Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

Verehrter lieber Herr Präsident! Liebe Kolleginnen und Kollegen! Kriege, Konflikte, Krisen – sie sind gerade dieser Tage näher denn je und bei uns in der Tat leider längst angekommen. Wir sind die größte Wirtschaftsnation in Europa, und wir sind strategische Drehscheibe der NATO. Die Feinde unserer Werte, die Feinde unseres Wohlstands und unserer Demokratie haben deshalb auch und insbesondere unseren Cyberraum im Visier. Die Bedrohungslage ist angespannt. Die Zahl der Cyberangriffe nimmt weiter zu, von Kriminellen wie auch von ausländischen Nachrichtendiensten. Hacker erpressen Konzerne, Krankenhäuser und Kommunen. Das ist etwas, das für uns lange Zeit unvorstellbar war. Sie können ganze Infrastrukturen lahmlegen, auch das erleben wir dieser Tage. Und das gefährdet uns in unserem täglichen Leben. Deshalb ist es höchste Zeit, zu handeln. Wir dürfen keine Zeit mehr verlieren. Mit dem vorliegenden Gesetzentwurf setzen wir die NIS-2-Richtlinie in deutsches Recht um. Wir passen unsere gesetzlichen Rahmenbedingungen für Cybersicherheit an und führen zusätzliche, dringend notwendige präventive Schutzmaßnahmen ein. Mit der Umsetzung schaffen wir ein deutlich höheres Sicherheitsniveau für unsere Wirtschaft und die Bundesverwaltung; das ist mir ganz besonders wichtig. So machen wir Unternehmen und Behörden widerstandsfähiger gegen Cyberangriffe. Die Richtlinie macht hierfür zwei zentrale Vorgaben: Mindestanforderungen an organisatorische und technische Maßnahmen zur Verbesserung der Cybersicherheit und Meldepflichten über Sicherheitsvorfälle an die zuständigen Behörden. Beide Vorgaben weiten wir auf mehr Unternehmen in mehr Wirtschaftsbereichen aus – nicht weil wir jemanden ärgern wollen, sondern weil es sicherheitstechnisch dringend notwendig ist. Jetzt sind knapp 4 500 Unternehmen unsere Ansprechpartner, künftig werden es mehr als 30 000 Unternehmen sein. Wir nehmen sie stärker in die Pflicht, für Sicherheit zu sorgen. Und ich will Ihnen sagen: Die Unternehmen sehen diese Notwendigkeit genauso, wie wir sie sehen. Dazu übernehmen wir die Mindestanforderungen aus der NIS-2-Richtlinie in unser novelliertes Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Für die Unternehmen bedeutet das: Sie brauchen Risikoanalysen, sie brauchen Notfallpläne, und sie müssen Back-up-Konzepte und Verschlüsselungssysteme vorhalten. Vorfälle müssen die Unternehmen zwingend melden. Das BSI braucht einen Überblick, was täglich bedauerlicherweise passiert. Deswegen bauen wir das Meldesystem zu einem dreistufigen Meldesystem aus. Wir erweitern dabei auch die Befugnisse des BSI. Und indem wir die Vorgaben der NIS-2-Richtlinie mit unseren untergesetzlichen Regelungen verschränken, stärken wir auch die Cybersicherheit der Bundesverwaltung, ein ganz wichtiger Punkt. Meine lieben Kolleginnen und Kollegen, es ist so natürlich: Wir erhöhen die Zahl der Bundespolizistinnen und Bundespolizisten. Wir stärken unsere Sicherheitsbehörden. Wir weiten die Videoüberwachung an Bahnhöfen aus, all dies in der analogen Welt. Ebenso natürlich und selbstverständlich muss es sein, unsere digitale Welt besser zu schützen und besser aufzustellen. Wir machen uns mit der Umsetzung der NIS-2-Richtlinie genau auf diesen Weg. Wir gehen aber noch weiter: Vor zwei Wochen hat die Bundesregierung drei Eckpunkte beschlossen, um die Cybersicherheit in unserem Land weiter zu erhöhen. Erstens. Wir stärken die Sicherheitsbehörden, indem wir ihre Befugnisse zur Cyberabwehr erweitern. Wir bereiten dazu im BMI einen Gesetzentwurf vor. Zweitens. Ganz wichtig: Wir stärken die zivil-militärische Zusammenarbeit, auch bei der Cybersicherheit. Ausgangspunkt wird eine gemeinsame Übung des Bundesinnenministeriums mit dem Bundesverteidigungsministerium sein, bei der wir unsere Kommunikationssysteme in diesem Bereich einem ausgiebigen Stresstest unterziehen. Wir sehen gerade dieser Tage, dass dies nötiger denn je ist. Wir versprechen uns davon Erkenntnisse, die wir dann selbstverständlich auch mit dem Parlament beraten, um gegebenenfalls weitere Maßnahmen zu ergreifen. Um Angriffe schneller erkennen und automatisiert abwenden zu können – dass das notwendig ist, zeigen uns auch die letzten Tage –, schaffen wir drittens die Grundlagen für einen sogenannten Cyberdome, also einen virtuellen Schutzschild. Das ist etwas, was uns sehr am Herzen liegt. Dieser wird den präventiven Cyberschutz durch weitestgehend automatisierbare Schutzmaßnahmen verbessern und gleichzeitig aktiv Cyberabwehr betreiben. Denn wir brauchen beides: starke Schutzwälle auf der einen und eine aktive Abwehr auf der anderen Seite. Für all das müssen wir Mittel mobilisieren. Ja, auch das gehört zur Wahrheit. Wir stärken das BSI daher nicht nur mit neuen Befugnissen – das würde nicht reichen –, sondern auch mit einem deutlichen Aufwuchs bei Haushalt und Stellen. Danke dafür. Die Bedrohungen in unserer vernetzten Welt haben viele Gesichter; dementsprechend müssen wir uns gut aufstellen. Cybersicherheit ist für unsere kritischen Infrastrukturen – und davon haben wir einige in diesem Land – elementar. Sie sind auf unterschiedlichen Wegen angreifbar. Um sie umfassend schützen zu können, verfolgen wir einen ganzheitlichen Ansatz. Gestern hat das Bundeskabinett den Gesetzentwurf zum KRITIS-Dachgesetz beschlossen – ein weiterer ganz, ganz wichtiger Schritt für die Cyberabwehrfähigkeit. Das KRITIS-Dachgesetz macht Deutschland widerstandsfähiger gegen Krisen und Angriffe und wird die NIS-2-Umsetzung gut und sinnvoll ergänzen. Ich freue mich, dass wir diesen Weg gemeinsam gehen, und bedanke mich schon einmal vorauseilend für Ihre Unterstützung. Herzlichen Dank. Vielen Dank Ihnen. – Als Nächstes spricht Steffen Janich für die AfD-Fraktion.

