11. Juli 2025 Christopher Stradomsky*

Strategische Cybersicherheitspolitik in der Krise

Die effektive Absicherung digitaler Infrastrukturen stellt eine zentrale Herausforderung moderner Sicherheits- und Technologiepolitik dar. Dazu sollte die NIS2-Richtlinie in deutsches Recht transponiert werden. [...]

Christopher Stradomsky ist Cybersecurity-Experte bei msg. (c) msg
Christopher Stradomsky ist Cybersecurity-Experte bei msg. (c) msg

Das sogenannte NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) wurde infolge der vorgezogenen Bundestagswahl im Februar 2025 nicht verabschiedet. Auf der Grundlage des Grundsatzes der Diskontinuität wird dieses Gesetzesvorhaben als gescheitert angesehen. Die neue Regierung ist nun gefordert, das Transpositionsvorhaben erneut anzustoßen.  

Normativer Rahmen und politische Rahmendynamik

Die im Dezember 2022 veröffentlichte NIS2-Richtlinie (EU 2022/2555) verfolgt das Ziel, den Schutz wichtiger und besonders wichtiger Einrichtungen in sämtlichen Mitgliedstaaten durch verbindliche Anforderungen an Cybersicherheitsarchitektur, Vorfallsmanagement und Unternehmensgovernance signifikant zu erhöhen. Ergänzt wird sie durch die CER-Richtlinie (EU 2022/2557), welche auf die physische Resilienz kritischer Infrastrukturen, einer besonderen Teilmenge der besonders wichtigen Einrichtungen, fokussiert. Beide Richtlinien sahen eine Frist zur Umsetzung bis zum 18. Oktober 2024 vor. Deutschland beabsichtigte eine duale nationale Transposition über das NIS2UmsuCG sowie das KRITIS-Dachgesetz, wobei Letzteres auf dem Inkrafttreten des Ersteren basiert. Die politische Disruption infolge der Auflösung der Ampelkoalition und der daraus resultierenden Neuwahlen führte jedoch zum legislativ-technischen Stillstand: Der Gesetzentwurf wurde durch das Diskontinuitätsprinzip des Bundestags hinfällig.

Europäische Verbindlichkeit versus nationale Handlungsunfähigkeit

Während zahlreiche EU-Mitgliedstaaten ihre Umsetzungsprozesse weitgehend abgeschlossen haben, verbleibt Deutschland in einer Phase normativer Unschärfe. Das Nichterfüllen der Umsetzungsverpflichtung birgt das Risiko eines Vertragsverletzungsverfahrens durch die Europäische Kommission. Überdies generiert der legislative Verzug strukturelle Unsicherheiten für die betroffene Wirtschaft, insbesondere für Unternehmen mit europäischer oder internationaler Einbindung. Die wichtigen und besonders wichtigen Einrichtungen verbleiben weiterhin ohne verbindliche Vorgaben.

Sicherheits-, Markt- und Governance-Folgen

Das Ausbleiben eines konsolidierten gesetzlichen Rahmens hat weitreichende Implikationen:

  • Cyberresilienzdefizite: Unternehmen verbleiben mangels klarer rechtlicher Vorgaben in einer Grauzone freiwilliger Compliance, was zu inhomogenen Sicherheitsniveaus führt und sektorale Verwundbarkeiten erhöht.
  • Strategische Investitionsunsicherheit: Die Unsicherheit hinsichtlich zukünftiger regulatorischer Anforderungen erschwert die Planung von Investitionen in Sicherheitsinfrastruktur und Personalentwicklung.
  • Marktverzerrungen: Organisationen, die sich an den angekündigten Standards orientieren, tragen finanzielle Vorleistungen ohne gesicherte rechtliche Grundlage – mit potenziellen Wettbewerbsnachteilen.
  • Fachkräftedynamik: Der Mangel an qualifizierten IT-Sicherheitsfachkräften wird durch den unklaren politischen Kurs zusätzlich verschärft. Die Folge sind steigende Kosten und eine Verknappung verfügbarer Expertise am Markt.

Politisch-strategischer Ausblick

Die Verantwortung zur Einlösung europäischer Verpflichtungen und zur Sicherstellung nationaler IT-Sicherheit liegt nun bei der neu gebildeten Bundesregierung. Ein erneutes Gesetzgebungsverfahren ist nicht nur juristisch erforderlich, sondern strategisch dringend geboten. Angesichts der wachsenden Bedrohungslage durch hybride Angriffsformen, Desinformationskampagnen und staatlich koordinierte Cyberoperationen ist die Schaffung eines kohärenten und zukunftsgerichteten Regelwerks essenziell. Auch das KRITIS-Dachgesetz, das physische und digitale Resilienz zusammenführen soll, hängt in seiner Umsetzungsfähigkeit am Erfolg des NIS2UmsuCG.

Handlungsempfehlung für betroffene Akteure

Unternehmen, die den relevanten Sektoren zugeordnet werden, sollten trotz der ausbleibenden gesetzlichen Verpflichtung proaktiv handeln. Die Orientierung an den bekannten Inhalten des gescheiterten Gesetzesentwurfs sowie an branchenspezifischen Leitlinien (z. B. ENISA-Empfehlungen) erscheint aus Risikomanagementperspektive geboten. Der Aufbau robuster Sicherheits- und Compliance-Strukturen dient nicht nur der Erfüllung absehbarer regulatorischer Anforderungen, sondern stärkt die operationale Resilienz gegenüber wachsender externer Bedrohungslast. Der Aufschub an dafür verfügbarer Zeit sollte sinnvoll genutzt werden. 

Fazit

Das legislative Scheitern des NIS2UmsuCG führt zu einer weiterhin bestehenden Schwachstelle der deutschen Infrastruktur – der unregulierten IT- und Informationssicherheit für wichtige und besonders wichtige Akteure. Deutschland läuft Gefahr, seine Rolle als technologischer und regulatorischer Taktgeber in der EU zu verlieren. Es bedarf nun eines entschlossenen, fachlich fundierten und parteiübergreifenden Wiederanlaufs, um die nationale Cybersicherheitsarchitektur auf ein belastbares und nachhaltiges Fundament zu stellen.

*Der Autor Christopher Stradomsky ist Mathematiker (M. Sc.) mit Spezialisierung auf Zahlentheorie und Kryptographie. Seit 2023 unterstützt er bei msg Unternehmen dabei, ihre Cybersecurity zukunftssicher zu gestalten.


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*