Mit dem Cybersicherheitsgesetz will der Bund die Cybersicherheit in der Bundesverwaltung und in der Wirtschaft verbessern. Wichtige Verbesserungsvorschläge lehnt die Bundesregierung aber bislang ab. Wo muss dringend nachgebesserter werden?
Hintergrund
Ich hatte bereits im Blog berichtet: Die Bundesregierung will die europäische NIS2-Richtlinie mit dem Cybersicherheitsgesetz umsetzen (BT-Drs. 21/1501), damit soll die Widerstandskraft von Staat und Wirtschaft gegen Cyberangriffe erhöht werden, die erhebliche wirtschaftliche Schäden verursachen können. Dazu soll das Informationssicherheitsmanagement in der Bundesverwaltung verbessert und Meldepflichten bei Sicherheitsvorfällen eingeführt sowie schärfere Sanktionen bei Verstößen vorgesehen werden.
Bundesrat und Sachverständige fordern dringend Nachbesserung
Der Bundesrat begrüßt die geplante Umsetzung der NIS-2-Richtlinie, fordert aber zahlreiche Nachbesserungen vor allem bei der Einbindung der Länder und bei Entbürokratisierung, Umsetzbarkeit und beim Verbraucherschutz. Die Bundesregierung lehnt diese Forderungen aber bis auf zwei Ausnahmen bislang ab (BT-Drs.21/2072).
Auch die von den Bundestagsfraktionen benannten Sachverständigen haben Mitte Oktober 2025 deutlichen Nachbesserungsbedarf am Gesetzentwurf der Bundesregierung reklamiert. Hauptkritikpunkt bei der Anhörung war, dass lediglich Bundesministerien und das Bundeskanzleramt in die Regelung mit einbezogen werden sollen, nicht aber die nachgeordneten Behörden des Bundes, nicht die der Länder und auch nicht die kommunale Ebene. Auch beim Schwachstellenmanagement gebe es Mängel des Gesetzentwurfs.
Bewertung und Ausblick
Wenn Bundesrat und Sachverständige unisono erhebliche Nachbesserungen am Gesetzentwurf der Regierung fordern, stellt sich schon die Frage, ob sich soviel Stimmen irren können. Aus meiner Sicht sind es drei zentrale Punkte, die im geplanten Cybersicherheitsgesetz unbedingt nachzubessern sind:
Einbeziehung von Ländern und Kommunen in den Schutzbereich: Ohne Einbeziehung der öffentlichen Verwaltung der Länder und Kommunen blieben zentrale Bereiche der öffentlichen Daseinsvorsorge und des Verwaltungsvollzugs ohne verbindliche Cybersicherheitsanforderungen und damit ein unreguliertes Einfallstor für externe Cyberangriffe.
Verbesserung des staatlichen Schwachstellenmanagements: Bislang fehlen klare Regelungen für ein staatliches Schwachstellenmanagement, wie mit gemeldeten Sicherheitsinformationen umgegangen werden soll. Hierfür müsste der Umgang mit Schwachstellen für IT-Sicherheits-, nachrichtendienstliche oder polizeiliche Zwecke durch die Bundes- und Landesbehörden klar geregelt werden.
Gleichschritt von Digitalisierung und Cybersicherheit: Wenn man nun hoffentlich bei der Digitalisierung vorankommt, aber gleichzeitig bei der Sicherheit stehenbleibt oder gar zurückfällt, werden die Bemühungen des neuen Digitalministeriums ad absurdum geführt. Verwaltungsdigitalisierung und Cyberschutz geraste in der gesamten öffentlichen Verwaltung müssen deshalb Hand in Hand umgesetzt werden.
Demnächst wird sich der Bundestag abschließend mit dem Gesetzesvorhaben befassen. Bleibt zu hoffen, dass bis dahin noch Einsicht bei der Bundesregierung einkehrt und das wichtige Gesetz noch nachjustiert wird.
Weitere Informationen:
- Gesetzentwurf Bundesregierung, Heute im Bundestag (hib) 408/2025 v. 10.9.2025:
- Stellungnahme des Bundesrates und Gegenäußerung der Bundesregierung
- Bundestag (hib) 501/2025 v. 13.10.2025
- Ergebnis der Sachverständigenanhörung, Heute im Bundestag (hib) 507/2025 v. 14.10.2025:
- Gegenäußerung der Bundesregierung, BT-Drs. 21/2072