Inneres

Informationssicherheit in der Bundesverwaltung

Der Bundestag hat am Donnerstag, 11. September 2025, erstmals einen Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (21/1501) beraten. Im Anschluss an die einstündige erste Lesung wurde die Vorlage zur weiteren Beratung an die Ausschüsse überwiesen. Die Federführung liegt beim Innenausschuss. 

Regierung: Die Bedrohungslage ist angespannt

Da Deutschland eine große Wirtschaftsnation in Europa und eine strategische Drehscheibe der Nato sei, hätten die „Feinde unseres Wohlstandes und unserer Demokratie unseren Cyberraum im Visier“, sagte die Parlamentarische Staatssekretärin im Bundesministerium des Innern, Daniela Ludwig (CSU), zu Beginn der Debatte. Die Bedrohungslage sei angespannt, die Cyberangriffe nähmen weiter zu – „von Kriminellen wie auch von ausländischen Nachrichtendiensten“. Hacker erpressten Konzerne, Krankenhäuser und Kommunen. Sie könnten „ganze Infrastrukturen lahmlegen“. 

Daher, so Ludwig, sei es höchste Zeit zu handeln. Mit der Umsetzung der NIS2-Richtlinie werde ein deutlich höheres Sicherheitsniveau für die Wirtschaft und die Bundesverwaltung erreicht. Die Richtlinie sehe Mindestanforderungen an organisatorische und technische Maßnahmen sowie Meldepflichten über Sicherheitsvorfälle vor. Betroffen davon seien künftig mehr Unternehmen in mehr Wirtschaftsbereichen. Statt jetzt 4.500 Unternehmen seien es in der Zukunft mehr als 30.000.

AfD: Gesetzliche Mindeststandards unausweichlich

Steffen Janich (AfD) kündigte die Zustimmung seiner Fraktion zu der Vorlage an. Gesetzliche Mindeststandards für den Schutz des Cyberraums seien unausweichlich, befand er. Zwar führe deren Implementierung bei den Unternehme zu höheren Kosten und mehr Bürokratie. Wer dies ablehne müsse sich aber fragen lassen, „ob ihm das Risiko einer Insolvenz seines Unternehmens wirklich lieber ist“. 

Janich verwies darauf, dass schon unter der Ampel-Koalition die NIS2-Umsetzung geplant war, dies aber nach dem Koalitions-Aus nicht mehr umsetzbar gewesen sei. Das Gute daran sei, dass die Unternehmen nun fast ein Jahr mehr Zeit hatten, um die notwendige Registrierung vorzubereiten. Dass Unternehmen mit weniger als 50 Mitarbeitern „von dem Bürokratieaufwuchs verschont bleiben“, sei zu begrüßen, so der AfD-Abgeordnete. Auch diese Unternehmen sollten aber die IT-Sicherheit ihrer Netzwerke ernst nehmen.

SPD: IT-Sicherheit ist kein technisches Detail

Die Cyberangriffe seien kein Randphänomen und die Bedrohungslage sehr real, sagte Johannes Schätzl (SPD). Laut dem Branchenverband Bitkom verursachten die Angriffe bei den Unternehmen in Deutschland jährlich einen Schaden in Höhe von 260 Milliarden Euro. IT-Sicherheit sei kein technisches Detail, sondern eine Frage der öffentlichen Sicherheit, betonte er. Genauso wie auf Feuerwehr und Polizei zurückgegriffen werde, müsse man auch auf eine digitale Feuerwehr zurückgreifen können, „die Angriffe verhindert, erkennt und bestenfalls abwehren kann“. 

Im parlamentarischen Verfahren werde noch über einige Punkte zu reden sein, so Schätzl. Es müsse darüber gesprochen werden, „wie wir das Bundesamt für die Informationssicherheit (BSI) noch mehr stärken können“ und wie weit der Anwendungsbereich des Gesetzes gezogen werden soll. „Egal wie stark wir die Tresortür vorne noch verstärken: Wenn die Nebeneingangstür offenbleibt, haben wir in der IT-Sicherheit wenig gewonnen“, sagte der SPD-Abgeordnete.

Grüne kritisieren „entkernte“ Vorlage

Konstantin von Notz (Bündnis 90/Die Grünen) konstatierte: „Im Bereich der IT-Sicherheit brennt die Hütte seit Jahren lichterloh.“ Die Lage sei deshalb so schlimm, weil man 15 Jahre das Digitale als Neuland verbrämt habe und als einzige Antwort auf die komplexen Sicherheitsherausforderungen im digitalen Zeitalter „immer mit der Vorratsdatenspeicherung um die Ecke kommt“, sagte der Grünenabgeordnete an die Union gewandt. Damit müsse Schluss sein. 

