Gasbeitrag von:
Tobias Diemer,
Projektmanager Förderprojekte
Transferstelle Cybersicherheit im Mittelstand
Die NIS-2-Richtlinie der EU steht – aber die Umsetzung in deutsches Recht stockt. Das vorgesehene NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) konnte aufgrund der politischen Turbulenzen im Bundestag nicht mehr verabschiedet werden und fiel dem Diskontinuitätsprinzip zum Opfer. Damit fehlt in Deutschland bislang ein verbindlicher gesetzlicher Rahmen für die zweite Stufe der europäischen Richtlinie zur Netzwerk- und Informationssicherheit. Für kommunale Unternehmen, Stadtwerke und öffentliche Versorger stellt sich nun die Frage: Abwarten oder handeln?
Politisches Vakuum, aber keine Entwarnung
Deutschland verfehlt durch die gescheiterte Verabschiedung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetzes (NIS2UmsuCG) die von der EU gesetzte Frist zur Umsetzung der Richtlinie. Zwar ließ das Bundesministerium des Innern unter dem neuen Minister Alexander Dobrindt (CSU) vermelden, dass dem Bundestag bis spätestens zur Sommerpause ein neuer Entwurf vorgelegt werden würde, vor dem Hintergrund der Komplexität und Langwierigkeit des Unterfangens ist ein fertiges Gesetz jedoch noch lange nicht absehbar.
Für die betroffenen Unternehmen entsteht dadurch allerdings keineswegs ein rechtsfreier Raum. Denn während die gesetzliche Verpflichtung zur Einhaltung der NIS-2-Anforderungen auf Bundesebene verzögert wird, gelten die europäischen Anforderungen formal bereits. Und nicht zuletzt: Die Bedrohung durch Cyberangriffe wartet nicht auf den Gesetzgeber.
Gerade kommunale Unternehmen geraten zunehmend ins Visier von Cyberkriminellen. Ihre IT- und OT-Systeme steuern kritische Infrastrukturen wie Energieversorgung, Wasser, Abwasser oder den öffentlichen Nahverkehr – Systeme, deren Ausfall gravierende Auswirkungen auf die Versorgungssicherheit hätte. Angriffe auf kommunale Versorger nehmen spürbar zu, weil die potenziellen Schadenssummen hoch und die IT-Abwehr vielerorts noch unzureichend ist. Aktuelles Beispiel ist ein Cyberangriff auf die Stadtwerke Schwerte in Nordrhein-Westfalen. Obwohl hierbei vor allem die digitalen Dienste betroffen waren und die Versorgung mit Strom und Wasser aufrechterhalten werden konnte, verursachen Vorfälle wieder dieser einerseits direkte Kosten, andererseits wird der Ruf des Unternehmens und der kommunalen Infrastruktur nachhaltig geschädigt.
Was NIS 2 verlangt – und was für kommunale Unternehmen entscheidend ist
Die NIS-2-Richtlinie verschärft gegenüber der ersten Stufe (NIS 1) die Anforderungen an Risikomanagement, Aufsichtsmaßnahmen, Meldepflichten und Sanktionsmöglichkeiten. Neben großen Unternehmen fallen nun auch zahlreiche kleine und mittlere Unternehmen in den Geltungsbereich, sofern sie in kritischen oder wichtigen Sektoren tätig sind. Für kommunale Unternehmen bedeutet das: Viele Stadtwerke, Abfallentsorger, ÖPNV-Betreiber und Wasserver- sowie Abwasserentsorger dürften betroffen sein, falls sie nicht bereits als sogenanntes KRITIS-Unternehmen eingestuft sind.
Zunächst gilt es also zu prüfen, ob und in welchem Umfang das eigene Unternehmen oder der eigene Betrieb von der NIS-2-Richtlinie betroffen ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet hier einen praktischen Checker, welcher nach der Beantwortung einiger Fragen Gewissheit gibt: BSI-NIS-2-Betroffenheitsprüfung.