Sehr geehrter Herr Präsident! Meine Damen und Herren! Was haben eine Landtagsfraktion der Grünen in Sachsen-Anhalt und die Leistungsträger der mittelständischen Wirtschaft gemein? Man könnte meinen: absolut nichts. Aber das stimmt so nicht ganz. Denn beide Gruppen sind gleichermaßen in den vergangenen zwölf Monaten Opfer eines Sicherheitsvorfalls geworden, der auf einen Cyberangriff zurückgeht. Auf der Website „dsgvo-portal.de“ kann man beinahe täglich die bekannt gewordenen Angriffe nachvollziehen. Bei der Polizei in Mecklenburg-Vorpommern drangen Hacker im Juni in einen zentralen Server ein, welcher 3 500 Diensthandys der Beamten verwaltet. Alle Geräte mussten abgeschaltet werden, weil die Angreifer Zugriff auf sensible Daten hatten. Die Polizei war gezwungen, zur Funktechnik zurückzukehren. Der materielle Schaden liegt bei 3,5 Millionen Euro. Auf dem Nachrichtenportal Nius änderten Hacker alle Überschriften in Verknüpfungen um. Diese Verknüpfungen führten zu Dateien mit personenbezogenen Daten von Abonnenten und waren offen einsehbar. In Norwegen griffen Unbekannte in diesem Jahr gezielt auf die Kontrollsysteme eines Staudamms zu. Mehrere Stunden lang wurden sämtliche Schleusen geöffnet, was zu einem maximalen Wasserabfluss führte. Der größte Adressatenkreis aber – und das muss eine vorausschauende Politik betonen – sind kleine und mittlere Unternehmen der Privatwirtschaft. Egal ob Bäckermeister, Bauhandwerker oder Rechtsanwaltskanzleien: Cyberangriffe treffen wirklich jede Branche. Und auch bei der Auswahl der Mittel gehen Internetkriminelle vielseitig vor. Das BKA meldet zwar einen Rückgang beim Einsatz von Ransomware, bei dem Angreifer die Netzwerke von Firmen oder Behörden verschlüsseln, um Geld für die dann folgende Freigabe zu erpressen; dafür nahmen aber Phishingangriffe zu. Täter greifen nach wie vor sensible Daten wie Passwörter und Kontodaten ab, indem sie gefälschte E-Mails verschicken oder getürkte Webseiten betreiben. Ein großes Problem bleiben auch DDoS-Angriffe, bei denen ein Server oder ein Netzwerk zielgerichtet mit einer übergroßen Menge an Datenverkehr überflutet wird, damit reguläre Nutzer keinen Zugriff mehr haben. Deshalb ist es unausweichlich, dass der Deutsche Bundestag gesetzliche Mindeststandards für den Schutz des Cyberraums auf den Weg bringt. Leider führt die Implementierung von Mindestsicherheitsstandards in Unternehmen zu höheren Kosten und zu mehr Bürokratie. Das kann man nicht leugnen. Aber wer diese Mindeststandards in Behörden und Unternehmen ablehnt, der muss sich fragen, ob ihm das Risiko einer Insolvenz seines Unternehmens wirklich lieber ist. Auf der heutigen Tagesordnung ist die erste Beratung dieses Umsetzungsgesetzes angekündigt. Tatsächlich haben wir ein ganz ähnliches Gesetz, um nicht zu sagen: dasselbe Gesetz, welches jetzt aktualisiert wurde, das erste Mal im Oktober des vergangenen Jahres beraten. Mit dem Kollaps der Ampelkoalition ist jenes Gesetz im Nirvana der Ausschussberatungen verschwunden und nicht verabschiedet worden. Der Nebeneffekt ist, dass Unternehmen jetzt ein Jahr länger Zeit hatten, sich auf die notwendige Registrierung vorzubereiten. Und das muss ja nicht schlecht sein. Inhaltlich begrüße ich nach wie vor, dass deutsche Unternehmen mit weniger als 50 Mitarbeitern vom Bürokratieaufwuchs verschont bleiben. Aber auch diese Unternehmen sollten die IT-Sicherheit ihrer Netzwerke ernst nehmen. Für die AfD hat die Sicherheit der Bevölkerung oberste Priorität. Das gilt insbesondere für den digitalen Raum. Darum werden wir diesem Gesetz aller Voraussicht nach zustimmen. Vielen Dank. Vielen Dank. – Johannes Schätzl spricht als Nächster für die SPD-Fraktion.

Sehr geehrter Herr Präsident! Liebe Kolleginnen! Liebe Kollegen! Wir alle wissen, dass wir von digitalen Systemen abhängig sind. Wie sehr wir abhängig sind, merken wir meistens erst dann, wenn eines dieser Systeme nicht funktioniert. Vom Stromnetz über die Trinkwasserversorgung bis hin zu Krankenhäusern, Rathäusern, Verwaltungen und Unternehmen – unser Alltag funktioniert meistens nur deswegen, weil viele einzelne digitale Systeme, die ineinandergreifen, funktionieren. Das alles birgt große Chancen, aber eben auch neue und vielleicht unbekannte Risiken. Klar ist, dass diese Systeme von sich aus ausfallen können, aber auch immer öfter Ziel von gezielten Attacken werden. Hackerangriffe, Cyberangriffe, Datenlecks – all dies sind keine Randphänomene mehr, sondern eine tagtägliche Bedrohung für die Menschen in unserem Land. Ich gebe der Staatssekretärin Ludwig vollkommen recht, wenn sie sagt, dass diese Bedrohungslage sehr real ist. Wir haben gesehen, dass Angriffe auf Kliniken dazu führten, dass Notaufnahmen schließen mussten. Wir haben gemerkt, dass Angriffe auf Stadtverwaltungen dazu geführt haben, dass Bürgerinnen und Bürger über Wochen von wichtigen Dienstleistungen abgeschnitten waren. Laut dem Branchenverband Bitkom verursachen Angriffe auf unsere Unternehmen jährlich einen Schaden von 260 Milliarden Euro – Tendenz steigend –, mit Folgen für Arbeitsplätze und die gesamte Wirtschaft. Jeder dieser Fälle zeigt – das ist aus meiner Sicht vollkommen klar –: IT-Sicherheit ist kein technisches Detail, nicht nur eine Frage für Digitalexperten, sondern eine knallharte Frage der öffentlichen Sicherheit. Genauso wie wir Feuerwehr und Polizei brauchen, müssen wir auch auf eine digitale Feuerwehr zurückgreifen können, die Angriffe verhindert, erkennt und bestenfalls abwehren kann. Genau aus diesen Gründen ist es entscheidend, dass wir mit der Umsetzung der NIS-2-Richtlinie den digitalen Sicherheitsstandard in unserem Land auf eine neue Ebene heben. Wir schützen all das, was für unser alltägliches Leben unverzichtbar ist. Damit bekommen Unternehmen und Behörden klare Vorgaben, welche Sicherheitsstandards sie einzuhalten haben, wie Vorfälle gemeldet werden müssen, und auch, wer in der Unternehmensspitze dafür die Verantwortung übernimmt. Wir schaffen einheitliche, vor allen Dingen europäisch einheitliche Regeln. Wir schaffen mehr Transparenz und mehr Sicherheit. Mit dem NIS-2-Umsetzungsgesetz übernimmt die Politik Verantwortung, indem wir sowohl Unternehmen als auch Behörden verpflichten, in ihre digitale Sicherheit zu investieren. Wir werden im parlamentarischen Verfahren aber noch über einige Dinge sprechen müssen. Wir müssen darüber sprechen, wie wir das BSI noch mehr stärken können. Wir müssen darüber sprechen, wie wir mit technischen Komponenten aus nicht vertrauenswürdigen Ländern umgehen. Und ja, wir müssen auch darüber reden, wie weit wir den Anwendungsbereich ziehen. Denn, ich glaube, eines ist relativ klar: Egal wie stark wir die Tresortür vorne verstärken – wenn der Nebeneingang offen bleibt, dann haben wir in der IT-Sicherheit wenig gewonnen. Liebe Kolleginnen, liebe Kollegen, mir ist es wichtig, noch mal zu betonen, dass IT-Sicherheit viel mehr ist als eine technische Frage. Es geht um Vertrauen in unsere Demokratie. Es geht um die Verlässlichkeit unserer Daseinsvorsorge und um die Wettbewerbsfähigkeit unserer Wirtschaft. Und genau aus diesem Grund ist dieses Umsetzungsgesetz kein Selbstzweck. Es ist ein zentraler Baustein, um unsere Gesellschaft widerstandsfähiger zu gestalten, in einer Welt, die digitaler, vernetzter, aber eben auch verwundbarer geworden ist. Herzlichen Dank. Vielen Dank. – Der nächste Redner ist Dr. Konstantin von Notz für die Fraktion Bündnis 90/Die Grünen.