Notz wies daraufhin, dass die Grünen schon in der vergangenen Legislaturperiode auf eine Umsetzung der NIS-Richtlinie gedrängt hätten. Nach dem Bruch der Ampel sei man auf die Union zugekommen, die sich aber der staatspolitischen Verantwortung entzogen habe. Nun komme von der aktuellen Bundesregierung eine „völlig entkernte Vorlage“. Es gebe kein Schwachstellenmanagement und auch keine Aufnahme der öffentlichen Verwaltung in den KRITIS-Bereich, bemängelte er.

Linke fordert dynamische Fehlerkultur

Donata Vogtschmidt (Die Linke) kritisierte ebenfalls, dass „ausgerechnet der Staat selbst versucht, sich aus der Cybersicherheit zurückzuziehen“. Einen IT-Grundschutz solle es laut Entwurf nur noch für das Kanzleramt und die Ministerien geben – nicht aber für die übrige Bundesverwaltung. 

Selbst diese „laschen Anforderungen“ sollen laut Vogtschmidt dem BSI erst nach fünf statt nach drei Jahren nachgewiesen werden müssen. „Mit dynamischer Fehlerkultur und Lernprozessen hat das herzlich wenig zu tun“, befand die Linken-Abgeordnete. Und das, obwohl die Bundesverwaltung bei Vernachlässigung nicht einmal die Bußgelder fürchten müsse, die anderen Bereichern bei Verstößen auferlegt würden.

Union: Der Gesetzentwurf ist ein Anfang

Marc Henrichmann (CDU/CSU) ging auf den Vorwurf der Grünen ein. Die Ampel-Regierung habe sich beim Versuch der NIS2-Umsetzung in ideologischen Debatten untereinander „komplett verloren“. Nach dreieinhalb Jahren, „auf den letzten Drücker“, als die Union guten Willens gewesen sei, hätten die Grünen so viele Veränderungen in das Gesetz eingebaut „und die ganze Wirtschaft auf Links gedreht“. So könne man aber keine Gesetze machen, befand Henrichmann. 

Der vorliegende Gesetzentwurf sei ein Anfang, „aber noch nicht rund“, so der Unionsabgeordnete. Es reiche nicht aus, nur die Bundesministerien und das Kanzleramt miteinzubeziehen. Auch die nachgeordneten Behörden des Bundes müssten erfasst werden. Schließlich sei das schwächste Glied einer Kette entscheidend dafür, „ob sie reißt und wie groß der Schaden wird“. Dabei gehe es auch um eine Vorbildwirkung. „Wie will ich Mittelständlern und Unternehmen erklären, dass sie entsprechende Vorkehrungen treffen müssen, die für Bürokratie sorgen und Geld kosten, während der Bund sagt, er macht es nicht, weil es zu teuer ist“, sagte er. 

Vorgaben aus Brüssel

Die Nis-2-Richtlinie setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Ziel ist nach Regierungsangaben die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen.

Entsprechend der unionsrechtlichen Vorgaben soll der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert werden. Zusätzlich sollen entsprechende Vorgaben für die Bundesverwaltung eingeführt werden. Der Entwurf sieht vor, dass der Anwendungsbereich ausgeweitet und neue Einrichtungskategorien eingeführt werden. Zudem soll die bislang einstufige Meldepflicht bei Sicherheitsvorfällen durch ein dreistufiges Melderegime ersetzt werden. Das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll im Hinblick auf Aufsichtsmaßnahmen erweitert werden. Darüber hinaus soll in der Bundesverwaltung ein zentraler Koordinator (CISO Bund) für Maßnahmen zur Informationssicherheit in deren Einrichtungen etabliert werden. Dieser soll auch die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützen.

Laut der Bundesregierung hat die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft identifiziert. Die Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe sei eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, heißt es weiter. Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich „die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen“, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen, heißt es im Entwurf.

Für den Bundeshaushalt entstehen durch das Gesetz bei der Bundesverwaltung einmalige Ausgaben in Höhe von rund 59 Millionen Euro sowie bis zum Jahr 2029 laufende jährliche Ausgaben in Höhe von durchschnittlich rund 212 Millionen Euro. Der Wirtschaft sollen einmalig 2,2 Milliarden Euro sowie laufend 2,3 Milliarden Euro jährlich an Kosten entstehen. Mehrausgaben für Länder und Kommunen sind nicht vorgesehen. 

