NIS-2-Umsetzungsgesetz: Bundesregierung blockt – Länderforderungen weitgehend abgelehnt

Das Gesetzgebungsverfahren zur Umsetzung der EU-Richtlinie (EU) 2022/2555 – besser bekannt als NIS-2-Richtlinie – in deutsches Recht schreitet voran. Nachdem der Bundesrat am 20. September 2025 seine Stellungnahme zum Regierungsentwurf abgegeben hatte, liegt nun die Gegenäußerung der Bundesregierung vom 10. Oktober 2025 vor.

Von den insgesamt 21 Vorschlägen des Bundesrates zur Änderung des Entwurfs zeigt sich die Bundesregierung nur bei zwei Punkten prüfbereit. Die übrigen Empfehlungen werden abgelehnt. Damit bleibt die Bundesregierung in zentralen Fragen – insbesondere bei der Aufsichtsstruktur und der Zuständigkeitsverteilung zwischen Bund und Ländern – bei ihrer bisherigen Linie.

Hintergrund: Ziel und Reichweite der NIS-2-Richtlinie

Die NIS-2-Richtlinie verfolgt das Ziel, ein europaweit einheitlich hohes Sicherheitsniveau im Bereich der Netz- und Informationssicherheit zu schaffen. Im Vergleich zur bisherigen NIS-Richtlinie von 2016 wird der Anwendungsbereich erheblich ausgeweitet. Neben Betreibern kritischer Infrastrukturen werden künftig auch zahlreiche sogenannte „wichtige Einrichtungen“ in die Pflichten einbezogen. Die betroffenen Unternehmen und Organisationen sind verpflichtet, angemessene technische und organisatorische Maßnahmen zur Vermeidung und Erkennung von Sicherheitsvorfällen zu ergreifen, ihre Risikolage regelmäßig zu bewerten, Sicherheitsverantwortliche zu benennen und erhebliche Vorfälle zeitnah zu melden. Zusätzlich sind umfassende interne Strukturen zur Einhaltung der Vorgaben vorzuhalten.

Die NIS‑2‑Richtlinie ist am 16. Januar 2023 in Kraft getreten und musste bis spätestens 17. Oktober 2024 in nationales Recht umgesetzt werden. Diese Frist ist inzwischen abgelaufen, ohne dass das deutsche Umsetzungsgesetz verabschiedet wurde. Deutschland befindet sich damit im Umsetzungsverzug, das Gesetzgebungsverfahren ist jedoch weit fortgeschritten. Die Bundesregierung hat hierfür den Entwurf eines NIS‑2‑Umsetzungsgesetzes vorgelegt, der vor allem Änderungen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) vorsieht. Der Entwurf betont eine einheitliche Bundeszuständigkeit für die Aufsicht über alle erfassten Einrichtungen, auch über solche in der Trägerschaft von Ländern und Kommunen. Dieses zentrale Steuerungsmodell ist einer der Hauptkritikpunkte der Länder.

Die Stellungnahme des Bundesrates: Kritik am Zentralismus und Forderung nach Anpassungen

In seiner Stellungnahme kritisiert der Bundesrat insbesondere die starke Konzentration der Aufsicht beim Bund. Er fordert eine stärkere föderale Beteiligung, insbesondere bei der Kontrolle von Einrichtungen, die der Zuständigkeit der Länder unterliegen, etwa Landesbehörden, kommunale Unternehmen oder Hochschulen. Auch im Bereich der Zuständigkeitsabgrenzung zwischen Bund und Ländern sieht der Bundesrat Klärungsbedarf. Darüber hinaus wird angeregt, die Schwellenwerte zur Einordnung als betroffene Einrichtung klarer zu definieren, um Rechtsunsicherheit zu vermeiden und eine übermäßige Belastung kleiner und mittlerer Unternehmen zu verhindern. In weiteren Punkten spricht sich der Bundesrat für verlängerte Umsetzungsfristen, präzisere datenschutzrechtliche Regelungen und eine differenziertere Ausgestaltung der Pflichten nach Risikoprofil der Einrichtungen aus.

