Zum Inhalt springen
Eine Analyse von Manuel Atug

Kommunen, Landkreise, Bundesverwaltung und Bildungseinrichtungen

Autor: Manuel Atug / Redaktion: Diana Künstler • 13.11.2025 • ca. 5:40 Min

Inhalt
  1. Der aktuelle Stand zur Umsetzung der NIS2-Richtlinie in Deutschland
  2. Kommunen, Landkreise, Bundesverwaltung und Bildungseinrichtungen
  3. IT-Sicherheitskatalog nach EnWG und Ablaufplan

KRITIS Sektor Staat und Verwaltung: die Kommunen und Landkreise

Für den KRITIS Sektor Staat und Verwaltung gelten im Zuge des NIS2UmsuCG unzählige Sonderregelungen und Ausnahmen – und das ist keine Verbesserung. Hier wurde eine Chance vertan, ein erhebliches Defizit in der Cyberresilienz zu beheben. Die Verwaltungen auf Kommunaler-, Landkreise- und Bundesländerebene werden vollständig außen vor gelassen und überhaupt nicht adressiert. Denn die Ausübung der Staatsgewalt ist zwar durch unser Grundgesetz zwischen dem Bund und den 16 Bundesländern aufgeteilt und die Kommunen sind dabei staatsorganisationsrechtlich Teil der Länder. Aber: „Die im Grundgesetz realisierte föderale Ordnung ist in der Tendenz nicht auf Trennung, sondern auf Kooperation zwischen Bund und Ländern angelegt.“

Dass die ca. 11.000 Kommunen und ca. 300 Landkreise in der Cybersicherheit aber weitestgehend sich selbst überlassen werden, ist im Hinblick auf die vielen und oftmals sehr weitreichenden Cybersicherheitsvorfälle wie beim Landkreis Anhalt Bitterfeld oder bei der S-IT in NRW – über 100 Kommunen waren monatelang betroffen und faktisch handlungsunfähig – lediglich verfassungsrechtlich nachvollziehbar. Aus EU-rechtlicher Sicht, aber auch aus Sicht der BürgerInnen besteht hier eine systemische Problemlage, welche erfolgreich verhindert, dass die Regelungswirkung der EU-Richtlinie sich auf Landes- und kommunaler Ebene entfalten kann, obwohl wir Cybersicherheit gerade auf diesen Ebenen dringend benötigen.

Die fortlaufende Kette an Cybersicherheitsversagen und Verantwortungsdiffusion kann beispielsweise unter der ehrenamtlich gepflegten Webseite www.kommunaler-notbetrieb.de von Jens Lange eingesehen werden und erweitert sich kontinuierlich. Die Vielzahl der Vorfälle zeugt daher weder von ernstgemeintem Verständnis der Problemlage noch der Umsetzung einer defensiven Cybersicherheitsstrategie im Sinne der EU NIS2-Richtlinie.

Kommunale Selbstverwaltung und Föderalismus sind ein hohes Gut, was nur dadurch aufrecht gehalten werden kann, wenn die Kommunen und Landkreise eine entsprechende Cybersicherheitsstärkung erhalten, da sie eigenständig dazu nicht in der Lage sind. Dies gar nicht in der kommenden Gesetzgebung zu berücksichtigen ist äußerst fahrlässig, da die betroffene Bevölkerung keine Handlungsalternative hat und die Kommunen und Landkreise eigenständig schlicht keine angemessenen Ressourcen einbringen können.

KRITIS Sektor Staat und Verwaltung: die Einrichtungen der Bundesverwaltung

Große Teile der Einrichtungen der Bundesverwaltung sind über § 29 „Einrichtungen der Bundesverwaltung“ und § 37 „Ausnahmebescheid“ ebenfalls großzügig ausgenommen worden, so dass ein Großteil der Funktionsfähigkeit eines souveränen Staates von der Cybersicherheit ausgeklammert ist:

Es sind für keine Einrichtungen der Bundesverwaltung Risikomanagementmaßnahmen vorgesehen, außer für das Bundeskanzleramt und die Bundesministerien.

Auch keine § 38 „Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen“, keine § 61 „Aufsichts- und Durchsetzungsmaßnahmen“ und keine § 65 „Bußgeldvorschriften“.

Für Auswärtiges Amt, BMVg, Bundesnachrichtendienst und Bundesamt für Verfassungsschutz darüber hinaus:

  • § 7 Absatz 5 Satz 4: Das BSI kann nicht(!) im Benehmen mit dem oder der Informationssicherheitsbeauftragten des jeweils zuständigen Ressorts Einrichtungen der Bundesverwaltung anweisen, die Vorschläge zur Verbesserung innerhalb einer angemessenen Frist umzusetzen.
  • § 10: Keine Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen
  • § 13: Keine Warnungen und Informationen an die Öffentlichkeit oder an die betroffenen Kreise
  • § 13 Absatz 1 Nummer 1 Buchstabe e: Keine Informationen über Verstöße besonders wichtiger Einrichtungen oder wichtiger Einrichtungen gegen die Pflichten aus diesem Gesetz
  • § 30: Keine Risikomanagementmaßnahmen
  • § 33: Keine Registrierungspflicht
  • § 35: Keine Unterrichtungspflichten

Das BMI, das Bundeskanzleramt, das BMJV, das BMVg, das BMF und die Innenministerien der Bundesländer können bwE oder wE ganz oder teilweise von diesem Gesetz ausnehmen.

