Dr. Tillmann Dittrich ist Rechtsanwalt bei Wessing & Partner Rechtsanwälte mbB in Düsseldorf.
MMR 2025, 687 Die EU-Cybersicherheitsstrategie hatte zwei Richtlinien im Gepäck, die NIS2-RL und eine Resilienz-RL, die sich dem physischen Gefahrenaspekt zuwendet. Laut EU sollen die Richtlinien
Hand in Hand greifen", einem allumfassenden Gefahrenansatz folgend. Wollte man penibel "blinde Flecken" auf der Risikolandkarte vermeiden, wäre es eine Option gewesen, diesen Ansatz in nur ein Regelwerk zu gießen. Dies war wohl aus mehreren Gründen nicht möglich, es entstanden zwei Richtlinien. Einer davon liegt darin, dass für den "Cyberbereich" mit der NIS-RL immerhin schon ein umfassendes Regelwerk existierte, für die Resilienz-RL nur in ganz vereinzelten Sektoren. Im Anwendungsbereich der NIS-RL konnte man ein Grundniveau der zu dieser Zeit betroffenen Einrichtungen erwarten, bei der Resilienz-RL ist dies anders.
Letztlich hatten die Mitgliedstaaten ausreichend Zeit für die Vorbereitung der Umsetzung der Richtlinien in nationales Recht, auch wenn der Umstand, dass gegen 23 Mitgliedstaaten ein Vertragsverletzungsverfahren wegen der mangelhaften Umsetzung beider Regelwerke eingeleitet wurde, eine andere Sprache sprechen könnte. Zu diesen Mitgliedstaaten zählt auch Deutschland, die Umsetzungsfrist zum 17.10.2024 wurde bekanntlich nicht eingehalten. Die Umsetzung der Richtlinien ist natürlich eine Herausforderung, vielfältige teils sehr gegenläufige Interessen sind zu berücksichtigen. Dennoch war der Weg klar vorgegeben und die Entscheidung stand früh, nur eine "1:1-Umsetzung" und kein "Gold Plating" zu betreiben, also über die Vorgaben der Richtlinien hinauszugehen. Deshalb stimmte der Zeitpunkt der ersten Referentenentwürfe für das Umsetzungsgesetz zur NIS2-RL noch optimistisch, sie stammen aus April 2023. Dann geriet das Vorhaben aber schnell ins Stocken und stolperte letztlich über das Ende der "Ampel-Koalition", wobei es ohnehin hellseherischer Kräfte bedürfte, ob das Vorhaben auch ohne den Koalitionsbruch über die Ziellinie gekommen wäre.
Wohl auch aufgrund des finanziellen Drucks des Vertragsverletzungsverfahrens schaffte es die Umsetzung der NIS2-RL in der 21. Legislatur-Periode hoch in die Prioritätenliste. Ein erster Referentenentwurf, der seinen Vorgängern aus der vorherigen Legislatur-Periode weitestgehend ähnelte, wurde Ende Mai 2025 öffentlich, eine Woche später folgte eine überarbeitete Version. Insgesamt 151 Verbände wurden durch das BMI zur Stellungnahme angeschrieben. Die Resonanz in der Verbändeanhörung im Juli 2025 war groß. Es zeigt sich, wie viel Know-how, aber auch unterschiedliche Interessen beim Thema Cybersicherheit vorhanden sind.
Leider stießen diese Anmerkungen zum Großteil auf wenig Gehör. Ende Juli 2025 beschloss die Bundesregierung einen NIS2-Umsetzungsentwurf. Die Unbeirrtheit der Legislative, nicht auf das Know-how aus der Praxis und Wissenschaft zu hören, zeigt sich an mehreren Stellen, wobei flächendeckend auffällt, dass Mehrfachregulierungen oder Wechselwirkungen mit anderen Gesetzen nicht berücksichtigt wurden. Das erweckt den Eindruck, dass die eine Hand nicht weiß, was die andere tut. Beibehalten wurde trotz erheblicher Kritik aus den Verbänden der neue Passus in § 28 Abs. 3 BSIG-E. Danach sollen bei der Zuordnung von Einrichtungsarten in die wichtigen und besonders wichtigen Einrichtungen solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. Dies wurde aufgrund der Handhabbarkeit und der Vereinbarkeit mit der NIS2-RL erheblich in den Stellungnahmen kritisiert.
Noch deutlicher werden die Schwächen im Bereich der öffentlichen Verwaltung. Die NIS2-RL überlässt es den Mitgliedstaaten, ob sie die kommunale Verwaltung in den Anwendungsbereich der Vorschriften einbeziehen. Hierzulande hat sich der IT-Planungsrat früh gegen eine solche Einbeziehung ausgesprochen. Dafür sprechen vermutlich vor allem finanzielle Gründe, zudem versteckt man sich leicht hinter der Begründung, die kommunale Selbstverwaltungsgarantie stehe dem entgegen. Die Rechtslage ist hier bei weitem nicht so eindeutig. Für den Bereich der vom Gesetz erfassten Bundesverwaltung findet man von Entwurf zu Entwurf noch mehr Ausnahmen, gerade in Zeiten von geopolitischer Spannung ein waghalsiges Manöver.