Die Gegenäußerung der Bundesregierung: Klare Absage an weitgehende Änderungen

Die Bundesregierung hat die Vorschläge des Bundesrates überwiegend zurückgewiesen. Sie bleibt bei ihrer Auffassung, dass eine zentrale Steuerung durch das BSI erforderlich sei, um Cybersicherheitsrisiken in Deutschland wirksam begegnen zu können. Nur zwei Anregungen des Bundesrates hält sie für prüfenswert. Dabei handelt es sich um redaktionelle oder klarstellende Aspekte, etwa zur Ausgestaltung einzelner Meldepflichten. In der Sache lehnt die Bundesregierung die Kritik am Aufsichtsmodell ausdrücklich ab. Sie argumentiert, dass einheitliche Standards, klare Verantwortlichkeiten und eine zentralisierte Umsetzung notwendig seien, um der wachsenden Bedrohungslage im Cyberraum adäquat zu begegnen. Eine föderale Zersplitterung der Zuständigkeiten sei demnach kontraproduktiv.

Auch die Forderung nach längeren Umsetzungsfristen oder nach Entlastung kleinerer Einrichtungen wurde nicht übernommen. Nach Ansicht der Bundesregierung enthält die Richtlinie selbst bereits ausreichend flexible Regelungen, um unterschiedliche Risikolagen zu berücksichtigen. Eine weitergehende Differenzierung sei nicht erforderlich. Damit erteilt die Bundesregierung nicht nur der Forderung nach mehr Länderkompetenzen, sondern auch wirtschaftsfreundlichen Anpassungen eine klare Absage.

Fazit

Mit ihrer Gegenäußerung stellt die Bundesregierung klar, dass sie am eingeschlagenen Kurs festhält und die Cybersicherheitsaufsicht weitgehend in die Hand des Bundes legen will. Die Rolle des BSI als zentrale Steuerungsinstanz soll nicht nur gestärkt, sondern gegenüber der föderalen Verwaltungsebene abgesichert werden. Für die Länder bedeutet dies einen erheblichen Einflussverlust – auch im Hinblick auf ihre eigenen Behörden und Einrichtungen. Es ist absehbar, dass dieser Kurs in der weiteren Gesetzesberatung erneut auf Widerspruch im Bundesrat stoßen wird. Der politische Konflikt zwischen Zentralisierung und föderaler Mitverantwortung ist damit nicht beigelegt, sondern vertagt.

Hinzu kommt, dass Deutschland die Umsetzungsfrist der NIS-2-Richtlinie vom 17. Oktober 2024 nicht eingehalten hat. Während einige EU-Mitgliedstaaten – etwa Frankreich, Italien oder Dänemark – bereits nationale Gesetze zur Umsetzung in Kraft gesetzt oder weitgehend abgeschlossen haben, befindet sich das deutsche Umsetzungsgesetz noch im parlamentarischen Verfahren. Damit droht nicht nur ein Vertragsverletzungsverfahren seitens der EU-Kommission, sondern es entsteht auch eine Phase regulatorischer Unsicherheit für Unternehmen und Behörden, die unter die neuen Pflichten fallen.

Ungeachtet der verfassungsrechtlichen und politischen Diskussionen bleibt jedoch festzuhalten: Die Umsetzung der NIS-2-Richtlinie wird erhebliche praktische Auswirkungen auf Unternehmen und öffentliche Stellen haben. Es ist daher dringend geboten, sich bereits jetzt mit den künftigen Anforderungen vertraut zu machen, relevante Prozesse anzupassen und bestehende IT-Sicherheitsstrukturen zu überprüfen. Die rechtliche Grundlage mag noch nicht final beschlossen sein – die Umsetzungspflicht nach europäischem Recht besteht gleichwohl.

---