Cyber und resilient: das IT-Sicherheitsrecht im Überblick

In der aktuellen Ausgabe der N&R 2025, 274 ist ein Aufsatz von mir mit dem Titel „Cyber und resilient: das IT-Sicherheitsrecht im Überblick“ erschienen.

Das IT-Sicherheitsrecht wird in einer Vielzahl von unionalen und nationalen Rechtsakten geregelt. Teilweise gelten Verordnungen der Union direkt, teilweise setzt das nationale Recht Richtlinien der Union um. Die Vielzahl der Rechtsakte, deren Benennung wenig hilfreich (bis mitunter verwirrend) ist, erschwert einen Zugang zu diesem wichtigen Rechtsgebiet erheblich. In dem Aufsatz stelle ich die wichtigsten unionalen und nationalen Gesetze vor und systematisiere diese.
Ein Schwerpunkt liegt dabei – naturgemäß – auf der Umsetzung der NIS-2-Richtlinie (EU) 2022/2555 im BSIG und der CER-Richtlinie (EU) 2022/2557. Hier hat es nach Redaktionsschluss weitere Entwicklungen gegeben. So liegt zum „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ inzwischen die Beschlussempfehlung und der Bericht des Innenausschusses vor (BT-Drs. 21/2782). Außerdem hat der Bundestag den Gesetzentwurf in der Sitzung am 13. November 2025 angenommen (BT-Prot 21/40, 4574 D). Es ist nun noch der Bundesrat am Zuge, der dem Gesetz aber nicht zustimmen muss.
Der „Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ (der im Kern das KRITIS-Dach-Gesetz enthält), ist inzwischen in den Bundestag eingebracht worden (BT-Drs. 21/2510). Es hat zudem eine 1. Beratung im Bundestag stattgefunden (BT-Prot. 21/37, 4049 C).