Auch alle Einrichtungen, die in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, (relevante Bereiche) tätig sind oder Dienste erbringen können dadurch von § 30 „Risikomanagementmaßnahmen“ und § 32 „Meldepflichten“ befreit werden.

Mit § 29 (1) Nr. 2 werden im weitesten Sinne auch alle öffentlichen IT-Dienstleister (Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Vertrauensdiensteanbieter, Managed Service Provider und Managed Security Services Provider) ausgeschlossen, welche Dienste für Landes- oder Kommunalverwaltungen anbieten und bereits durch die Länder – wie auch immer geartet – reguliert wurden.

Ein funktionaler und souveräner Staat macht sich bei BürgerInnen in erster Linie im Rathaus und funktionierenden Fachverfahren in den Landkreisen und Kommunen aus. In zweiter Linie in der (demokratischen) Funktionsfähigkeit der o.g. Strafverfolgungsbehörden und weiteren Behörden und Organisationen mit Sicherheitsaufgaben (BOS) etc. Sofern diese wirklich zukünftig weiterhin von den Cybersicherheitsanforderungen ausgenommen werden sollen und dadurch „weggecybert“ werden, wird die Destabilisierung der Bevölkerung von innen weiter voranschreiten und nicht aufzuhalten sein.

Angesichts der umfangreichen Mängelfeststellungen in verschiedenen Berichten des Bundesrechnungshofs zum Regierungsentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) vom 17.09.2024 sowie zum „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ vom 15.09.2025 und der darin aufgeführten erheblichen Defizite ist die Ignoranz und das „weiter so“ sehr unverständlich.

In diesem Zusammenhang sind auch die erheblichen Defizite im Bericht zur „IT-Konsolidierung Bund - Wirksamkeit der IT-Steuerung des Bundes“ vom 14.05.2024 sowie im Bericht zur Cybersicherheit mit Prüfungsschwerpunkt „Resilienz der staatlichen Kernfunktionen und ihrer kritischen Infrastruktur – Staat und Verwaltung“ vom 02.07.2025 zum desolaten Stand der IT-Sicherheit der Rechenzentren der Bundesverwaltung nicht verwunderlich. Dass allerdings kein dringender Handlungsbedarf daraus abgeleitet wird, erscheint unverständlich.

Anbieter zum Thema

Hier könnte auch Ihr Logo stehen.
zu Matchmaker+

Die Nachweiserbringung durch Einrichtungen der Bundesverwaltung

Im Referentenentwurf von 23.6.025 wurden Einrichtungen der Bundesverwaltung in § 43 (4) Satz 2 bereits unzureichend aufgefordert, Nachweiserbringung nach Satz 1 gegenüber dem BSI vorzunehmen. Inzwischen ist § 43 (4) Satz 2 ersatzlos entfallen, so dass gar keine Nachweiserbringung mehr gefordert wird. Ohne Validierung allerdings keine Kontrolle der Umsetzung. Daraus resultiert in der Regel eine mangelnde Rechtsdurchsetzung der dringend erforderlichen Cybersicherheit.

Der CISO Bund

Der § 48 „Amt des Koordinators für Informationssicherheit“ stellt die Einführung der Rolle „CISO Bund“ vor. Es wird allerdings keine Aussagen darüber getroffen, wo genau diese Rolle eingerichtet werden soll. Eine Unabhängigkeit des „CISO Bund“, um so eine wirkungsvolle Kontrollinstanz darstellen zu können, wird daher nicht genauer beschrieben und verbleibt im Unklaren.

Darüber hinaus wurde das Amt weder mit angemessenen Aufgaben, noch mit darauf ausgerichteten angemessenen Befugnissen ausgestattet. Im Wesentlichen wird dies also ein wirkungsloser Posten bleiben, bis hier mit klaren Aufgabenstellungen und entsprechenden Durchsetzungsmöglichkeiten nachgebessert wird.

Die Bildungseinrichtungen

Der Sektor Forschung wird gemäß der Begriffsdefinition „Forschungseinrichtung“ auf angewandte Forschung mit kommerziellem Zweck begrenzt. Hier sollte auch die Grundlagenforschung als NIS2-relevant betrachtet werden. Insbesondere, wenn diese sicherheitsrelevante Auswirkungen haben kann.

Auf der Webseite „EduSec: Sicherheitsvorfälle an deutschsprachigen Hochschulen“ unter www.aheil.de/edusec/ können alle öffentlich bekannt gewordenen Vorfälle eingesehen werden, die ehrenamtlich dort gesammelt und veröffentlicht werden.