Herr Präsident! Liebe Kolleginnen und Kollegen! Im Bereich der IT-Sicherheit brennt die Hütte seit Jahren lichterloh. – Das ist keine Oppositionsfloskel, sondern Wahrnehmung und Realität in der Wirtschaft, in den Sicherheitsbehörden, in der Bevölkerung, und, wenn man der Parlamentarischen Staatssekretärin eben zugehört hat, auch in der Bundesregierung. Denn mittlerweile erleben wir täglich schwerste Angriffe auf unsere Demokratie, auf Unternehmen, auf unsere digitalen Lebensadern, aber eben auch Angriffe über das Digitale: gigantische Datenabgriffe, Cyberangriffe auf Krankenhäuser, Kommunen, die Trinkwasserversorgung, organisierten Massenbetrug und Erpressung mit Milliardenschäden sowie breite Desinformations- und Spaltungskampagnen, die den politischen Diskurs in unserem Land zerstören. So schlimm ist die Lage, wenn man 15 lange Jahre das Digitale als Neuland verbrämt und als einzige Antwort auf diese komplexen sicherheitspolitischen Herausforderungen im digitalen Zeitalter immer mit der Vorratsdatenspeicherung um die Ecke kommt, meine Damen und Herren. Damit muss Schluss sein. Diese massiven Herausforderungen, insbesondere die Notwendigkeit der Verschränkung – jetzt wird es interessant – des physischen und des digitalen Schutzes, Herr Throm, hat die EU erkannt und mit zwei Richtlinien, nämlich der CER- und der NIS-2-Richtlinie, Vorgaben gemacht, auf deren Umsetzung wir hier in den letzten Jahren immer wieder gedrängt haben. Trotz Richtlinien und Umsetzungsfristen kam das BMI lange nicht aus dem Knick. Lange haben wir dann in der Ampel verhandelt. Als es dann eine Vorlage gab, ist die Ampel auseinandergebrochen. So weit, so schlecht. Aber dann, Herr Throm, sind wir zur Union gegangen und haben angesichts der dramatischen Sicherheitslage, die die Staatssekretärin beschrieben hat, gesagt: Lassen Sie es uns gemeinsam machen! Hier ist die Vorlage. Wir sind offen für alles. Lassen Sie es uns gemeinsam machen und nicht noch mal zehn Monate verlieren! – Aber da hat es Ihnen in der Opposition an der staatspolitischen Verantwortung gefehlt, die Bürgerinnen und Bürger und die Unternehmen besser zu schützen. Das ist ein Armutszeugnis. Und was machen Sie jetzt, nach zehn Monaten des Stillstands der Rechtspflege, Frau Ludwig? Sie bringen hier zu NIS 2 eine völlig entkernte Vorlage ein: bei Regelungen zum Umgang mit Sicherheitslücken, das sogenannte Schwachstellenmanagement – eine Vorgabe des Bundesverfassungsgerichts –, vollkommene Fehlanzeige, bei der europarechtlich geforderten Unabhängigkeit des CISO Bund auch Fehlanzeige. Dazu steht nichts drin. Es fehlt auch die Aufnahme der öffentlichen Verwaltung in den KRITIS-Bereich. Sie machen der Wirtschaft Vorgaben, von denen diese Bundesregierung sagt: Für die Behörden und uns besser nicht. Das ist völlig unmöglich, meine Damen und Herren. Damit helfen Sie der IT-Sicherheit in Deutschland nicht. Der entscheidende Punkt, nämlich die gleichzeitige Umsetzung der CER-Richtlinie, damit man die Verschränkung des physischen und des digitalen Schutzes hinbekommt, fehlt vollständig. Und um das zu kaschieren, haben Sie gestern im Kabinett ein Gesetz verabschiedet, auf das Sie „Dachgesetz“ geschrieben haben, in dem aber kein Dachgesetz drin ist. Das ist eine Falschetikettierung, und es ist auch einfach handwerklich schlecht, meine Damen und Herren. Die Sicherheitslage in unserem Land ist, wie sie ist. Im Lichte dieser exorbitant erhöhten Bedrohungslagen müssen wir die Wehrhaftigkeit und die Resilienz unserer Gesellschaft relevant erhöhen. Wir brauchen eine echte Sicherheitsoffensive gegen hybride Bedrohungen und einen verbesserten einheitlichen KRITIS-Schutz. Das ist nur ein Baustein, aber eben ein sehr wesentlicher. Frau Staatssekretärin – der Minister war eben noch da, jetzt ist er schon wieder nicht mehr da; deswegen wende ich mich an Sie –, womit beschäftigt sich Ihr Ministerium in den letzten 120 Tagen praktisch ausschließlich? Mit Grenzschließungen, monothematisch mit Grenzschließungen. Damit nimmt man Herrn Dobrindt wahr, sozusagen mit dem vermeintlichen Kernkompetenzthema der AfD. Das machen Sie groß. Aber all die echten Sicherheitsprobleme, die dieses Land hat, die die Bürgerinnen und Bürger betreffen, die uns alle umtreiben und die die Russen ausnutzen, um diese Demokratie auszuhöhlen, gehen Sie nicht an, und das ist unmöglich. Zu guter Letzt kann ich Ihnen eines nicht ersparen: Frau Staatssekretärin, Sie haben die Sicherheitslage, das, was sich hier abspielt, richtig beschrieben: Sabotage, Spionage usw. Trotzdem bekommt es das BMI nach nunmehr geschlagenen zehn bis elf Monaten nicht hin, die Spitze des BfV zu besetzen, der Behörde, die in diesem Land bei der Spionageabwehr den Hut aufhat. So geht es nicht. Das muss besser werden. Ganz herzlichen Dank. Vielen Dank. – Donata Vogtschmidt spricht als Nächste für die Fraktion Die Linke.

Sehr geehrter Herr Präsident! Liebe Kolleginnen und Kollegen! Knapp 1 000 gemeldete Cyberangriffe in Deutschland pro Tag, das zeigt die Polizeiliche Kriminalstatistik 2024. Die Dunkelziffer wird als weitaus höher geschätzt. Krankenhäuser müssen Operationen verschieben, und ganze Lieferketten brechen zusammen. Die Menschen erhalten Briefe, dass ihre vermeintlich sicheren Daten von einem Datenleck betroffen sind. Sie warten auf dringend benötigte Sozialleistungen, weil sich die Stadtverwaltung seit Monaten von einer Attacke holen muss. Auch die Wirtschaft ist nicht ausreichend geschützt. 2024 entstanden 180 Milliarden Euro Schaden allein in Deutschland. Und was machen wir? Lange Zeit anscheinend ziemlich dösig schlafen; denn die EU-Frist zur Umsetzung von NIS 2 war der 18. Oktober 2024. Genau deswegen müssen wir heute über diesen Gesetzentwurf reden. Also ja, NIS 2. Nun steht hier ein Umsetzungsgesetz einer EU-Richtlinie zur Debatte, die generell vieles besser machen könnte. Erhöhte Sicherheitsstandards sollen für etwa 30 000 Unternehmen gelten – auf jeden Fall wesentlich mehr als bisher. Deswegen: Schön, dass jetzt ein Gesetzentwurf dafür vorliegt und davor auch eine Verbändeanhörung stattfand. Aber was kam dabei heraus? Ausgerechnet der Staat selbst versucht, sich aus der Cybersicherheit zurückzuziehen. Einen IT-Grundschutz mit Gesetzesrang gibt es nur noch für das Bundeskanzleramt und die Bundesministerien, nicht aber für die übrige Bundesverwaltung. Auch der Hinweis in der Gesetzesbegründung auf untergesetzliche Anforderungen für die Verwaltung ist recht fadenscheinig. Die betreffenden Umsetzungspläne, beispielsweise für den Bund, sind nicht mehr als eine Leitlinie. Sorry, aber das ist keine Cybersicherheit, das ist digitales Klassenrecht. Der nächste Knüller: Selbst diese laschen Anforderungen sollen dem BSI erst nach fünf statt nach drei Jahren nachgewiesen werden. Mit dynamischer Fehlerkultur und Lernprozessen hat das herzlich wenig zu tun. Und das, obwohl die Bundesverwaltung bei Vernachlässigung nicht einmal die Bußgelder fürchten muss, die anderen Bereichen bei Verstößen auferlegt werden! Sind wir hier bei „Wünsch dir was“? Anscheinend schon, mit Ausnahme von Cybersecurity; denn da würde ich mir persönlich ganz andere Maßnahmen wünschen. Das ist unverantwortlich und auch arrogant und das Gegenteil einer vertrauensbildenden Maßnahme für die Menschen, für die Betroffenen in diesem Land. Und dann erklären Sie mir bitte auch mal, wieso Sie den Personalbedarf für die Umsetzung von IT-Sicherheit im vorliegenden Gesetzentwurf plötzlich nur noch halb so hoch einschätzen wie vorher kalkuliert. Da sind wir doch schon wieder bei den fundamentalen Ansätzen, an denen gesägt wird. Und da reden wir noch nicht mal davon, was von dem benötigten Geld sich dann auch wirklich im Haushalt wiederfindet. Aber das kennen wir ja schon: Rotstift bei ziviler Sicherheit, und Smileys hinter Aufrüstungsposten setzen. Wirklich großartig! Daran scheint auch noch nicht einmal der alarmierende Bericht des Bundesrechnungshofes zur Cybersicherheit des Bundes etwas zu ändern. Wirklich hart daneben! Aber das Schlimmste kommt ja erst noch: All die Mängel, die schon der ursprüngliche Gesetzentwurf hatte, wurden nicht beseitigt. Es sind so viele; ich greife mal drei Themen raus. Erstens: schwammige Begriffe wie „wichtige“ und „besonders wichtige“ Einrichtungen. Und das eng verbundene KRITIS-Dachgesetz bringen Sie nicht parallel auf den Weg. Also leider wieder nichts mit Synchronisierung! Wenn Sie sich hier also wieder mit „schlank“ und „unbürokratisch“ loben: Dieses Geschreibsel namens NIS-2-Umsetzungsgesetz ist das Gegenteil davon. Es ist voller Schlupflöcher, Glaskugelbegriffe, und die Beratungsindustrie wird sich über zahlreiche kostspielige Aufträge freuen. Wirklich hervorragend kosteneffizient! Zweitens. Länder und Kommunen bleiben außen vor. Dabei erleben die Menschen gerade auf diesen Verwaltungsebenen Dysfunktion und Datenabfluss durch fehlende IT-Sicherheit. Wie passt das zusammen? Wie schon bei der Bundesverwaltung höre ich immer: Das Geld fehlt, die qualifizierten Leute fehlen. – Aha. So sieht das also aus, wenn Herr Dobrindt, wie er sagt, im Kampf gegen Cyberattacken massiv aufrüsten will. Das ist kein brillanter Plan für Sicherheit; das ist digitales Glücksspiel. Der Einsatz sind unsere Infrastruktur, unsere Daten und unsere Zukunft. Wie scheinheilig ist das bitte? Drittens. Die Türen bleiben offen für das Geheimhalten von IT-Schwachstellen und staatlichem Hacken. Der Grund: Dem Bundesamt für Sicherheit in der Informationstechnik, BSI, kommt bei der Cybersicherheit in NIS 2 eigentliche eine Schlüsselfunktion zu, doch es bleibt gefangen in einer Doppelrolle. Es soll IT-Sicherheit stärken. Gleichzeitig hat es aber Pflichten zur Unterstützung von Polizeien und Geheimdiensten bei deren Aufgaben. Bedeutet also: IT-Schwachstellen im Zweifel nicht melden, sondern für Überwachungszwecke geheim halten. Sie lösen das im vorliegenden Gesetzentwurf wie? Ganz einfach: Sie schieben die fragliche Passage § 3 Absatz 1 des BSI-Gesetzes mal eben von Nummer 13 auf Nummer 18. Das war’s. Das Problem bleibt einfach drin. Nicht einmal das Urteil des Bundesverfassungsgerichts von 2021 zum notwendigen Schwachstellenmanagement lässt bei Ihnen den Alarm schellen; auch das fehlt in Ihrem Entwurf. Als Gipfel wollen Sie auch noch unterbinden, dass das BSI Kenntnis über die Anzahl durch Geheimdienste geheim gehaltener IT-Schwachstellen erhalten darf. Nicht mal die Anzahl! So ist dem BSI also nicht mal eine grobe Einschätzung möglich. Unfassbar! Das kann und darf einfach nicht die Rolle des BSI sein oder gar bleiben. Und das ist auch sicher nicht die Intention der NIS-2-Richtline. Digitale Sicherheit ist ein Grundrecht, Daseinsvorsorge und eine Voraussetzung für Vertrauen in der Demokratie. Sie gehört uns allen: nicht nur den Konzernen, nicht nur den Ministerien und erst recht nicht dem Lobbyismus. Cybersecurity heißt: gleiche Regeln, gleiche Rechte, gleiche Verantwortung. Alles andere gefährdet schlicht und ergreifend unsere Demokratie. Denn: Unsere digitale Zukunft ist nur so stark wie ihr schwächstes Glied, und dieses Gesetz darf nicht dafür sorgen, dass genau das der Staat selber ist. Fazit. Erst eine EU-Richtlinie nur mit Minimalprogramm umzusetzen, sie im Bundeskabinett noch mal weiter zu verkleinern und auch noch die Intentionen der NIS-2-Richtlinie für IT-Sicherheit bewusst zu unterwandern, ist erstaunlich kurz gedacht. Das gefährdet unser Allgemeinwohl und die hoheitliche Integrität, und das auch noch bei einem so zentralen Thema wie der IT-Sicherheit. Ich bin tief enttäuscht. Danke. Vielen Dank. – Marc Henrichmann spricht als Nächster für die Unionsfraktion.