Die betroffenen Organisationen müssen unter anderem:
- eine umfassende Risikoanalyse durchführen,
- technische und organisatorische Schutzmaßnahmen umsetzen,
- Notfallpläne für den Fortbetrieb bei Sicherheitsvorfällen entwickeln (Business Continuity Management),
- regelmäßige Schulungen und Sensibilisierungen der Mitarbeitenden durchführen,
- die Lieferketten absichern und die IT-Sicherheit von Dienstleistern und Zulieferern überprüfen sowie
- Meldepflichten bei IT-Sicherheitsvorfällen innerhalb von 24 Stunden erfüllen.
Nicht warten, sondern vorbereiten
Auch wenn das deutsche Umsetzungsgesetz aktuell fehlt: Es wäre fahrlässig, die aktuellen politischen Verzögerungen als Einladung zur Untätigkeit zu verstehen. Vielmehr bietet die Situation eine wertvolle Zeitreserve, um sich in Ruhe, aber systematisch vorzubereiten. Unternehmen, die bereits jetzt Strukturen aufbauen, werden bei Inkrafttreten des deutschen Gesetzes deutlich besser aufgestellt sein.
Ein zentraler Ansatzpunkt ist der Aufbau eines Informationssicherheitsmanagementsystems (ISMS), das alle relevanten NIS-2-Anforderungen adressiert: von der Risikoidentifikation über organisatorische Maßnahmen bis hin zu technischen Schutzmechanismen. Unterstützend kann der Cyber-Risiko-Check des BSI eingesetzt werden – ein speziell auf kleine Organisationen zugeschnittener Standard mit 27 klar definierten Anforderungen. Auch die Transferstelle Cybersicherheit im Mittelstand unterstützt Unternehmen bei der Umsetzung der genannten Themen. Als bundesweit aktives Förderprojekt des Bundesministeriums für Wirtschaft und Energie helfen unsere kostenfreien Angebote dabei, Unternehmen präventiv zu schützen und im Notfall schnell und effektiv auf Cyberangriffe reagieren zu können. Weitere Informationen hierzu finden Sie auf unserer Webseite: www.transferstelle-cybersicherheit.de
Wettbewerbsfähigkeit sichern
Ein nicht zu unterschätzender Aspekt ist folgender: Während Deutschland auf die nationale Umsetzung wartet, haben viele europäische Nachbarländer NIS 2 bereits vollständig implementiert. Für kommunale Unternehmen mit internationalen Geschäftsbeziehungen, etwa im Energiehandel oder durch Kooperationen in EU-weiten Projekten, können fehlende Sicherheitsnachweise perspektivisch zu Wettbewerbsnachteilen führen. Frühzeitige Vorbereitung hilft, diese Risiken abzufedern.
Update: Diskussion um neue Ausnahmeregelung
Mit der Veröffentlichung des Referentenentwurfs vom 23. Juni 2025 zur Umsetzung der NIS-2-Richtlinie sorgt eine neue Regelung für Diskussionen: Künftig sollen bei der Einstufung als "wichtige" oder "besonders wichtige" Einrichtung solche Geschäftstätigkeiten unberücksichtigt bleiben können, die als "vernachlässigbar" gelten.
Diese vage Formulierung – bislang ohne klare Definition – wird in Fachkreisen als rechtlich unscharf, potenziell europarechtswidrig und praktisch schwer umsetzbar kritisiert. Die Sorge: Eine zu weit gefasste Ausnahmeregelung könnte das einheitliche Schutzniveau der NIS-2-Richtlinie verwässern und somit die Cybersicherheit insgesamt schwächen.
Unternehmen wird deshalb geraten, sich nicht auf mögliche nationale Ausnahmeregelungen zu verlassen, sondern ihre Betroffenheit weiterhin auf Basis der EU-Vorgaben zu prüfen – und die notwendigen Maßnahmen frühzeitig einzuleiten.
Fazit: IT-Sicherheit bleibt Chefsache
Unabhängig vom gesetzlichen Stand gilt: IT-Sicherheit ist längst zur strategischen Aufgabe für die Geschäftsleitungen kommunaler Unternehmen geworden. Die NIS-2-Richtlinie liefert einen klaren Rahmen, an dem sich kommunale Entscheider orientieren können – mit oder ohne formale nationale Umsetzung. Wer jetzt handelt, erhöht nicht nur die eigene Resilienz, sondern leistet auch einen wichtigen Beitrag zur Stabilität der kommunalen Daseinsvorsorge.