Stellungnahme des Bundesrates

Der Bundesrat begrüßt die geplante Umsetzung der NIS-2-Richtlinie, fordert aber zahlreiche Nachbesserungen vor allem bei der Einbindung der Länder und bei Entbürokratisierung, Umsetzbarkeit und beim Verbraucherschutz. Die Bundesregierung lehnt diese Forderungen mehrheitlich ab, wie aus der Stellungnahme des Bundesrates (21/2072) hervorgeht. 

Unter anderem fordert die Länderkammer für eine bessere Bekämpfung von Fake-Shops und den Schutz von Verbrauchern, Domain-Namen-Registrierungsdaten vollständig in der Datenbank vorzuhalten sowie einen Echtzeit-Zugriff auf Registrierungsdaten durch berechtigte Stellen. Weiter fordert der Bundesrat, die Länder sollten explizit in Unterstützungsaufgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) aufgenommen werden und die Informationsaustausch- und Meldeplattform sollte für die Länder geöffnet werden. Damit Meldeverfahren vollständig digital und medienbruchfrei über eine Online-Plattform laufen, schlagen die Länder Online-Formulare des BSI vor, die gleichzeitig Meldungen nach NIS-2 und Datenschutz-Grundverordnung (DSGVO) ermöglichen. 

Zwei kleinere Änderungsvorschläge will die Bundesregierung prüfen, wie aus ihrer Gegenäußerung hervorgeht. (hau/lbr/vom/13.10.2025)

Inneres

Experten mahnen Nach­besserungen bei ge­plantem Cybersicherheits­gesetz an

Zeit: Montag, 13. Oktober 2025, 15 Uhr
Ort: Berlin, Paul-Löbe-Haus, Sitzungssaal 4 600

An dem von der Bundesregierung vorgelegten Gesetzentwurf zur Umsetzung der NIS-2-Richtline (21/1501) gibt es aus Sicht der zu einer öffentlichen Anhörung des Innenausschusses am Montag, 13. Oktober 2025, geladenen Sachverständigen Nachbesserungsbedarf. 

Ziel der Regelung ist es laut Bundesregierung, die Widerstandskraft von Staat und Wirtschaft gegen Cyberangriffe „deutlich zu erhöhen“. Die Richtlinie setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Vorgesehen ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen. 

Viele Behörden nicht in Regelung einbezogen

Hauptkritikpunkt bei der Anhörung war, dass lediglich Bundesministerien und das Bundeskanzleramt in die Regelung miteinbezogen werden sollen – nicht aber die nachgeordneten Behörden des Bundes und auch nicht die kommunale Ebene. Auch beim Schwachstellenmanagement gebe es Mängel, hieß es. 

Ferdinand Gehringer von der Konrad-Adenauer-Stiftung sagte während der Anhörung: Wenn die öffentliche Verwaltung der Länder und Kommunen nicht in den Geltungsbereich des Umsetzungsgesetzes einbezogen werden, blieben zentrale Bereiche staatlicher Handlungsfähigkeit – insbesondere in der Daseinsvorsorge und im Verwaltungsvollzug – ohne verbindliche Cybersicherheitsanforderungen. Diese Ebenen seien jedoch entscheidend für die Aufrechterhaltung grundlegender staatlicher Funktionen. 

Laut Gehringer ist es „mehr als erforderlich“, im Interesse einer umfassenden Erhöhung der Sicherheit und Resilienz das NIS-2-Umsetzungsgesetz und das KRITIS-Dachgesetz viel stärker aufeinander abzustimmen und die beiden Umsetzungsprozesse weitergehend zu harmonisieren.

„Fragmentierung der Sicherheitsarchitektur wird verfestigt“

Einen koordinierten Ansatz „mit einheitlicher Abwehrstrategie, gemeinsamen Lagebildern und abgestimmten Standards auf allen Verwaltungsebenen“ forderte Sabine Griebsch, Management Director bei GovThings. Nur so könne ein geschlossenes Schutzschild gegen Cyberangriffe aufgebaut werden. 

Griebsch ging auf die Nicht-Einbeziehung von Kommunen in den Anwendungsbereich der NIS-2-Richtlinie ein. Der Verweis auf föderale Zuständigkeiten und die Bemühungen, Überschneidungen zu vermeiden, erschienen zwar auf den ersten Blick pragmatisch. Allerdings überwiegen aus ihrer Sicht die Nachteile einer Nicht-Einbeziehung der Kommunen deutlich, da keine Alternativen aufzeigt würden, wie auf anderem Wege für IT-Sicherheit in Kommunen gesorgt werden soll. So würde die bestehende Fragmentierung der Sicherheitsarchitektur in Deutschland verfestigt.

