Koch & Neumann
  • Blog
  • Kanzlei
  • Tätigkeitsschwerpunkte
  • Fälle
  • Veröffentlichungen
  • Veranstaltungen
  • Mitarbeiter
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
Alexander Koch

Bundesnetzagentur startet Konsultation des Katalogs von Sicherheitsanforderungen nach § 167 TKG

IT-Recht, Netzwirtschaftsrecht, Telekommunikationsrecht

Nachdem die Bundesnetzagentur bereits im Mai Eckpunkte für einen aktuellen IT-Sicherheitskatalog nach § 11 Abs. 1a und 1b EnWG vorgelegt hat, hat sie nun im November auch einen Entwurf für einen Katalog von Sicherheitsanforderungen nach § 167 TKG zur Konsultation gestellt.

Stellungnahmen können bis zum 19. Dezember 2025 bei der Bundesnetzagentur eingereicht werden:
Referat 217
An der Trift 40
66123 Saarbrücken
E-Mail: 217.Postfach@bnetza.de

Die letzte Version des Katalogs stammt aus dem Jahr 2020 und ist damit bereits über fünf Jahre alt. Das ist nicht nur eine lange Zeit im Bereich der IT-Sicherheit, sondern auch mit Blick auf den Gesetzesstand. In der Zwischenzeit ist nämlich bereits 2021 das TKG umfassend novelliert worden, wodurch sich unter anderem der Anwendungsbereich des Gesetzes – und damit auch der Adressatenkreis des Sicherheitskatalogs – geändert hat.

Erfasst werden nun auch „nummernunabhängige interpersonelle Telekommunikationsdienste“ (§ 3 Nr. 40 TKG) und damit Anbieter, die üblicherweise keine tatsächliche Kontrolle über die eigentliche Telekommunikationinfrastruktur ausüben.

Sicherheitskataloge sind im Bereich der kritischen Infrastrukturen (KRITIS) eine Besonderheit des Telekommunikations- und Energierechts (und in gewisser Weise des Finanzrechts). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt zwar branchenspezifische Sicherheitsstandards (B3S) zur Verfügung. Deren Umsetzung ist aber – jedenfalls im Grundsatz! – freiwillig. Die Sicherheitskataloge nach dem EnWG sowie dem TKG müssen hingegen umgesetzt werden. Eine Nichtumsetzung kann mit Zwangsgeldern (§ 183 Abs. 1, 5 TKG) erzwungen werden und im Extremfall eine Untersagungsverfügung nach sich ziehen (§ 183 Abs. 4 TKG). Mittelbar ist die Nichtbefolgung auch bußgeldbewehrt (etwa wenn das Sicherheitskonzept nach § 166 Abs. 2 TKG nicht rechtzeitig vorgelegt wird, § 288 Abs. 2 Nr. 38 TKG).

Der nun zur Konsultation gestellte Katalog von Sicherheitsanforderungen differenziert zwischen drei Kategorien von Unternehmen:

  • solchen, die öffentliche Telekommunikationsnetze und öffentlich zugängliche Telekommunikationsdienste betreiben, die für das Gemeinwohl eine hohe Bedeutung haben,
  • solchen, die öffentliche Telekommunikationsnetze und öffentlich zugängliche Telekommunikationsdienste betreiben, die für das Gemeinwohl eine Bedeutung haben
  • sowie sonstigen Unternehmen, die öffentliche Telekommunikationsnetze und öffentlich zugängliche Telekommunikationsdienste betreiben.

Anknüpfungspunkt ist das jeweilige Gefährdungspotenzial – maßgeblich hierfür sind (zunächst) die Anzahl der Mitarbeiter sowie der Jahresumsatz. Hieraus ergibt sich dann folgende Zuordnung:

  • Kategorie a) Normales Gefährdungspotenzial (= Einstufung als sonstige Telekommunikationsanbieter)
    • Unternehmen mit weniger als 10 Mitarbeitern und
    • maximal 2 Mio. Euro Jahresumsatz bzw. Jahresbilanzsumme,
  • Kategorie b) Gehobenes Gefährdungspotenzial (= Einstufung als Telekommunikationsanbieter mit Bedeutung für das Gemeinwohl)
    • Unternehmen mit weniger als 50 Mitarbeitern und
    • maximal 10 Mio. Euro Jahresumsatz oder Jahresbilanzsumme,
  • Kategorie c) Erhöhtes Gefährdungspotenzial (= Einstufung als Telekommunikationsanbieter mit hoher Bedeutung für das Gemeinwohl)
    • Unternehmen mit mindestens 50 Mitarbeitern oder
    • jeweils über 10 Mio. Euro Jahresumsatz und Jahresbilanzsumme.

