netzpolitik.org Gastbeitrag: Dennis Kipker kritisiert Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie

Deutschland hat die EU-weit beschlossene NIS-2-Richtlinie, die am 27. Dezember 2022 verabschiedet wurde und bis zum 18. Oktober 2024 in nationales Recht zu überführen gewesen wäre, bislang nicht fristgerecht umgesetzt. Infolge dieser Verzögerung hat die Europäische Kommission ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet und im Mai 2025 eine erneute Umsetzungsaufforderung mit einer Frist von zwei Monaten erlassen, deren Ablauf mittlerweile ebenfalls überschritten ist.

Bereits während der vergangenen Legislaturperiode wurde 2024 ein Entwurf mit dem Titel „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ vorgelegt, der jedoch auf Kritik stieß und aufgrund des Regierungswechsels nicht mehr parlamentarisch verabschiedet wurde. Im Juli 2025 beschloss das Bundeskabinett einen neuen Gesetzentwurf mit identischem Titel, der neben der Umsetzung der EU-Vorgaben auch Informationssicherheitsmanagement in der Bundesverwaltung regeln soll.

Wie Research Director Prof. Dr. Dennis-Kenji Kipker im Gastbeitrag mit Carolin Kemper (Forschungsreferentin am Deutschen Forschungsinstitut für öffentliche Verwaltung) bei netzpolitik.org betont, bestünden im aktuellen Gesetzentwurf allerdings weiterhin grundlegende Defizite, insbesondere im Umgang mit Sicherheitslücken durch staatliche Stellen. Die Autoren problematisieren, dass die Bundesverwaltung von strengeren Cybersicherheitsvorschriften weitgehend ausgenommen sei, obwohl gerade staatliche Institutionen eine Vorreiterrolle einnehmen sollten. Ebenso weise der Gesetzentwurf unklare Formulierungen auf, die Unsicherheit darüber verursachten, welche Unternehmen vom Geltungsbereich betroffen seien.

Mit Blick auf das weitere Verfahren werde deutlich, dass der Bundestag nun die Möglichkeit, wenn nicht sogar die Verantwortung habe, substanzielle Nachbesserungen einzubringen.

› Vollständigen Gastbeitrag zur Umsetzung der NIS-2-Richtlinie auf netzpolitik.org nachlesen