– NIS-2-Umsetzungsgesetz stärkt Cybersicherheit und behält BNetzA-Aufsicht über Energiesysteme.
– Kritik an bürokratischem Prüfverfahren, das Versorgungsrisiken und Projektverzögerungen verursachen könnte.
– Forderung nach pauschaler Ausschlussliste unzuverlässiger Hersteller, EU-Hersteller pauschal ausgenommen.
Gesetzentwurf zur NIS-2-Umsetzung: Wichtiger Schritt, aber Herausforderungen bei kritischen IT-Komponenten
Am Mittwoch präsentiert das Bundeskabinett den Entwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Stärkung der Cybersicherheit (NIS2UmsuCG). Dieses Vorhaben reagiert auf die zunehmenden Herausforderungen im Bereich der digitalen Sicherheit vor dem Hintergrund aktueller sicherheitspolitischer Entwicklungen. Der Regierungsentwurf ist ein bedeutender Fortschritt für die Cybersicherheit in Deutschland, betont Kerstin Andreae, Vorsitzende der BDEW-Hauptgeschäftsführung. Besonders hervorzuheben sind die spezialrechtlichen Regelungen für den Energiesektor, die die behördliche Aufsicht über IT-Systeme von Energienetzen und kritischen Energieerzeugungsanlagen weiterhin bei der Bundesnetzagentur belassen. Damit setzt das Gesetz konsequent auf bewährte Strukturen, an die die Praxis der IT-Sicherheitskataloge anknüpft.
Gleichzeitig weist Andreae auf dringenden Handlungsbedarf hin, insbesondere bezüglich der Regelungen zum Einsatz kritischer Komponenten, die im § 41 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) verankert sind. Zwar ist das Ziel nachvollziehbar, IT-Komponenten von Herstellern auszuschließen, die aus geopolitischen Gründen nicht als verlässlich gelten. Dieses politische Anliegen ist legitim, darf aber nicht in bürokratischen Hürden münden, die den Betreibern kritischer Infrastrukturen erhebliche rechtliche und wirtschaftliche Risiken aufbürden und so die Versorgungssicherheit gefährden könnten.
Im Fokus steht das aktuelle Prüfverfahren zur Untersagung des Einsatzes kritischer Komponenten. Dieses Verfahren könnte angesichts der erwarteten vierstelligen Menge an jährlichen Meldungen überfordert sein und dadurch zu Verzögerungen bei wichtigen Netzausbau- und Energiewendeprojekten führen. Hier warnt Andreae vor ernsthaften Engpässen: „**Das aktuelle Prüfverfahren ist nicht gewachsen, was zu Verzögerungen bei Netzausbau- und Energiewendeprojekten führen könnte.**“ Aus Sicht des BDEW sollte das Anzeigenverfahren daher durch eine Ausschlussliste ersetzt werden, die generell nicht-vertrauenswürdige Hersteller benennt. Ein solcher pragmatischer Ansatz würde klare Rahmenbedingungen schaffen, zumal Hersteller mit Sitz in der EU rundum pauschal ausgenommen werden sollten.
Diese Position fasst das Spannungsfeld zwischen notwendigen Schutzmaßnahmen und handhabbaren Umsetzungsprozessen zusammen: Während die Stärkung der Cybersicherheit in Deutschland vorangetrieben wird, besteht insbesondere bei der Kontrolle kritischer IT-Komponenten noch erheblicher Anpassungsbedarf. Die politischen und regulatorischen Weichenstellungen müssen sicherstellen, dass Sicherheitsziele erreicht werden, ohne die Energieversorgung oder wichtige Infrastrukturprojekte durch übermäßige Bürokratie zu gefährden.
Warum der Kampf um Cybersicherheit jetzt für Gesellschaft und Wirtschaft so wichtig ist
Cybersicherheit hat längst eine zentrale Bedeutung für unser tägliches Leben und die Stabilität der Wirtschaft erhalten. Digitale Infrastrukturen steuern heute nicht nur Kommunikationswege, sondern auch Energieversorgung, Transport und Gesundheitsdienste. Fällt eine kritische Infrastruktur durch Cyberangriffe aus, kann das schwerwiegende Folgen für die öffentliche Sicherheit und das Funktionieren ganzer Branchen haben. Die zunehmende Vernetzung bringt gleichzeitig neue Angriffsflächen und Abhängigkeiten mit sich, die es mit wirksamen Sicherheitsmaßnahmen zu schützen gilt.
Kritische Infrastrukturen sind Systeme und Einrichtungen, die für das Gemeinwohl unverzichtbar sind, etwa Stromnetze, Wasserversorgung, Telekommunikation und Verkehr. Die wachsende Digitalisierung dieser Bereiche macht sie verletzlich gegenüber gezielten Angriffen oder technischen Störungen. Hier setzt die EU-Richtlinie NIS-2 an, die europäische Mindeststandards für die IT-Sicherheit in solchen Sektoren festlegt. Deutschland arbeitet derzeit daran, diese Vorgaben mit dem NIS-2-Umsetzungsgesetz in nationales Recht zu überführen. Mit diesem Gesetz sollen Sicherheitsanforderungen gestärkt, Pflichtmeldungen verbessert und Behörden zuständiger werden.
Auf geopolitischer Ebene wächst der Druck. Staaten und Organisationen rüsten sich zunehmend mit Cyberwaffen, und digitale Angriffe auf kritische Systeme häufen sich. Zudem zeigen Lieferkettenkrisen und Abhängigkeiten von einzelnen Anbietern aus bestimmten Ländern, wie verletzlich die Versorgungsnetze sind. Das aktuelle Prüfverfahren für den Ausschluss kritischer IT-Komponenten aus nicht-vertrauenswürdigen Herkunftsländern stößt hier an Grenzen: Die erwartete Anzahl von Meldungen über unzuverlässige Bauteile ist hoch, und Verzögerungen könnten sich negativ auf Infrastrukturprojekte und damit auf die Versorgungssicherheit auswirken.
Die Debatte um eine verbindliche Ausschlussliste statt eines aufwändigen Prüfverfahrens zielt darauf ab, klare und pragmatische Regeln zu schaffen. So könnten Hersteller mit Sitz in der EU grundsätzlich ausgenommen werden, um unnötige Bürokratie zu vermeiden und gleichzeitig die Risiken aus unsicheren Herkunftsländern zu minimieren. Diese Balance ist entscheidend für die Zukunft der Digitalisierung und der Versorgungssicherheit.
Cybersicherheit und Energieversorgung: Was steht auf dem Spiel?
Eine besonders kritische Rolle spielt die Energiebranche, da sie als Rückgrat aller anderen Sektoren gilt. Steuerungssysteme für Stromnetze und Erzeugungsanlagen unterliegen speziellen Sicherheitsregeln und müssen durch die Bundesnetzagentur besonders überwacht werden. Aus Sicht des Bundesverbands der Energie- und Wasserwirtschaft (BDEW) ist es wichtig, bewährte Praxis weiterhin konsequent anzuwenden und gleichzeitig neue Risiken durch nicht-vertrauenswürdige Komponenten konsequent zu adressieren. Ungesicherte IT-Systeme könnten zwar nicht nur zu Stromausfällen führen, sondern auch die Energiewende und wichtige Ausbauprojekte gefährden.
Wie Europas Gesetzgebung Industrie und Alltag verändert
Die NIS-2-Richtlinie hebt die Standards für Cybersicherheit auf ein neues Niveau und betrifft neben Energie auch Wasser, Verkehr, Gesundheit, Finanzierung und digitale Infrastruktur. Unternehmen dieser Sektoren müssen künftig strengere technische und organisatorische Maßnahmen ergreifen, um Angriffe abzuwehren und Vorfälle zu melden. Das schafft neue Herausforderungen, bietet aber auch Chancen: Verbesserte Sicherheit erhöht das Vertrauen der Verbraucher und stärkt die Wettbewerbsfähigkeit heimischer Unternehmen im globalen Vergleich.
Die weitere Entwicklung der Gesetzgebung wird genau beobachten, ob die Balance zwischen Schutz und wirtschaftlicher Machbarkeit gelingt. Verbraucher profitieren von zuverlässigerer Versorgung und besserem Schutz ihrer Daten, während Wirtschaft und Politik gemeinsam Lösungen für digitale Abwehrstrategien suchen und Innovationen fördern müssen. Insgesamt zeigt sich: Cybersicherheit ist kein rein technisches Thema mehr, sondern eine gesamtgesellschaftliche Aufgabe mit großen Auswirkungen auf den Alltag und die Zukunftsfähigkeit Europas.
Die Informationen und Zitate in diesem Beitrag basieren auf einer Pressemitteilung des Bundesverbands der Energie- und Wasserwirtschaft e.V. (BDEW).