NIS2-Umsetzung: Sicherheitsstandards dürfen nicht an Behördenstrukturen scheitern

Der Wirtschaftsrat fordert einheitlich hohe Anforderungen für die gesamte Bundesverwaltung

Mit dem neuen Regierungsentwurf vom 25. Juli 2025 zur Umsetzung der europäischen NIS2-Richtlinie liegt erstmals ein umfassender Vorschlag zur Regelung der Cybersicherheit im öffentlichen Sektor und zur Stärkung des Informationssicherheitsmanagements in der Bundesverwaltung vor. Die Bundesfachkommission (BFK) Cybersicherheit des Wirtschaftsrates der CDU e.V. bewertet den Schritt grundsätzlich positiv – kritisiert jedoch weiterhin bestehende gravierende Schwächen, die insbesondere den Schutz der IT-Infrastruktur nachgeordneter Behörden betreffen.

Ein Fortschritt mit strukturellen Defiziten

Die NIS2-Richtlinie ist ein zentraler Baustein der europäischen Cybersicherheitsstrategie. Ihre zügige und verlässliche Umsetzung ist sicherheitspolitisch wie wirtschaftlich geboten. Dass die Bundesregierung nach langen Verzögerungen nun ein kohärentes Gesetzgebungsverfahren angestoßen hat, ist ein überfälliger Schritt in die richtige Richtung. Auch der Verzicht auf eine Verknüpfung mit dem KRITIS-Dachgesetz ist zu begrüßen – so können weitere Verzögerungen vermieden werden. Die wirtschaftsnahe Perspektive, die durch die aktive Beteiligung der Bundesfachkommission unter anderem bei der Verbändeanhörung am 4. Juli 2025 eingebracht wurde, spiegelt sich in Teilen des Entwurfs bereits wider.

Kritikpunkt: Zwei-Klassen-Sicherheit darf nicht Gesetz werden

Unverändert kritisch sieht der Wirtschaftsrat jedoch die geplante Ausnahmeregelung in § 29 Absatz 2 des NIS-2-Umsetzungsgesetzes. Diese sieht vor, dass wesentliche Anforderungen des § 30 – darunter zentrale Vorgaben zur Informationssicherheit – nicht für alle Einrichtungen der Bundesverwaltung gelten sollen. Insbesondere nachgeordnete Bundesbehörden würden damit de facto aus der einheitlichen Schutzpflicht ausgeklammert. Diese geplante Schlechterstellung ist sachlich nicht begründbar.

Nachgeordnete Behörden verfügen häufig über besonders sensible und gesellschaftlich kritische IT-Systeme. Ein Ausfall oder eine Kompromittierung dieser Strukturen hätte unmittelbare Auswirkungen auf das staatliche Handeln und auf die Bevölkerung. Die Bundesfachkommission lehnt daher die vorgeschlagene Differenzierung entschieden ab. Glücklicherweise ist diese derzeit noch in eckigen Klammern formuliert und steht damit zur Diskussion. Ein solcher Passus darf nicht in geltendes Recht überführt werden.

Inkonsequente Systematik und falsche Signalwirkung

Zudem steht die vorgesehene Ungleichbehandlung im Widerspruch zu § 44 des Entwurfs, der klarstellt, dass die Einhaltung des IT-Grundschutzes zugleich den Anforderungen des § 30 genügt. Eine Schlechterstellung nachgeordneter Behörden ist daher auch systematisch inkonsistent. Der Verweis auf den Fachkräftemangel als Begründung für geringere Sicherheitsvorgaben greift zu kurz. Auch die Privatwirtschaft ist davon betroffen – ohne gesetzliche Entlastung.

Unterstützung durch Bundesrechnungshof

Die Dringlichkeit eines hohen einheitlichen Sicherheitsniveaus wird zusätzlich durch den Brandbrief des Bundesrechnungshofs gestützt. Die Kontrollinstanz kritisiert darin ausdrücklich den aktuellen Wildwuchs bei Zuständigkeiten und Standards im Bereich der öffentlichen IT-Sicherheit. Auch der Bundesrechnungshof fordert eine systematischere und wirkungsvollere Sicherheitsarchitektur.

Fazit: Qualität, Verbindlichkeit und Einheitlichkeit statt selektiver Absicherung

Der Wirtschaftsrat unterstützt ausdrücklich die Zielsetzung des Gesetzgebers, mit der NIS2-Umsetzung ein modernes, handhabbares und robustes Sicherheitsrecht zu etablieren. Entscheidend ist nun, dass keine institutionellen Ausnahmeregeln geschaffen werden, die die Wirksamkeit des gesamten Regelwerks untergraben. Cybersicherheit darf nicht vom Organigramm abhängen.

Die Bundesfachkommission Cybersicherheit beteiligt sich weiterhin konstruktiv an dem laufenden Prozess – mit der klaren Forderung:

Alle Bundesbehörden müssen denselben hohen Sicherheitsanforderungen unterliegen. Nur so können Vertrauen in den digitalen Staat und ein durchgängiger Schutz für Bürger gewährleistet werden.