehn Unternehmen bewertet eigene Cybersicherheit als gut. TÜV-Verband: Überfällige nationale Umsetzung der NIS2-Richtlinie zügig verabschieden. Die Hälfte der Unternehmen kennt die Regulierung bisher nicht.

Bundesministerium des Innern, 30.07.2025
Stärkerer Schutz vor Cyberangriffen: Bundesregierung bringt neues IT-Sicherheitsgesetz auf den Weg / Rund 29.500 Unternehmen sollen aktiv zur Cybersicherheit beitragen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält mehr Möglichkeiten zur Unterstützung und Kontrolle.

datensicherheit.de, 15.07.2025
Erfahrungsbericht WienIT: Reduzierung des Backup-Datenspeichers um 50 Prozent und NIS-2-Konformität / WienIT sorgt im Hintergrund dafür, dass die IT-Infrastruktur der Wiener Stadtwerke-Gruppe nebst wichtiger Back-Office-Prozesse und Services möglichst reibungslos zur Verfügung steht

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 06.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen