NIS2 in Deutschland: Ein Gesetz zwischen verspäteter Umsetzung und struktureller Halbherzigkeit

Deutschland hat die europäische NIS2-Richtlinie mit erheblicher Verzögerung in nationales Recht überführt. Die verspätete Umsetzung allein wäre schon politisch problematisch – sie steht für jahrelangen Stillstand in der Cybersicherheit und für ein strukturelles Unvermögen, europäische Mindeststandards zügig und kohärent in deutsches Recht zu übertragen. Doch die inhaltlichen Entscheidungen wiegen schwerer als der Zeitverzug.

Das neue Gesetz soll kritische Infrastrukturen besser schützen, die Cybersicherheitsanforderungen harmonisieren und dem Bundesamt für Sicherheit in der Informationstechnik weitergehende Aufsichtsbefugnisse geben. Vorgesehen sind unter anderem Meldepflichten für Sicherheitsvorfälle innerhalb von 24 Stunden, verpflichtende Notfallpläne, Risikoanalysen und technische Schutzmaßnahmen. Rund 29.000 Unternehmen sollen künftig unter diese Vorgaben fallen – deutlich mehr als bisher.

Gleichzeitig bleiben zentrale Sicherheitsmechanismen unzureichend verankert. Das Schwachstellenmanagement, das in der modernen Cybersicherheit eine Kernfunktion erfüllt, wurde im parlamentarischen Verfahren massiv abgeschwächt. Eine kohärente Verpflichtung zu kontinuierlicher Identifikation, Bewertung und Behebung von Sicherheitslücken fehlt. Das unterminiert den Zweck des Gesetzes: Ohne systematische Schwachstellenprozesse bleibt jeder Meldeweg ein reaktives Instrument. Resilienz entsteht aber durch Prävention.

Besonders umstritten sind die Regelungen zu sogenannten kritischen Komponenten. Der Gesetzentwurf ermöglicht Eingriffe nicht nur im Mobilfunkbereich, sondern auch in Glasfasernetzen – selbst bei bereits verbauten Komponenten. Das erzeugt Unsicherheit, dämpft Investitionen und belastet vor allem kleinere und mittlere Unternehmen. Das betrifft Telekommunikationsanbieter ebenso wie Betreiber Energie- oder Transportinfrastrukturen, die langfristige Planungssicherheit benötigen.

Gleichzeitig verschiebt sich die Entscheidungsbefugnis über kritische Komponenten stärker in Richtung Ministerialverwaltung. Das Innenressort soll künftig – in Abstimmung mit anderen Ressorts – bestimmen können, welche Komponenten als kritisch gelten und deren Einsatz untersagen. Eine technische Bewertung durch spezialisierte Behörden bleibt möglich, verliert aber an Gewicht. Für die betroffenen Unternehmen entsteht damit ein Graubereich: Die regulatorische Grundlage bleibt volatil, die wirtschaftlichen Risiken steigen.

Zugleich wird der Anwendungsbereich in einigen Sektoren bewusst verengt. Bestimmte Energieerzeuger und kommunale Betriebe werden von zusätzlichen Regulierungen ausgenommen, um Doppelstrukturen zu vermeiden. Das reduziert bürokratische Lasten, riskiert aber gleichzeitig sektorale Lücken in der Sicherheitsarchitektur.

Die politische Linie wirkt dadurch inkonsistent: Einerseits wird der Kreis der Verpflichteten massiv ausgeweitet. Andererseits werden sicherheitsrelevante Pflichten abgeschwächt oder durch spätere ministerielle Entscheidungen relativiert. Die Folge ist ein Gesetz, das formal europäische Vorgaben erfüllt, aber faktisch hinter den strukturellen Anforderungen einer modernen Cybersicherheitsstrategie zurückbleibt.

NIS2 hätte der Impuls sein können, Cybersicherheit in Deutschland systematisch zu professionalisieren und europäische Standards konsequent zu übernehmen. Was nun vorliegt, ist ein Kompromiss zwischen sicherheitspolitischen Anforderungen, wirtschaftlichen Interessen und administrativen Überforderungen. Die eigentliche Frage bleibt offen: Ob dieser Kompromiss ausreicht, um kritische Infrastrukturen in einer Zeit zunehmender digitaler Risiken tatsächlich zu schützen.