Ein Jahr NIS2-Gesetzgebung – und kein Ende in Sicht

Die SpaceNet AG kritisiert unausgereiften Gesetzesentwurf + Exakt heute vor einem Jahr, am 24. Juli 2024, hat das Bundeskabinett den ersten Regierungsentwurf des „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ (NIS2UmsuCG) beschlossen. Seitdem ist wenig passiert – außer, dass nun ein neuer Referentenentwurf vorliegt: Aus Sicht der SpaceNet AG mit zentralen Schwächen und an einigen Stellen sogar noch mehr Lücken als der ursprüngliche.

Das eigentliche Ziel – mehr Cybersicherheit für Unternehmen und digitale Infrastruktur – droht nun endgültig aus dem Blick zu geraten. Der aktuelle Referentenentwurf (Stand 23. Juni 2025) lässt zentrale Fragen offen, überfordert Mittelständler mit Detailvorgaben und nimmt gleichzeitig staatliche Stellen praktisch aus der Verantwortung.

„Cybersicherheit lässt sich nicht mit dem Ausfüllen von Formularen herbeizaubern“, sagt Sebastian von Bomhard, Gründer und Vorstand der SpaceNet AG. „Der Gesetzentwurf versucht, strukturelle Probleme mit Checklisten zu kontern. Wir sehen dabei weder ordentlich definierte Zuständigkeiten noch festgelegte Meldewege oder klare Verhältnisse bei technischem Anspruch – dabei hätte es genau das gebraucht.“

Keine Übergangsfristen trotz unklarer Regeln

Ein zentraler Kritikpunkt der SpaceNet AG ist außerdem, dass Unternehmen unverzüglich nach Inkrafttreten des Gesetzes in die Pflicht gezwungen werden, obwohl die praktische Umsetzbarkeit noch nicht ausreichend geklärt ist. Für viele Unternehmen fehlt ein konsistentes Rahmenwerk – etwa bei der Definition von Sicherheitsvorfällen, bei Meldefristen oder dem Umgang mit Drittanbietern.

„Seit über 30 Jahren übernehmen wir Verantwortung für unsere IT-Infrastruktur und die unserer Kunden. Wir haben sicher kein Problem mit Pflichten – aber wenn die Regierung auf der einen Seite keine Übergangsfristen einräumt und auf der anderen keine eindeutigen Vorgaben liefert, dann ist Chaos vorprogrammiert und es entsteht kein Schutz“, so von Bomhard.

Warnsignal fehlender Verantwortung bei Behörden

Dass zentrale Akteure auf staatlicher Seite wie Bundesbehörden weitgehend von den Anforderungen ausgeklammert werden sollen, ist laut SpaceNet eine weitere kritische Entwicklung. Während der überlastete Mittelständler binnen 24 Stunden nach einem Sicherheitsvorfall Meldung machen muss, gelten für Behörden andere oder gar keine Regeln.

„Es ist ein offensichtlicher Holzweg, die Anforderungen an die öffentliche Hand niedriger anzusetzen als für Privatunternehmen“, warnt von Bomhard. „Behörden betreiben oft hochsensible Infrastruktur und verwalten viele sensiblen Daten – wenn die von den Regeln ausgenommen werden, dann schwächt das nicht nur unsere Verteidigungsfähigkeit, sondern auch das Vertrauen in den Staat.“

Cybersicherheit braucht Substanz, nicht nur Fassade

SpaceNet fordert eine praxisnahe, konsistente Umsetzbarkeit der NIS2-Richtlinie – mit klaren Begriffen, verbindlichen technischen Standards und einem einheitlichen Sicherheitsniveau für alle Betreiber digitaler Infrastruktur – egal ob privat oder öffentlich.

„Sicherheit im digitalen Raum ist kein bürokratischer Prozess im Verwaltungsapparat – es ist ein andauernder organisatorischer und technischer Vorgang. Politische Symbolik hilft dem von Cyberattacken betroffenen Unternehmer nicht weiter. Was wir brauchen, ist ein belastbares Regelwerk und staatliche Unterstützung bei der Umsetzung“, fasst Sebastian von Bomhard zusammen. „Es ist schlicht enttäuschend und nicht nachvollziehbar, dass wir monatelang auf Fortschritte bei der NIS2-Umsetzung gewartet haben und nun mit einem derart unausgereiften Referentenentwurf konfrontiert werden.“

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky