Köln, 12.06.2025 / aktualisiert am 27.06.2025
Am 05. Juni 2025 hat die AG KRITIS einen neuen – nicht offiziell veröffentlichten – Referentenentwurf mit dem Titel „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (datiert vom 26.05.2025) publiziert. Nun hat das BMI am 23.06.2025 einen weiteren überarbeiteten Entwurf (der inzwischen wieder unter dem Kürzel NIS2UmsuCG läuft) veröffentlicht und an die Verbände verschickt. Diese wurden eingeladen, Stellung zu nehmen und an einer Verbändeanhörung am 4. Juli 2025 teilzunehmen.
Auch wir von der TÜV TRUST IT wurden eingeladen, an der Anhörung mitzuwirken, und werden die dort gewonnenen Informationen aus erster Hand weitergeben können. 😉
Große Überraschungen? Fehlanzeige. Aber es geht ums Detail – und genau das wird in der Umsetzung entscheidend.
Neues im Referentenentwurf vom 23.06.2025 – Die drei wesentlichen Punkte:
📌 § 28 (3) BSIG-E: „Vernachlässigbare Geschäftstätigkeiten“
Die bisherige Möglichkeit, z. B. bestimmte Beschäftigte bei der Einstufung als wichtige Einrichtung herauszurechnen, wurde ersetzt: Künftig sollen „vernachlässigbare Geschäftstätigkeiten“ nicht berücksichtigt werden. Was genau darunter fällt, bleibt unklar – die Erläuterung spricht lediglich von „geringfügigen Nebentätigkeiten“. Eine juristische Einordnung ist bereits im Umlauf und macht deutlich: Rechtssicherheit sieht anders aus. Die Gefahr: Die Anforderungen der NIS-2 könnten damit de facto abgeschwächt werden.
📌 § 30 (2) BSIG-E: Streichung des Begriffs „Cyberhygiene“
Der unklare Begriff „Cyberhygiene“ wurde gestrichen – verständlich angesichts seiner Vagheit. Allerdings entfällt damit auch ein Teil der Anforderungen, die ursprünglich damit verknüpft waren. Ob das eine sinnvolle Klarstellung oder eine problematische Aufweichung ist, wird noch zu diskutieren sein.
📌 § 5c EnWG-E: Mehr Einfluss für das BSI im Energiesektor
Eine bedeutende Änderung betrifft den Energiesektor: Künftig darf die BNetzA IT-Sicherheitskataloge nur noch im Einvernehmen mit dem BSI erlassen – bislang reichte ein bloßes Benehmen. Eine scheinbar kleine Änderung, die die Rolle des BSI spürbar stärkt und die strategische Position der Behörde im Bereich Energie-Infrastrukturen verbessert.
Was sich laut geleaktem Entwurf ändert – und warum es zählt:
✔️ Lücken bei Telekommunikationsanbietern geschlossen
So wurde durch das Schließen eines Schlupflochs sichergestellt, dass alle Telekommunikationsanbieter zumindest als wichtige Einrichtung gelten. Wer sich bislang nicht angesprochen fühlte, sollte jetzt besser nochmal nachrechnen.
✔️ Weniger Interpretationsspielraum bei Risikomanagementmaßnahmen
Auch bei den Mindestmaßnahmen im Risikomanagement gibt es Veränderungen: keine zusätzlichen Pflichten, aber eine sprachliche Schärfung. Weniger Interpretationsspielraum – mehr Klartext.
✔️ Verbändeanhörung wird Pflicht
Was bislang allein Sache des BMI war, soll künftig nicht mehr ohne Beteiligung der Wirtschaft gehen. Beim Erlass von Verordnungen müssen Verbände künftig formell angehört werden. Ein kleiner Schritt für den Gesetzgeber, ein wichtiger für alle, die betroffen sind.
Und politisch?
Wenn sich die beteiligten Ministerien einigen, könnte der Gesetzentwurf noch vor der Sommerpause ins Kabinett gehen. Das parlamentarische Verfahren würde dann im Herbst starten. Ein Inkrafttreten Ende 2025 oder Anfang 2026? Durchaus realistisch.
Verwunderlich bleibt: Das neu geschaffene „Bundesministerium für Digitalisierung und Staatsmodernisierung“ taucht im aktuellen Entwurf nicht einmal auf.
Unser Fazit:
Wer auf große Schlagzeilen gehofft hat, wird enttäuscht.
Wer auf schlankere Anforderungen gehofft hat – ebenso.
Die beiden Entwürfe bringen keine Revolution – aber neue Klarstellungen. Und auch neue Unsicherheiten.
Und genau das ist es, was jetzt zählt:
👉 Bin ich als Unternehmen betroffen?
👉 Reichen unsere Prozesse – oder glauben wir das nur?
Antworten liefern wir in unserem Webinar:
„Handlungsdruck durch NIS-2 – jetzt handeln statt abwarten!“
Für alle, die jetzt verstehen wollen, was das Gesetz in der Praxis bedeutet – und was nicht.