Gesetz zur Informationssicherheit in der Bundesverwaltung beschlossen
Der Bundestag hat am Donnerstag, 13. November 2025, nach halbstündiger Debatte den Gesetzentwurf der Bundesregierung „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (21/1501, 21/2072, 21/2146 Nr. 1.11) in der vom Innenausschuss geänderten Fassung (21/2782) angenommen. Dafür stimmten CDU/CSU, AfD und SPD, dagegen Bündnis 90/Die Grünen. Die Linke enthielt sich. Zum Gesetzentwurf hatte der Haushaltsausschuss einen Bericht gemäß Paragraf 96 der Geschäftsordnung des Bundestages zur Finanzierbarkeit (21/2783) vorgelegt. Erstmals beraten wurde ein Antrag der Fraktion Bündnis 90/Die Grünen mit dem Titel „Deutschland resilient machen – Für einen ganzheitlichen Schutz unserer kritischen Infrastruktur“ (21/2725). Er wurde zur weiteren Beratung an die Ausschüsse überwiesen. Federführend ist der Innenausschuss. Gesetzentwurf der Bundesregierung Die NIS-2-Richtlinie der EU setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Ziel ist nach Regierungsangaben die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen. Entsprechend der unionsrechtlichen Vorgaben wird der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert. Zusätzlich werden Vorgaben für die Bundesverwaltung eingeführt. Dreistufiges Melderegime Vorgesehen ist, dass der Anwendungsbereich ausgeweitet wird und neue Einrichtungskategorien eingeführt werden. Zudem wird die bislang einstufige Meldepflicht bei Sicherheitsvorfällen durch ein dreistufiges Melderegime ersetzt. Das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird im Hinblick auf Aufsichtsmaßnahmen erweitert. Darüber hinaus wird in der Bundesverwaltung ein zentraler Koordinator (CISO Bund) für Maßnahmen zur Informationssicherheit in deren Einrichtungen etabliert. Dieser soll auch die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützen. Erhöhung der Resilienz der Wirtschaft Laut Bundesregierung hat die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft identifiziert. Die Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe sei eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, heißt es weiter. Für das Informationssicherheitsmanagement in der Bundesverwaltung hätten sich „die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen“, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen, heißt es im Entwurf. Antrag der Grünen „Deutschland resilient machen – Für einen ganzheitlichen Schutz unserer kritischen Infrastruktur“ lautet der Titel eines Antrags der Fraktion Bündnis 90/Die Grünen (21/2725 ). Darin forderte die Fraktion die Bundesregierung auf, den Entwurf für ein Kritis-Dachgesetz vorzulegen, das „einen effektiven und einheitlichen Kritis-Schutz schafft, der die EU-Vorgaben für die physische und digitale Sicherheit vereinheitlicht, Betreiber kritischer Anlagen künftig nur noch durch das Dachgesetz und die dazugehörige Rechtsverordnung bestimmt und Deutschland insbesondere durch das Schaffen von einheitlichen Mindeststandards, Risikoanalysen und ein Störungsmonitoring insgesamt widerstandsfähiger gegen Krisen und Angriffe macht“. Dabei sollte die Bundesregierung dem Antrag zufolge sicherstellen, dass in dieser Gesetzesvorlage eine einheitliche Meldestelle für die Betreiber kritischer Anlagen geschaffen sowie das nationale IT-Sicherheitsrecht systematisiert wird und einheitliche IT-Sicherheitsstandards für Bund und Länder gelten. Auch sollten mit dem Entwurf nach dem Willen der Fraktion die öffentliche Verwaltung in den Schutzbereich aufgenommen und Bereichsausnahmen für die Bundesverwaltung gestrichen werden. Des Weiteren plädierte die Fraktion dafür, mit dem Gesetzentwurf unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seiner Unabhängigkeit zu stärken und den Bundestag „in den Definitionsrahmen einer Kritischen Infrastruktur“ aufzunehmen. Ferner drang die Fraktion darauf, dass „die zahlreichen kleinen und mittleren Unternehmen, die durch die Absenkung von Schwellenwerten neu unter den Kritis-Schutz fallen und die gesetzgeberischen Vorgaben umzusetzen haben, bestmöglich beraten werden“. Die Bundesregierung wurde dabei zugleich aufgefordert, ein „One-Stop-Shop“-Verfahren zu implementieren, bei dem sich der Betreiber nur an eine Aufsichtsbehörde wenden muss. (lbr/sto/hau/13.11.2025)