Durch den Bund finanzierte Forschungseinrichtungen, welche in der Rechtsform einer Stiftung des öffentlichen Rechts nach Landesrecht aufgebaut wurden, sind darüber hinaus ebenfalls nicht von den Regelungen des Gesetzes erfasst, außer es wird im Einvernehmen mit dem zuständigen Ressort angeordnet.

Kein verbindlicher IT-Grundschutz mehr für die Bundesverwaltung

§ 44 (1) BSI-Gesetz RefE „Vorgaben des Bundesamtes“ gibt für alle Einrichtungen der Bundesverwaltung die „Mindestanforderungen zum Schutz der in der Bundesverwaltung verarbeiteten Informationen“ vor. Zuvor wurde noch der IT-Grundschutz verbindlich aufgeführt und Absatz 2 begrenzte auf das Bundeskanzleramt und die Bundesministerien. Dazu heißt es jetzt neu in Absatz 1 nur noch: „Die Einrichtungen der Bundesverwaltung müssen die jeweils geltenden Fassungen der Mindeststandards für die Sicherheit in der Informationstechnik des Bundes (Mindeststandards) als Mindestanforderungen zum Schutz der in der Bundesverwaltung verarbeiteten Informationen erfüllen.“ Des Weiteren wurden auch von dieser reduzierten Umsetzungspflicht ausgenommen: die „Kommunikationstechnik des Bundes“, die Auslandsinformations- und -kommunikationstechnik des Auswärtigen Amts und der Geschäftsbereich des Bundesministeriums der Verteidigung inkl. Militärischer Abschirmdienst.

Nach Absatz 2 sind nur noch das Bundeskanzleramt und die Bundesministerien verpflichtet, die „Mindestanforderungen die BSI-Standards und das IT-Grundschutz-Kompendium des Bundesamtes (IT-Grundschutz) in den jeweils geltenden Fassungen" einzuhalten. Aber „dabei wird der Umsetzungsaufwand soweit möglich minimiert“.

Das KRITIS-Dachgesetz

Die immer wieder angekündigte Harmonisierung von NIS2 und KRITIS-Dachgesetz wird auch in diesem Referentenentwurf nicht umfassend vorgenommen. Es soll eine gemeinsame Meldestelle vom Bundesamt und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe für die „Meldepflichten“ gemäß § 32 geben. Eine Harmonisierung der Kritisverordnung oder des Geltungsbereichs ist bisher im Referentenentwurf nicht vorgenommen worden.

Nächste Seite
1 2 3
Das könnte Sie auch interessieren
Ampel
EU-Richtlinie NIS2 zwischen Stillstand und Umsetzung – Wo steht Deutschland?
Umsetzung Richtlinie, Zeitdruck
Fünf Schritte zur sicheren Vorbereitung NIS2: Trotz Verzögerung müssen Unternehmen jetzt handeln
Oliver Lucas, NFQ
Cybersicherheit als Chefsache Von der Richtlinie zur Realität
Cybersecurity_EU_Quelle_Fotosphaere_AdobeStock_938468474.jpeg
Irrtum mit Folgen Diese Fehleinschätzungen kursieren rund um NIS2
Robert Schneider, Sysob
EU-Richtlinie NIS2 Augenmerk auf die Lieferkette
SoSafe-Nis2-Advertorial.jpg
Advertorial Neue NIS2-Richtlinie: Was ändert sich für Unternehmen?
5_vor_zwölf_Quelle_Animaflora PicsStock_AdobeStock_259933180.jpeg
„Es ist fünf vor zwölf“ Eset startet Kampagne zur Umsetzung der NIS2-Richtlinie
Geschäftsmann_Buero_shutterstock_2145573885.jpg
Advertorial NIS2-Richtlinie für Cybersicherheit: Geschäftsführer unter Druck
Mehr passende Artikel
251104-vertragsunterzeichnung-michael-goerner-li-christian-werner-re-bild-td-synnex
Distributionsvertrag mit digit solutions TD Synnex erweitert SOC-Service-Portfolio
Hornetsecurity und Rechenzentrum Stollen
Lokale Cloud-Security für Schweizer Unternehmen Hornetsecurity eröffnet Rechenzentrum in Luzern
portfolio-bild-sophos
Einheitliche Bezeichnungen statt Produktvielfalt Sophos strukturiert Security-Portfolio neu
NIS2
Eine Analyse von Manuel Atug Der aktuelle Stand zur Umsetzung der NIS2-Richtlinie in Deutschland
Trotz eines leichten Rückgangs bei blockierten Schad-URLs und Malware-Erkennungen zeigt das aktuelle Acronis-Cyberthreats-Update Oktober 2025, dass die Gefahr längst nicht gebannt ist. Besonders alte Bekannte wie Mirai und Emotet sind im September wi
Mirai und Emotet im September besonders aktiv Tot geglaubte Schädlinge leben länger
Weiter zur Startseite