Der letzten Kategorie werden außerdem pauschal alle Betreiber eines Mobilfunknetzes der 5. Generation zugeordnet (wobei die vier derzeitigen Mobilfunknetzbetreiber ohnehin die Voraussetzungen nach Mitarbeitern und Jahresumsatz erfüllen).

Die Unternehmen mit einem Gefährdungspotenzial der Kategorie c) entsprechen dabei den besonders wichtigen Einrichtungen nach § 28 Abs. 1 Nr. 3 des Regierungsentwurfs für ein neues BSIG (BSIG-RegE) (BR-Drs. 369/25, 40). Unternehmen mit Gefährdungspotenzialen nach den Kategorien a) und b) entsprechen wichtigen Einrichtungen i. S. v. § 28 Abs. 2 Nr. 3 BSIG-RegE – insoweit nimmt der Katalog allerdings eine weitere Unterteilung in Anbieter mit Bedeutung für das Gemeinwohl und sonstige Anbieter vor.

Der Katalog von Sicherheitsanforderungen ist im materiellen Teil in zwei Hauptkapitel unterteilt: Kapitel B 4. enthält allgemeine Anforderungen und ist in die Unterabschnitte
4.1 Schutz des Fernmeldegeheimnisses und personenbezogener Daten,
4.2 Unternehmensführung und Risikomanagement,
4.3 Sicherheit im Personalmanagement,
4.4 Sicherheit von Daten, Systemen und Einrichtungen,
4.5 Betriebsführung,
4.6 Lifecycle-Management für Hard- und Software,
4.7 Management von Zwischenfällen,
4.8 Notfall- und Ausfallmanagement,
4.9 Überwachungs-, Prüf- und Testverfahren,
4.10 Bewusstsein für Bedrohungen (Threat Awareness),
untergliedert. Der zweite Hauptteil (Kapitel B 5.) enthält zusätzliche Anforderungen für 5G-Netze und erhält folgende Gliederung:
5.1 Bestimmung von kritischen Komponenten,
5.2 Prozess zur Identifizierung von kritischen Komponenten im betriebenen Netz,
5.3 Zertifizierung von kritischen Komponenten,
5.4 Diversität,
5.5 Technische Maßnahmen für die Sicherheit in 5G-Netzen.
Es folgt schließlich ein weiteres Kapitel (B 6.) mit „Empfehlungen und Hinweisen“. Die einzelnen Kapitel sind teilweise noch weiter untergliedert.

Der Aufbau der Kapitel folgt einem einheitlichen Schema: Zunächst werden die Maßnahmen aufgeführt, die alle Unternehmen ergreifen müssen – Untergliederungspunkt a). Es folgen dann unter b) weitere Maßnahmen, die zusätzlich von Telekommunikationsanbietern mit Bedeutung für das Gemeinwohl (und dementsprechend einem gehobenen Gefährdungspotenzial) ergriffen werden müssen. Unter c) werden schließlich weitere Maßnahmen genannt, die nur von Telekommunikationsanbieter mit hoher Bedeutung für das Gemeinwohl (und einem dementsprechend erhöhtem Gefährdungspotenzial) erfüllt werden müssen. Anders formuliert: Kleine Telekommunikationsanbieter müssen die a)-Maßnahmen umsetzen, mittlere Anbieter die Maßnahmen nach a) und b) und große sowie 5G-Anbieter die Maßnahmen nach a), b) und c).

Die einzelnen Maßnahmen erreichen dabei einen sehr unterschiedlichen Detailgrad. So müssen etwa ganz allgemein alle Unternehmen „Information[en] an das Personal in Schlüsselpositionen über die Sicherheitsstrategie“ geben (B 4.2.1 a) tir. 2). Insbesondere im Kapitel für 5G-Anbieter werden hingegen sehr detaillierte Vorgaben (wenn auch teilweise als Empfehlung formuliert) etwa zur Auswahl von Algorithmen (etwa B 5.5.2 tir. 2: „Die Auswahl des Algorithmus 128-NEA2 bzw. 128-EEA2 wird empfohlen ([3GPP TS 33.501] D.2.1.3 bzw. 3GPP TS 33.401] B.1.3.), solange keine Algorithmen mit größerer Schlüssellänge standardisiert sind“) oder Protokollen (etwa B 5.5.4: „Der Betreiber muss die Zugriffe auf die von den Netzwerkfunktionen angebotenen Services durch die Autorisierung mindestens mittels des OAuth2.0 Protokolls gemäß [3GPP TS 33.501] 13.4.1 sicherstellen.“) gemacht.

Der neue Katalog von Sicherheitsanforderungen greift sehr viel tiefer in die Unternehmensführung ein als der bisherige Katalog. Die Bundesnetzagentur ist sich dieses Umstands sehr bewusst. Der Konsultationsentwurf geht deshalb ausführlich in einem eigenen Kapitel (A) auf die Ermächtigungsgrundlage einschließlich Ausführungen zur Eingriffsdogmatik in die Berufsfreiheit (Art. 12 GG) des Bundesverfassungsgerichts nach der 3-Stufen-Theorie ein. Jedem (Unter-) Kapitel sind zudem Ausführungen zu „Legitimer Zweck und Geeignetheit“, „Erforderlichkeit“ sowie „Angemessenheit“ vorangestellt.

Post Views: 56
5. November 2025/von Alexander Koch
Schlagworte: Bundesnetzagentur, IT-Sicherheit, Sicherheitskalalog, TKG
https://kochneumann.de/wp-content/uploads/2025/11/2025-11-05-Konsulation-Katalog-Sicherheitsanforderungen2.png 751 2145 Alexander Koch https://kochneumann.de/wp-content/uploads/2017/06/2017-05-24_logo_340x156.png Alexander Koch2025-11-05 16:53:252025-11-06 09:13:10Bundesnetzagentur startet Konsultation des Katalogs von Sicherheitsanforderungen nach § 167 TKG
Das könnte Dich auch interessieren
Telefon Wer muss in eine Durchbrechung des Fernmeldegeheimnisses einwilligen?
Überschrift und die ersten Zeilen des Eckpunktepapiers. Eckpunkte des Bundesministeriums für Digitales und Staatsmodernisierung für eine umfassende Änderung des TKG
Mobiltelefon in einem Haufen Münzen liegend. Festlegung der Bundesnetzagentur zur Minderung im Mobilfunk
Telefon auf Kalender. BGH: zeitliche Höchstgrenze bei vorzeitiger Verlängerung von Telekommunikationsverträgen
OLG Bamberg: kein einseitiges Kündigungsrecht vor Ablauf der Mindestlaufzeit eines Mobilfunkvertrags
Newsletter #1 (Mai/Juni 2026)
Rückseiten von Aktenordner auf Regal. EuGH: Sonderkündigungsrecht für Telekommunikationsverträge bei einseitiger Vertragsanpassung
Menschenmenge. Öffentliche Zugänglichkeit von Telekommunikationsdiensten – Impulse aus dem EU-Flugreiserecht?

Kategorien

  • Abgabenrecht
  • Allgemein
  • Ankündigungen
  • Berufsrecht
  • Bestattungsrecht
  • Datenschutzrecht
  • Eisenbahnrecht
  • Elternbeitragsrecht
  • Energierecht
  • Feuerwehrrecht
  • IT-Recht
  • Kanzleiorganisation
  • Kommunalabgabenrecht
  • Kostenrecht
  • Lauterkeitsrecht
  • Lehre
  • Marktüberwachungsrecht
  • Netzwirtschaftsrecht
  • Newsletter
  • Ortsrecht
  • Postrecht
  • Prozessrecht
  • Sondernutzungsrecht
  • Strafrecht
  • Straßenreinigungsrecht
  • Telekommunikationsrecht
  • Verfassungsrecht
  • Wettbewerbsrecht

Schlagwörter

2. GPSGV AGB Alfter Bauprodukteverordnung 305/2011/EU Bergisch Gladbach BGB Bonn Brühl Bundesnetzagentur DNA Einkünfte ElektroG Elternbeiträge Frechen Glasfaser Gleichbehandlung GPSG harmonisierte Norm Hürth In-vitro-Diagnostika-Richtlinie 98/79/EG IT-Sicherheit Kindergärten Kitas Kommission Kommunalabgaben Kundenschutz Köln Leverkusen Marktüberwachungspaket Maschinenrichtlinie 2006/42/EG Medizinprodukterichtlinie 93/42/EWG MPG Netzausbau Niederspannungsrichtlinie 2006/95/EG ProdSG Produktsicherheitsrichtlinie 2001/95/EG R&TTE-Richtlinie 1999/5/EG Rösrath Schutzklauselverfahren Siegburg Spielzeugrichtlinie 2009/48/EG TKG UWG Vertragslaufzeit Wesseling