Dieses Ungleichgewicht zwischen Privatwirtschaft bzw. den betroffenen Unternehmen, die ja auch unter der öffentlichen Hand stehen können, und der Verwaltungsebene ist eklatant. Stimmen werden laut, dass der Entwurf die Sicherheit des Landes gefährde und die Vorbildfunktion des Staates untergrabe, wie in einer Stellungnahme des Wirtschaftsrats der CDU e.V. zu lesen ist. All dies mag richtig sein, die Argumente scheinen aber zu verhallen. Letztlich werden die Regelungen, auch wenn sie viele Ausnahmen enthalten, dennoch etwas Positives bewegen. Das regulatorische Ungleichgewicht darf nicht dazu führen, dass die Bedeutung des Themas Cybersicherheit in den Unternehmen unter diesem Missverhältnis leidet. Möglicherweise muss die Relevanz von Cybersicherheitsmaßnahmen den Führungsebenen der Unternehmen mit noch längerem Atem verdeutlicht und mit konkreten Einzelmaßnahmen unternehmensweit umgesetzt werden.
Daher sollte sich die Wirtschaft hiervon nicht ablenken lassen, sondern weiter die Steigerung der Cybersicherheit in Deutschland und der Europäischen Union mitgestalten. Denn dies geschieht nicht nur zur Umsetzung einer NIS2-RL, sondern weil man die Bedrohungslage und vor allem auch die Bedeutung der eigenen sensiblen Dienstleistung für die Gesellschaft verstanden hat. Zudem ist man aufgrund anderer Regelungen (Leitungshaftung im Gesellschaftsrecht, Strafrecht, Datenschutz, Geschäftsgeheimnisschutz etc) ohnehin gezwungen, IT-Sicherheitsmaßnahmen zu ergreifen. Dieser Strauß wird künftig "nur" noch ergänzt bzw. für schon vom BSIG betroffene Unternehmen verschärft. Konkret können Sie zu diesem Strauß als Leserinnen und Leser der MMR in Heft 3/2026 in einer MMR-Beilage, die der Autor gemeinsam mit Prof. Dr. Dennis-Kenji Kipker und einem fachkundigen Autorinnen- und Autorenkreis herausgeben wird, mehr erfahren.
Außerdem kommt auf das BSI durch die deutliche Vergrößerung des Anwendungsbereichs des Gesetzes, über das es "wacht", viel Arbeit zu. Daher stimmt der im August 2025 durch die Bundesregierung an den Bundestag weitergeleitete Entwurf für den Haushalt 2026 (BT-Drs. 21/600) ebenfalls optimistisch. Dort ist im Vergleich zum Vorjahr ein Zuwachs auf 379 Mio. EUR von zuvor 150 Mio. EUR für das BSI vorgesehen. Für das Bundesgesundheitsministerium sind 190 Mio. EUR für ein "Sofortprogramm Cybersicherheit" eingeplant.
Letztlich muss die Umsetzung der NIS2-RL auch einfach vorankommen. Nicht nur, um Sanktionen als Mitgliedstaat zu vermeiden, sondern auch, um für Klarheit für die Unternehmen zu sorgen. Die verantwortungsbewussten Unternehmen leben jetzt seit mindestens 2 Jahren mit der Frage: "Ja, wann kommt es denn jetzt eigentlich?". Diese Unsicherheit muss genommen werden, weil Investitionen in Unternehmen teilweise auch erst dann geschehen können, wenn die Vorgaben wirklich absehbar sind. Die bereits angegangenen Vorbereitungs- und Umsetzungsmaßnahmen müssen weiter vorangetrieben werden. Gerade Schulungen von Mitarbeitenden, auf die die NIS2-RL viel Wert legt, können zeitintensiv sein. Hierbei sollten auch die künftig vorgeschriebenen Schulungen für die Führungsebene nicht aus dem Blick geraten. Auch wenn deren Curriculum noch nicht rechtssicher feststeht, lohnen sich erste Schulungsmaßnahmen für Grundkenntnisse im Bereich Risikomanagement oder deren Auffrischung.
Zudem muss die Umsetzung der Resilienz-RL zeitnah angegangen werden. Diese wird vermutlich in den ersten Jahren nur einen kleinen Teil der von der NIS2-RL betroffenen Unternehmen erfassen, da die Mitgliedstaaten die Schwellenwerte für die Betroffenheit noch selbst festlegen können. Der Regierungsentwurf zum KRITIS-DachG aus November 2024 (BT-Drs. 20/13961) legte nahe, dass zunächst die bislang vom BSIG (unter der NIS-RL) betroffenen Unternehmen erfasst sein sollen. Möglicherweise ist es auch von Vorteil, dass die NIS2-Umsetzung zeitlich schon weiter vorangeschritten ist, um sich für die passgenaue Umsetzung, wie sie die EU-Cybersicherheitsstrategie beabsichtigt hat, orientieren zu können.
Für die offenen Baustellen, die Gesetzesvorhaben immer mit sich bringen, bedarf es dann in absehbarer Zeit eines neuen IT-Sicherheits-Gesetzes (3.0 oder 4.0, je nach Zählweise), um gerade im BSIG die Schwachstellen zu beseitigen. Insgesamt stellt sich für die IT-Sicherheit von für den europäischen Binnenmarkt und seinen Unionsbürgern relevanten Dienstleistungen ohnehin die Frage, ab wann unter Wahrung des Subsidiaritätsprinzips doch irgendwann eine "NIS-Verordnung" sinnvoll sein könnte, weil sich die Umsetzungen der NIS2-RL in den Mitgliedstaaten teilweise doch sehr unterscheiden.
Düsseldorf, im September 2025