Herr Präsident! Liebe Kolleginnen und Kollegen! Es gibt, glaube ich, wenige Ministerien, die derzeit mit so viel Ehrgeiz und Engagement Gesetzentwürfe ins Parlament bringen und die Handlungsfähigkeit dieser Bundesregierung unterstreichen. Das NIS-2-Umsetzungsgesetz zählt dazu. Wir nehmen die Sicherheitsbedenken im Informationsraum sehr ernst. Lieber Kollege von Notz, nach einer vielleicht gerade bewältigten „16 Jahre“-Trauma-Geschichte hören wir jetzt das „15 Jahre“-Trauma. Ich kann es Ihnen nicht ersparen: Dreieinhalb Jahre haben wir das Thema NIS-2-Umsetzung aus der Ferne begleitet. Die damalige Bundesregierung hatte eine Mehrheit; sonst wäre sie wahrscheinlich nicht ins Amt gekommen. Und ehrlicherweise: Sie haben sich komplett in ideologischen Debatten der Ampelpartner untereinander verloren. Nach dreieinhalb Jahren, auf den letzten Drücker, als die Gespräche wirklich gut liefen und die Union auch guten Willens war, haben Sie noch so viele Veränderungen reingebaut – ich nenne nur die kritischen Komponenten: Sie haben die ganze Wirtschaft ohne Anhörung, ohne Beteiligung auf links gedreht; das war deren Problem, nicht die Regelung, sondern die fehlende Beteiligung –, dass alle gesagt haben: So könnt ihr keine Gesetze machen. – Wir hören den Menschen und den Unternehmen zu. Deswegen haben wir gesagt: Wir müssen noch eine Runde drehen. Hier sind wir: Wir liefern, und wir machen voran. Die Uhr zeigt mittlerweile elf nach zwölf. Im Oktober letzten Jahres hätte dieses Gesetz umgesetzt werden müssen. Insofern geben wir jetzt Gas. Wir geben uns auch keiner Illusion hin: Dieses Gesetzespaket ist natürlich noch nicht fertig; es ist noch nicht rund. Wir Parlamentarier werden jetzt unseren Beitrag dazu leisten. Aber es ist ein Anfang, den wir machen. Die Bedrohungslage ist hinreichend skizziert. Wir haben es dieser Tage gesehen: Drohnenüberflüge, wir werden von unseren Feinden ausgetestet, Schiffe als Basis für Spionagedrohnen, Tanker der Schattenflotte – die Liste ist lang. Genau das passiert auch im Cyber- und Informationsraum. Der Hack des Bundestages ist genannt worden. Aber auch viele Unternehmen sind Opfer von Cyber- und Hackingattacken. 81 Prozent aller Unternehmen sagen das; darüber hinaus vermuten 10 Prozent, dass sie Opfer geworden sind. Wir verzeichneten 2024 266 Milliarden Euro Schaden und damit eine Steigerung um 30 Prozent. Das ist eine unglaublich hohe Summe. Auch deswegen müssen wir alles tun, um Systeme zu härten. Aber das ist noch nicht alles: Wir haben es auch mit Organisierter Kriminalität, Ransomware, Phishingmails und anderem zu tun. Wir stellen jetzt die Weichen für eine Zeitenwende im Cyberraum. Dabei ist dieses Gesetz ein Anfang und noch lange nicht das Ende. Worüber wir übrigens auch reden müssen, meine Damen und Herren, das sind die Befugnisse unserer Sicherheitsbehörden und – das sage ich ausdrücklich – auch der Nachrichtendienste. Diese sind in Zeiten äußerster Bedrohung eine Lebensversicherung. Sie sind kein notwendiges Übel; sie sind eine Lebensversicherung für unser aller Leben und unsere Sicherheit in Deutschland. Deswegen streiten wir auch hier für sinnvolle und zielgerichtete Befugnisse unserer Sicherheitsbehörden in Zukunft, meine Damen und Herren. Ich hatte es erwähnt: Natürlich hat dieser Entwurf noch Ecken und Kanten. Ich möchte einen Punkt nennen, der mir besonders wichtig ist und für den ich auch in der Vergangenheit entschieden gestritten habe. Das sind die nachgeordneten Behörden des Bundes, die – bislang jedenfalls – Risikomanagementmaßnahmen nach § 30 BSIG nicht ergreifen sollen. Wir wissen alle, dass das schwächste Glied einer Kette darüber entscheidet, ob sie reißt und wie groß der Schaden wird. Deswegen reicht es nach unserer Auffassung nicht, nur die Ministerien und das Kanzleramt einzubeziehen; auch die Bundesverwaltung muss sich den gleichen Schutzmaßnahmen unterwerfen. Es geht hier auch um eine Vorbildwirkung. Wie wollen wir den Mittelständlern und den Unternehmen erklären, dass sie entsprechende Vorkehrungen treffen müssen, die natürlich auch bürokratischen Aufwand mit sich bringen, die natürlich auch Geld kosten, wenn wir andererseits sagen: „Der Bund macht es nicht; es ist zu teuer, es ist zu viel Aufwand“? Wir müssen Vorbild sein. Wir wollen die Bundesverwaltung miteinbeziehen. Wer mir jetzt kommt und sagt: „Alles viel zu große Schritte, viel zu teuer“, dem sage ich: Es gibt den Umsetzungsplan Bund; der gilt ohnehin schon für die Behörden der Bundesverwaltung. Der Schritt, den wir jetzt hin zu NIS 2 gehen müssen, ist gar nicht so groß, und damit ist er auch nicht mehr so teuer. Deswegen lasse ich dieses Argument nicht gelten. Gehen wir mit gutem Beispiel voran! Die Bundesverwaltung muss auch mit in dieses Paket. Zum Schluss noch ein Appell an die Länder und Kommunen. Wir machen hier Bundespolitik, wir machen hier Regeln für die Bundesministerien, für die Bundesverwaltung. Aber ich glaube, ein einheitlicher Schutz in ganz Deutschland ist das Ziel, das wir gemeinsam erreichen müssen. Es macht keinen Unterschied, ob eine Genehmigungsbehörde auf Kreisebene, auf Bezirksregierungsebene oder auf Bundesebene gehackt wird. Teilweise laufen Baupläne über Kreisbehörden. Wenn die gehackt werden, bringt es nichts, wenn der KRITIS-Betreiber, der umbauen möchte, gehärtet ist bis zum Gehtnichtmehr. Gehen wir gemeinsam diesen Weg hin zu Resilienz und Cybersicherheit in Deutschland! Wir wollen auch die Kommunen einbinden. Deswegen ist die Idee des Cyberdomes auch so wichtig. Wir werden die Akteure zusammenbringen. Wir wollen Cybersicherheit nach dem Motto „Vernetzen, verzahnen, verteidigen“ machen und nicht länger nach dem Motto „Wir verzetteln uns“. Wir gehen voran. Ich werbe für die entsprechenden Verbesserungen im parlamentarischen Verfahren. Vielen Dank. Vielen Dank. – Tobias Ebenberger spricht als Nächster für die AfD-Fraktion.

Herr Präsident! Sehr geehrte Damen und Herren Abgeordnete! Der Russe war’s! Zitat: „Ein Flugzeug mit EU-Kommissionspräsidentin Ursula von der Leyen an Bord ist mutmaßlich Ziel einer absichtlichen Störung des satellitenbasierten Navigationssystems GPS durch Russland geworden.“ Das berichtete vor zehn Tagen die „Tagesschau“, die sich dabei auf die EU-Kommission bezieht, welche sich wiederum auf bulgarische Behörden bezieht. Rund eine Stunde habe die Maschine in der Luft kreisen müssen. Dann traf der Pilot die nervenzehrende Entscheidung und setzt zur Landung auf dem nächsten Flughafen an mithilfe analoger Karten. Puh! Hollywood hätte es nicht besser schreiben können. Tatsächlich kommen nach vier Tagen erhebliche Zweifel auf. Flugtrackingdienste und Transpondersignale – Achtung! – widersprechen dieser Darstellung. Bulgarien und die EU-Kommission sehen von einer Untersuchung des Vorfalls schließlich ab. Huch, doch kein Cyberangriff! Während die EU offenbar mal wieder Opfer ihrer eigenen Paranoia wurde, ist die deutsche Wirtschaft, Verwaltung und Infrastruktur tatsächlich ständiges Ziel von Cyberattacken. Im Juli verschafften sich Hacker Zugriff zu Daten von Patienten und Mitarbeitern des Klinikkonzerns AMEOS. Kurz zuvor hatten Unbekannte den zentralen Server einer niedersächsischen Bäckereikette gehackt; auf den Bildschirmen über den Broten, Brötchen und Laugenstangen erschienen so eines Tages proiranische Botschaften. Mahlzeit! Hacker, die in Netzwerke eindringen, Passwortdiebstahl, Ransomware-Angriffe – wir haben es eben schon gehört –, diese Beispiele zeigen: Cybersicherheit berührt längst den Alltag von uns allen. Die Bemühungen, Cybersicherheit zu schaffen, liebe Vertreter der verbrauchten Parteien, kommen viel zu spät. Laut TÜV-Verband sind im vergangenen Jahr 15 Prozent der befragten Firmen Opfer eines Cyberangriffs geworden. Dem Digitalverband Bitkom zufolge waren sogar 74 Prozent der Unternehmen von Datendiebstahl betroffen. Der Gesamtschaden durch Cybercrime betrage 178,6 Milliarden Euro. Und zwei von drei Unternehmen fühlten sich durch Cyberangriffe in ihrer Existenz bedroht. Ja, was hat die Mehrheit in diesem Haus eigentlich die letzten Jahre hinsichtlich dieses Themas gemacht? Ich kann Ihnen da vielleicht mal auf die Sprünge helfen. Sie haben ja teilweise eine merkwürdige Prioritätensetzung. Beispielsweise haben Sie mit Ihrem Lieferkettengesetz dem Mittelstand ein Bürokratiemonster auf den Hals gehetzt. Sie haben mit dem Digital Services Act das Internet – ja – zensiert. Sie sind mit dem DigitalPakt Schule gescheitert; das kann man sagen. Und Sie, Herr Dr. Wildberger, basteln an digitalen Identitäten, an digitalen Brieftaschen, dem digitalen Euro und auch an Schüler-IDs. Aber die Frist zur Umsetzung der EU-Richtlinie zur Cybersicherheit wurde – ups! – verpasst. Dabei handelt es sich um eine wenigstens im Großen und Ganzen richtige Verordnung, die die Cyberresilienz von kritischen und wichtigen Unternehmen stärken soll; mein Fraktionskollege erläuterte es eben. Laut TÜV-Verband halten 56 Prozent der Unternehmen verpflichtende Cybersecurity-Vorgaben für richtig. Lassen wir sie nicht länger im Fadenkreuz von Cyberkriminellen stehen, während sich die Bedrohungslage Jahr für Jahr verschärft! Eines muss dabei aber klar sein: Absolute Sicherheit wird es auch im Cyberspace niemals geben. Jede Firewall wird irgendwie irgendwann mal zu umgehen sein. Darum dürfen wir – daran erinnere ich Sie immer wieder gerne hier im Hohen Haus – analoge Strukturen und Back-ups nicht vernachlässigen. Wer weiß, ob von der Leyens Flieger ohne Papierkarte nicht heute noch über Bulgarien fliegen würde – wobei das vielleicht gar nicht so verkehrt wäre. Herzlichen Dank. Als Nächstes hat das Wort für die SPD-Fraktion der Abgeordnete Daniel Baldy.

Vielen Dank. – Frau Präsidentin! Liebe Kolleginnen und Kollegen! Taylor-Swift-Fans, Energiebetreiber oder auch die Polizei in Mecklenburg-Vorpommern, sie alle sind von Cyberangriffen betroffen. Während es bei den Swifties aber nur um eine niedrige zweistellige Anzahl von Konzerttickets für die Auftritte in Deutschland ging, waren bei der Polizei von Mecklenburg-Vorpommern die Daten von rund 4 000 Diensthandys betroffen. Die Ziele der Akteure sind dabei sehr unterschiedlich: Mal geht es um einen wirtschaftlichen Nutzen durch Ransomware-Angriffe, mal geht es um das Schüren von Misstrauen in staatliche Strukturen, beispielsweise durch Hack and Leak. Mal sind die Akteure Kriminelle, mal handeln sie aber auch im staatlichen Auftrag Russlands oder Chinas. Die Beweggründe mögen verschieden sein. Die Antwort darauf muss aber umso klarer und einheitlicher sein: Staat, Wirtschaft und Gesellschaft müssen gegen Cyberangriffe resilienter werden. Mit dem vorliegenden Gesetzentwurf gehen wir dabei einen ganz wichtigen und entscheidenden Schritt, liebe Kolleginnen und Kollegen. Der Gesetzentwurf – das war ja auch schon Thema; Stichwort „Meldewesen“ – sieht unter anderem vor, dass Unternehmen Cyberangriffe in den ersten 24 Stunden an das Bundesamt für Sicherheit in der Informationstechnik, kurz: BSI, melden müssen. Warum ist das so wichtig? Warum brauchen wir das? Warum überlassen wir die Unternehmen in dieser Phase nicht sich selbst? Ich will ein ganz konkretes Beispiel nennen: Wenn ein Kraftwerk in meinem Heimatwahlkreis Mainz von einer Cyberattacke betroffen ist, dann kann das mehrere Gründe haben. Es kann einen großflächigen Angriff auf kritische Infrastruktur in Mainz, im Rhein-Main-Gebiet geben, es kann deutschlandweit Angriffe auf den Energiesektor geben, es kann sich aber auch um einen Einzelfall handeln. Um diese Frage mit dem Blick aufs Ganze beantworten zu können, braucht es einen einheitlichen Meldeweg und ein einheitliches Lagebild bei BSI und BBK. Das erleichtert das Krisenmanagement und hilft am Ende allen Betroffenen. Wir werden deshalb in den Verhandlungen noch mal schauen, wo wir Meldewege vereinheitlichen können. Denn klar ist: Das BSI ist die zentrale Cybersicherheitsbehörde Deutschlands und muss bei den Meldungen der erste Ansprechpartner für alle Akteure sein, liebe Kolleginnen und Kollegen. Knapp 30 000 Unternehmen – die Zahl wurde schon genannt – werden unter das NIS-2-Umsetzungsgesetz fallen. Laut einer Studie der Unternehmensberatung EY aus dem Sommer 2025 sind erst 14 Prozent der Unternehmen vollständig auf die Anforderungen der Richtlinie vorbereitet.13 Prozent haben noch nicht einmal mit den Vorbereitungen begonnen. Das heißt: Sehr viele Unternehmen werden in den nächsten Monaten und Jahren Beratung benötigen. Das BSI als unsere Cybersicherheitsbehörde wird dabei eine ganz entscheidende Rolle spielen und den Unternehmen beratend und informierend zur Seite stehen. Zusätzlich erwarten wir aber auch vom BSI, dass es die Aufgaben, die es heute schon erfüllt, in den nächsten Jahren angesichts einer zunehmenden Bedrohungslage weiterhin verstärkt übernimmt und erledigt. Wir werden den Bundeshaushalt 2026 hier im Plenum zwar erst übernächste Woche erstmals beraten, ich möchte den Beratungen an dieser Stelle aber schon einmal vorgreifen. Die Mittel für das BSI sind im Regierungsentwurf für das kommende Jahr um mehr als 100 Millionen Euro aufgewachsen, unter anderem für den Aufbau eines Beratungszentrums. Ich habe eingangs gesagt: Wirtschaft, Gesellschaft und Staat müssen gegen Cyberattacken gemeinsam resilienter werden. Genau das unterstützt die Koalition mit dem NIS-2-Gesetz, mit den bereitgestellten Mitteln, mit den Mitteln des nächsten Haushaltes. Ich freue mich auf die Beratungen über den Haushalt, insbesondere aber auch über diesen Gesetzentwurf. Herzlichen Dank. Das Wort hat nun für die Fraktion Bündnis 90/Die Grünen die Abgeordnete Jeanne Dillschneider.

Sehr geehrte Frau Präsidentin! Liebe Kolleginnen und Kollegen! Der russische Angriffskrieg gegen die Ukraine und die hybride Kriegsführung gegen Deutschland, EU- und NATO-Mitgliedstaaten haben die sicherheitspolitische Lage in Deutschland und in Europa spürbar verschärft. Das Eindringen russischer Drohnen in den polnischen Luftraum gestern zeigt, wie dramatisch, wie ernst die Lage ist. Russland testet täglich unsere Reaktionsfähigkeit, insbesondere mit gezielten Angriffen auf unsere kritische Infrastruktur, kurz: KRITIS, und das nicht nur sichtbar, sondern auch unsichtbar im Cyberraum. KRITIS ist die Grundlage unseres gesellschaftlichen Zusammenlebens. Wenn wir sie nicht schützen, dann schaffen es Staaten wie Russland, unsere Gesellschaft zu destabilisieren. Genau darum geht es bei der NIS-2-Richtlinie. Wir müssen unsere kritische Infrastruktur widerstandsfähig aufstellen. Die Maßnahmen der Richtlinie sind notwendig und mit Blick auf die geopolitische Lage längst überfällig. Da das Thema so wichtig ist, könnte man meinen, die Bundesregierung ginge mit gutem Beispiel voran. Doch im Gesetzentwurf schieben Sie die Verantwortung für IT-Sicherheit einseitig den Unternehmen und öffentlichen Stellen zu. Die eigene Bundesverwaltung nehmen Sie aus den strengen IT-Sicherheitsvorgaben raus. Aber was bringt es, wenn kritische Daten bei den Unternehmen und bei den öffentlichen Stellen sicher sind und dann bei den Verwaltungen abgegriffen werden? Sehr geehrte Kollegen von der CDU/CSU, sehr geehrter Herr Henrichmann, wenn Sie das genauso sehen, was ich sehr gut finde, dann schreiben Sie es doch mit uns gemeinsam rein! Fehlendes Geld ist keine Entschuldigung; denn mit der Grundgesetzänderung haben wir Spielraum geschaffen. Laut einem neuen Bericht erfüllen nur 10 Prozent der Rechenzentren des Bundes den Mindeststandard. Das ist nichts Neues. Gerade bei der öffentlichen Verwaltung gibt es Nachholbedarf. Von den geplanten Stellen für die Cybersicherheit des Bundes ist aber nur noch die Hälfte übrig. Unter dem Vorwand des Bürokratieabbaus lassen Sie nun offene Flanken bei unserer Regierung. Russland und seine Cyberkriminellen werden es Ihnen danken. Die NIS-2-Richtlinie bedeutet umfassende Verpflichtungen für Wirtschaft und öffentliche Stellen. Sie bringt auch zusätzliche Herausforderungen. Deswegen braucht es unbedingt Klarheit und Rechtssicherheit. Dieser Entwurf hat aber noch einige juristische Mängel und Baustellen. Die Bundesregierung verwässert den Anwendungsbereich der Richtlinie, indem sie KRITIS-Betreiber ausnimmt, deren kritische Tätigkeiten nur einen Teil ihres Geschäftsbereichs ausmachen. Was das bedeutet, weiß keiner. Hacker interessiert das nicht. Diese Ausnahme dürfen wir nicht durchwinken, wenn wir der hybriden Bedrohungslage gerecht werden wollen. Die Kritik von Anwälten, Verbänden und der Wirtschaft scheint bei Ihnen noch nicht angekommen zu sein. Doch glücklicherweise haben Sie das Parlament, um diese Fehler nachzubessern – angesichts der Bedrohungslage lieber heute als morgen. Für die Fraktion der CDU/CSU hat nun das Wort der Abgeordnete Henri Schmidt.