Archiv

  • Juli 2026
  • Juni 2026
  • Mai 2026
  • April 2026
  • März 2026
  • Februar 2026
  • Januar 2026
  • November 2025
  • Oktober 2025
  • September 2025
  • August 2025
  • Juli 2025
  • Dezember 2023
  • August 2022
  • März 2020
  • November 2018
  • März 2018
  • Januar 2018
  • November 2015
  • Oktober 2015
  • September 2015
  • August 2015
  • Juli 2015
  • Mai 2015
  • April 2015
  • Februar 2015
  • Januar 2015
  • November 2014
  • Oktober 2014
  • August 2014
  • Juli 2014
  • Mai 2014
  • April 2014
  • März 2014
  • Februar 2014
  • Januar 2014
  • Dezember 2013
  • November 2013
  • Oktober 2013
  • September 2013
  • August 2013
  • Juli 2013
  • Januar 2013

Schlagwort-Wolke

2. GPSGV AGB Alfter Bauprodukteverordnung 305/2011/EU Bergisch Gladbach BGB Bonn Brühl Bundesnetzagentur DNA Einkünfte ElektroG Elternbeiträge Frechen Glasfaser Gleichbehandlung GPSG harmonisierte Norm Hürth In-vitro-Diagnostika-Richtlinie 98/79/EG IT-Sicherheit Kindergärten Kitas Kommission Kommunalabgaben Kundenschutz Köln Leverkusen Marktüberwachungspaket Maschinenrichtlinie 2006/42/EG Medizinprodukterichtlinie 93/42/EWG MPG Netzausbau Niederspannungsrichtlinie 2006/95/EG ProdSG Produktsicherheitsrichtlinie 2001/95/EG R&TTE-Richtlinie 1999/5/EG Rösrath Schutzklauselverfahren Siegburg Spielzeugrichtlinie 2009/48/EG TKG UWG Vertragslaufzeit Wesseling

Aktuelle Informationen

2.7.2026: In LMK 2026, 810442 ist eine Entscheidungsanmerkung von Rechtsanwalt Neumann zum Urteil des BGH vom 8. Januar 2026 (Az. III ZR 8/25) über den Beginn der Vertragslaufzeit im Anwendungsbereich von § 56 Abs. 1 TKG erschienen.

18.6.2026: Das Handelsblatt führt Rechtsanwalt Prof. Dr. Koch in seiner aktuellen Aufstellung „Deutschlands Beste Anwälte 2026“ für den Bereich „Gewerblicher Rechtsschutz“ und „Öffentliches Wirtschaftsrecht“ sowie Rechtsanwalt Neumann für den Bereich „Telekommunikationsrecht“ auf.

18.6.2026: Andreas Neumann hat heute beim Verband der Anbieter im Digital- und Telekommunikationsmarkt (VATM) e. V. einen Online-Vortrag zum „TKG-Änderungsgesetz 2026: vom Referenten- zum Regierungsentwurf“ gehalten.

Impressum

Anbieterkennzeichnung, Dienstleistungsinformationen und Informationen zum Datenschutz

Neueste Beiträge

  • OLG Bamberg: kein einseitiges Kündigungsrecht vor Ablauf der Mindestlaufzeit eines Mobilfunkvertrags 14. Juli 2026
  • Newsletter #1 (Mai/Juni 2026) 17. Juni 2026
  • BGH: Angebot einer Vertragsvariante mit einer höchstens zwölfmonatigen Laufzeit 16. Juni 2026
  • Bundesregierung beschließt den Entwurf eines Gesetzes zur Änderung des TKG 15. Juni 2026
  • LG Düsseldorf: Verhältnis von TKG und UWG 15. Mai 2026
© Copyright - Koch & Neumann - Enfold Theme by Kriesi
  • Link zu Xing
  • Link zu LinkedIn
  • Link zu Mail
Link to: Auf dem Weg zu einem Gesamtkonzept für die Kupfer-Glas-Migration: die Eckpunkte des Bundesdigitalministeriums Link to: Auf dem Weg zu einem Gesamtkonzept für die Kupfer-Glas-Migration: die Eckpunkte des Bundesdigitalministeriums Auf dem Weg zu einem Gesamtkonzept für die Kupfer-Glas-Migration: die Eckpunkte...Baugrube mit Kabeln. Link to: Cyber und resilient: das IT-Sicherheitsrecht im Überblick Link to: Cyber und resilient: das IT-Sicherheitsrecht im Überblick Cyber und resilient: das IT-Sicherheitsrecht im Überblick
Nach oben scrollen Nach oben scrollen Nach oben scrollen