Experte: Länderverwaltung möglichst einbeziehen

Dr. Sven Herpig, Leiter Cybersecurity Policy and Resilience bei Interface, sagte, der aktuelle Entwurf verzichte weiterhin darauf, den Umgang mit Schwachstellen für IT-Sicherheits-, nachrichtendienstliche oder polizeiliche Zwecke durch die Bundes- und Landesbehörden klar zu regeln. Die diesbezüglichen Änderungen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) trügen daher nur zur Fragmentierung und Rechtsunsicherheit bei, „ohne einen umfassenden Ansatz zur Stärkung der IT-Sicherheit zu leisten“. 

Auch Herpig schlug eine nochmalige Prüfung vor, ob eine Ausweitung des Geltungsbereichs auf die Einrichtungen der Länderverwaltungen umsetzbar ist, da seiner Auffassung nach davon die IT-Sicherheit in Deutschland „sehr wahrscheinlich profitieren würde“.

„Raum für Vulnerabilität und Rechtsunsicherheit“

Aus Sicht von Prof. Dr. Dennis-Kenji Kipker von der Universität Bremen scheitert der Entwurf daran, dass er uneinheitliche, fragmentierte Regelungen schaffe, „die die Informationssicherheit in Teilen zwar stärken, in der Fläche jedoch Raum für erhebliche Vulnerabilitäten und Rechtsunsicherheit lassen“. Konkret bemängelte er mit Blick auf die Rolle des BSI, dass die Fragen rund um die Verbesserung dessen Unabhängigkeit bereits seit mehreren Jahren erörtert würden, gleichwohl aber keine nennenswerten Fortschritte ersichtlich seien. 

Nach wie vor fehlten zudem klare Regelungen für ein staatliches Schwachstellenmanagement, wie mit gemeldeten Sicherheitsinformationen umgegangen wird. Eine gesetzliche Klarstellung zur unverzüglichen Schließung von ermittelten Schwachstellen ist laut Kenji Kipker „nicht nur wünschenswert, sondern dringend geboten“.

Experte: Gesetz schwächt Cybersicherheit

Professor Timo Kob von der HiSolutions AG ging auf die „unsägliche Ausnahme der nachgeordneten Behörden“ ein. Er verwies darauf, dass Ausnahme nicht den Verzicht auf eine Erhöhung der Anforderungen bedeute, sondern ein Absenken der Anforderungen darstelle. „Statt Cybersicherheit zu stärken, schwächt das Gesetz sie sogar“, urteilte Kob. Seit 2017 seien die Ministerien und nachgeordneten Behörden verpflichtet, den IT-Grundschutz umzusetzen. Der Umsetzungsstand nach acht Jahren sei erschütternd, so Kob. 

Mit Blick auf das neue Digitalisierungsministerium, sagte er, wenn man nun hoffentlich bei der Digitalisierung vorankommt, aber gleichzeitig bei der Sicherheit stehenbleibt oder gar zurückfällt sei klar, was passieren werde. „Jede Einsparung an Sicherheit ist de facto eine Sabotage an den Digitalisierungsplänen, weil diese entweder unsicher betrieben werden oder die nötigen Schutzmaßnahmen in den Projekten finanziert und zeitaufwändig umgesetzt werden müssten“, sagte er. 

„Wirtschaft braucht Rechtssicherheit“

Felix Kuhlenkamp vom IT-Branchenverband Bitkom machte deutlich, dass die Wirtschaft schnellstmöglich Rechtssicherheit brauche. Je mehr Zeit Deutschland bei der Umsetzung braucht, desto größer werde die Unsicherheit für betroffene Unternehmen – gerade im Vergleich zu anderen Mitgliedstaaten mit bereits abgeschlossener Umsetzung. Schon jetzt, so Kuhlenkamp, zeigten sich unterschiedliche Anforderungsniveaus in Europa, die grenzüberschreitende Tätigkeiten erschweren. Eine eins zu eins Umsetzung der europäischen Vorgaben ohne zusätzliches nationales „Goldplating“ sei nicht nur eine Frage der Praktikabilität, sondern auch der Wettbewerbsfähigkeit. 

