13. Oktober 2025

Dennis Kipker als Sachverständiger bei öffentlicher Anhörung zu NIS-2 im Bundestag

Auf Einladung der Fraktion Bündnis 90/Die Grünen wurde Prof. Dr. Dennis-Kenji Kipker, Research Director, in der elften Sitzung des Innenausschusses am Montag, dem 13. Oktober 2025, als Sachverständiger zur öffentlichen Anhörung über den Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung vom 8. September 2025 geladen.

In seiner schriftlichen Stellungnahme hält Prof. Kipker fest, der Gesetzentwurf sehe eine derart reduzierte Rolle des Chief Information Security Officer des Bundes (CISO-Bund) vor, dass weder eine klare organisatorische Struktur noch hinreichende Befugnisse oder eine nachvollziehbare Arbeitsweise erkennbar seien. Dadurch stelle der CISO-Bund im Ergebnis eher ein symbolisches Element innerhalb der Informationssicherheit der Bundesverwaltung dar. Kipker betont, es wäre zweckmäßiger, die entsprechenden Funktionen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und nicht im Bundesministerium des Innern (BMI) anzusiedeln, da es hierbei primär um operative Aspekte der Cybersicherheit gehe.

Zur Unabhängigkeit des BSI stellt Kipker fest, dass die Thematik zwar bereits seit Jahren diskutiert werde, die Empfehlungen der Arbeitsgruppe BSI im aktuellen Entwurf jedoch nicht in einer Weise aufgegriffen worden seien, die eine sachlich und fachlich unabhängige Arbeitsweise der Behörde gewährleiste. Das Drehen an einzelnen organisatorischen Stellschrauben allein könne seiner Ansicht nach nicht ausreichend sein.

Im Bereich des Schwachstellenmanagements fehle es weiterhin an klaren gesetzlichen Regelungen, die festlegten, wie mit gemeldeten Sicherheitsinformationen umzugehen sei. Ein solches Regelwerk sei jedoch für das Funktionieren tragfähiger Public-Private-Partnerships im Bereich der Informationssicherheit von zentraler Bedeutung. Kipker hebt hervor, das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) sei ein IT-Sicherheitsgesetz und dürfe keine Bestimmungen enthalten, die Möglichkeiten zur Kompromittierung von IT-Infrastrukturen offenlässt.

Im Hinblick auf die Cybersicherheit in der besonders vulnerablen öffentlichen Verwaltung verweist Kipker auf die Feststellungen des Bundesrechnungshofes, soweit es die Bundeseinrichtungen betreffe. Zugleich fordert er eine stärkere Unterstützung und engere Kooperation mit den Ländern und Kommunen. Darüber hinaus regt er an, in diesem Kontext auch den Aspekt der digitalen Souveränität sowie die Nutzung von Open-Source-Lösungen in der öffentlichen Verwaltung stärker zu berücksichtigen.

Mit Blick auf die CER-Richtlinie (KRITIS-Dachgesetz) stellt Kipker fest, dass anstatt ein einheitliches Vorgehen zum Schutz wesentlicher und kritischer Infrastrukturen zu schaffen wie es von der Europäischen Union vorgesehen sei, sich Deutschland in einer Vielzahl unkoordinierter Regelungen verliere. Dieses Vorgehen schwäche nicht nur die gesamtstaatliche Resilienz, sondern führe zudem zu erhöhtem Aufwand und zusätzlichen Koordinationsproblemen. Insgesamt kritisiert Kipker, sei es nicht nachvollziehbar, weshalb die Verabschiedung des KRITIS-Dachgesetzes angesichts der gegenwärtigen hybriden Bedrohungslage weiterhin verzögert werde.