Alexander Koch

Letzte Änderungen bei der Umsetzung der NIS-2-Richtlinie im BSIG

Im Gesetzgebungsverfahren zur Umsetzung der NIS-2-Richtline ist es noch zu letzten für die Wirtschaft wichtigen Änderungen gekommen. Der Bundestag hat in der Sitzung am 13. November 2025 das „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ beschlossen (BT-Protokoll 21/40, 4574 D). Der Bundesrat hat in seiner Sitzung am 21. November 2025 keinen Antrag auf Anrufung des Vermittlungsausschusses gestellt. Da das Gesetz nicht zustimmungsbedürftig ist, kann es nun in Kraft gesetzt werden.

Damit befindet sich die Umsetzung der NIS-2-Richtlinie nun endlich auf der Zielgeraden. Eigentlich hätte die Richtlinie bereits bis Mitte Oktober 2024 umgesetzt werden müssen.

Im Gesetzgebungsverfahren ist es gegenüber dem Regierungsentwurf noch zu letzten wesentlichen Änderungen gekommen (vgl. BT-Drs. 21/2782).

Aus Unternehmenssicht sind dabei die folgenden Änderungen besonders bedeutsam:

Adressatenkreis des § 16 BSIG

Nach § 16 BSIG kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) gegenüber den Anbietern von öffentlich zugänglichen Telekommunikationsdiensten anordnen, dass diese zur Abwehr erheblicher Gefahren Maßnahmen bis hin zur Unterbindung eines Telekommunikationsdienstes ergreifen müssen. Der Regierungsentwurf hatte hier eine Beschränkung auf Anbieter mit 100 000 Kunden vorgesehen. Diese Beschränkung ist nun weggefallen. Der potentielle Adressatenkreis ist damit auf alle Telekommunikationsanbieter ausgedehnt worden

Die Beschlussempfehlung führt hierzu aus:

„Die Erweiterung ist notwendig, da andernfalls eine Vielzahl von Nutzern, denen über kleinere (etwa regionale) Anbieter Telekommunikationsdienstleistungen zur Verfügung gestellt werden, nicht entsprechend geschützt werden können.“ (BT-Drs. 21/2782, 21)

Untersagung des Einsatzes kritischer Komponenten, § 41 BSIG

Bislang müssen Betreiber kritischer Infrastrukturen den Einsatz kritischer Komponenten vorab dem Bundesministerium des Inneren (BMI) melden. Das BMI kann dann den Einsatz untersagen. Zudem durften kritische Komponenten nur eingesetzt werden, wenn die Hersteller eine „Erklärung über [ihre] Vertrauenswürdigkeit“ (Garantieerklärung) abgegeben hatten (§ 9b BSIG-alt). Hiermit verbunden war ein entsprechender Aufwand bei den betroffenen Unternehmen. Gleichwohl hat der Regierungsentwurf die bisherige Regelung in § 41 BSIG-RegE fortgeführt.

Im Bundestag sind beide Verpflichtungen – Anzeige und Einholung einer Garantieerklärung – nun gestrichen worden (BT-Drs. 21/2782, 22 f.). Allerdings kann das BMI weiterhin den Einsatz kritischer Komponenten untersagen. Es kann zudem durch Rechtsverordnung bestimmen, welche Komponenten als kritisch gelten (§ 56 Abs. 7 und 8 BSIG).

/von
Das könnte Dich auch interessieren
Bundesnetzagentur startet Konsultation des Katalogs von Sicherheitsanforderungen nach § 167 TKG
Cyber und resilient: das IT-Sicherheitsrecht im Überblick