Der aktuelle Entwurf löse viele Herausforderungen jedoch weiterhin nicht, sagte er. Mit ihm werde kein konsistentes Sicherheitsniveau innerhalb der Bundesverwaltung erreicht. Unklar bleibe auch, welche Unternehmen künftig konkret vom Gesetz erfasst sind. 

Standards im öffentlichen und im privaten Sekor 

Der Standard, den die nachgeordneten Behörden einhalten sollen, sei zu niedrig, womit die Richtlinie nicht korrekt umgesetzt sei, sagte Prof. Dr. Meinhard Schröder von der Universität Passau. Es stelle sich zudem die Frage, warum für den öffentlichen Sektor andere Standards gelten sollen als für private Einrichtungen. 

Zum Thema Schwachstellenmanagement sagte Schröder, das BSI dürfte laut dem Entwurf scannen, ob bei Einrichtungen bekannte Schwachstellen vorliegen, „was sicher gut ist“. Nicht geregelt sei aber, wie mit Sicherheitslücken umzugehen ist, von denen das BSI oder eine andere Stelle der Bundesverwaltung zufällig erfährt. Hier müsse dafür gesorgt werden, dass solche Meldungen nicht aus Angst vor Strafe unterbleiben. Andererseits müsse im Einklang mit den Vorgaben des Bundesverfassungsgerichts geregelt werden, „wann die Hersteller über Schwachstellen informiert werden müssen und wann der Staat das Wissen für eigene legitime Zwecken nutzen darf“. (hau/14.10.2025)

Inneres

Gesetz zur Informationssicherheit in der Bundesverwaltung

Alt-Text (kurz) Ein Foto eines blauen Vorhängeschlosses auf einer Leiterplatte mit bunten Schaltkreisen im Hintergrund. Alt-Text (lang) Ein Foto zeigt ein blaues Vorhängeschloss, das auf einer Leiterplatte platziert ist. Die Leiterplatte ist mit bunten Schaltkreisen in verschiedenen Farben, darunter orange und grün, verziert. Der Hintergrund ist unscharf und zeigt weitere elektronische Komponenten, die das Thema Datenschutz und Computerhardware unterstreichen.

Die Informationssicherheit in der Bundesverwaltung ist Thema der Debatte. (© picture alliance / Shotshop | breitformat)

Liveübertragung: Donnerstag, 13. November, 14.05 Uhr

Der Bundestag stimmt am Donnerstag, 13. November 2025, nach halbstündiger Debatte über die von der Bundesregierung geplante Umsetzung der sogenannten NIS-2-Richtlinie der EU ab. Zu dem Gesetzentwurf „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (21/1501, 21/2072, 21/2146 Nr. 1.11) wird der Innenausschuss eine Beschlussempfehlung abgeben und der Haushaltsausschuss einen Bericht gemäß Paragraf 96 der Geschäftsordnung des Bundestages zur Finanzierbarkeit vorlegen.

Erstmals beraten werden soll im Rahmen der Debatte auch ein von der Fraktion Bündnis 90/Die Grünen angekündigter Antrag mit dem Titel „Deutschland resilient machen – Für einen ganzheitlichen Schutz unserer kritischen Infrastruktur“. Der Antrag soll schließlich an die Ausschüsse überwiesen werden. Bei den weiteren Beratungen soll der Innenausschuss die Federführung innehaben. 

Gesetzentwurf der Bundesregierung

Die NIS-2-Richtlinie der EU setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Ziel ist nach Regierungsangaben die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen.

Entsprechend der unionsrechtlichen Vorgaben soll der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert werden. Zusätzlich sollen entsprechende Vorgaben für die Bundesverwaltung eingeführt werden. 

Dreistufiges Melderegime

Der Entwurf sieht vor, dass der Anwendungsbereich ausgeweitet wird und neue Einrichtungskategorien eingeführt werden. Zudem soll die bislang einstufige Meldepflicht bei Sicherheitsvorfällen durch ein dreistufiges Melderegime ersetzt werden. Das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll im Hinblick auf Aufsichtsmaßnahmen erweitert werden. 

Darüber hinaus soll in der Bundesverwaltung ein zentraler Koordinator (CISO Bund) für Maßnahmen zur Informationssicherheit in deren Einrichtungen etabliert werden. Dieser soll auch die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützen.

Erhöhung der Resilienz der Wirtschaft

Laut der Bundesregierung hat die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft identifiziert. Die Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe sei eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, heißt es weiter. 

Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich „die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen“, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen, heißt es im Entwurf. (lbr/hau/07.11.2025)