Danke, lieber Konstantin, für die persönliche Begrüßung. – Sehr geehrte Frau Präsidentin! Liebe Kolleginnen und Kollegen! Für mich ist Cybersicherheit kein abstraktes Konstrukt, sondern – leider – gelebte Erfahrung und Realität. Als Geschäftsführer eines mittelständischen IT-Unternehmens habe ich am eigenen Leib erfahren müssen, wie ein Cyberangriff wirkt und welchen Schaden dieser verursachen kann. Über 600 Kundinnen und Kunden, im Wesentlichen Steuerberatungskanzleien mit 13 000 Arbeitsplätzen, waren circa eine Woche nicht mehr arbeitsfähig. Nur dem Engagement und der Kompetenz meiner Mitarbeiterinnen und Mitarbeiter, die ich hier recht herzlich grüße, ist es zu verdanken, dass wir diese Krise unternehmerisch überstanden haben. Ich darf Ihnen sagen: Wer einmal durch eine solche Geschichte durchgegangen ist, wer das einmal am eigenen Leib erfahren hat, der denkt ganz anders über Cybersicherheit. Ohne funktionierende IT bricht alles zusammen: in der Wirtschaft, in den Unternehmen, in der Verwaltung und natürlich auch im gesamten Staat. Diese Bedrohung ist längst keine theoretische Fragestellung mehr, sondern schwebt tagtäglich über uns. Deswegen ist es genau richtig, dass wir heute hier über den Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie sprechen. Dieses Gesetz ist kein Randthema der Sicherheits- und Digitalpolitik, sondern eine Grundbedingung für unsere wirtschaftliche und staatliche Resilienz und Handlungsfähigkeit. Und sie ist ein Fortschritt; denn mit diesem Gesetz ziehen wir die Sicherheitsanforderungen in Deutschland und Europa deutlich an. Mehr Unternehmen und Sektoren werden erfasst, es gibt strengere Standards, verbindliche Meldepflichten und spürbare Sanktionen bei Verstößen. Das ist ein richtiger und wichtiger Schritt, der längst überfällig ist. Ich sage auch ausdrücklich: Diese Bundesregierung verdient zunächst Anerkennung dafür, dass dieser Gesetzentwurf nun schon vorliegt, wenige Monate nach Regierungsbildung. Das ist ein richtiger und wichtiger Schritt. Es ist aber auch höchste Zeit, dass wir in der Cybersicherheit nun europäisch denken und handeln; denn Angriffe machen nicht an den Grenzen halt, weder an denen der Bundesländer noch an denen der Mitgliedstaaten der Europäischen Union. Aber, meine Kolleginnen und Kollegen, damit es nicht bei Worten bleibt, müssen wir an diesen Gesetzentwurf noch einmal ran. Drei Dinge müssen aus meiner Sicht klar sein: Erstens. Der Bund selbst muss Vorbild sein. Der Bundesrechnungshof – Frau Dillschneider hat gerade völlig richtig darauf hingewiesen – hat kürzlich unter Verweis auf das BSI festgestellt: Weniger als 10 Prozent der Rechenzentren der Bundesverwaltung erfüllen die eigenen Sicherheitsstandards. Das ist kein gutes Zeugnis, und hier müssen wir handeln. Wer von Unternehmen Verbindlichkeit verlangt, darf nicht selbst die größte Schwachstelle sein. Zweitens. Wir brauchen ein starkes BSI. Es reicht nicht, wenn Empfehlungen ausgesprochen werden. Mindeststandards müssen verbindlich gelten, und sie müssen bei uns auch zentral durchgesetzt werden. Cybersicherheit darf nicht von föderaler Beliebigkeit abhängen. Drittens. Wir müssen Cybersicherheit und digitale Souveränität zusammendenken. Europa darf nicht dauerhaft von ausländischen Anbietern abhängig sein, weder bei Software noch bei der Cloud noch bei Chips. Wahre Souveränität gibt es nur, wenn wir unsere eigenen Infrastrukturen schützen und gleichzeitig europäische Alternativen aufbauen. Das sind unsere Prioritäten: Sicherheit und Souveränität. Dafür stehen meine Fraktion und auch diese Koalition. NIS 2 ist ein notwendiger Schritt in die richtige Richtung, aber entscheidend wird sein, ob wir die Standards auch wirklich umsetzen: im Bund, in den Ländern, in den Kommunen und vor allem in der Wirtschaft. Nur dann wird aus einer Richtlinie echte Sicherheit für unser Land. Vielen Dank. Nun hat das Wort für die AfD-Fraktion der Abgeordnete Arne Raue.

Sehr geehrte Frau Präsidentin! Sehr geehrte Kolleginnen und Kollegen! Wir sprechen heute über den Gesetzentwurf zur Umsetzung der sogenannten NIS-2-Richtlinie. Es geht um Cybersicherheit, wie mehrfach gehört, ein zweifellos wichtiges Thema. Doch dieser Entwurf ist aus mehreren Gründen alles andere als eine maßvolle und souveräne Lösung. Wieder einmal beugen wir uns ungeprüft den Vorgaben aus Brüssel. Die EU-Kommission diktiert uns Richtlinien, die weit über das Maß hinausgehen, das für Deutschlands Sicherheit tatsächlich notwendig wäre. Wir verlieren Stück für Stück unsere nationale Souveränität im Bereich der inneren Sicherheit, einem Kernbereich staatlichen Handelns. Weiterhin wird konsequent Bürokratie aufgebaut. Laut Entwurf entstehen für die Wirtschaft zusätzliche Kosten von über 2 Milliarden Euro jährlich für Registrierungspflicht, Meldepflicht und Risikomanagement. Gerade mittlere Unternehmen werden damit an den Rand gedrängt, während große Konzerne mit eigenen Rechtsabteilungen und IT-Bereichen das Ganze vielleicht noch verkraften können. Aber lassen Sie sich gesagt sein: Das heißt nicht, dass sie großen Wert auf diese Mehrkosten legen. Erst gestern sprach der Herr Staatssekretär für Wirtschaft davon, dass gerade die mittleren Unternehmen unser Rückgrat sind. Daran sollte man dann bitte auch in dieser Diskussion denken. Hier schafft die Regierung nicht mehr Sicherheit, sondern bremst unsere Wirtschaft wieder einmal weiter aus. Überdies lauern auf unsere Unternehmen im Einzelfall Strafen von – man höre und staune – bis zu 10 Millionen Euro. Gleichzeitig bleibt völlig unklar, also nach hintenraus offen, ob mit NIS 2 überhaupt ein messbarer Sicherheitsgewinn einhergeht. Wir kaufen uns also eine teure Scheinsicherheit. Bezahlt von wem? Natürlich vom Steuerzahler und vom Unternehmer. Meldepflichten in nun drei Stufen – das haben wir heute mehrfach gehört; wir waren bisher bei einer Stufe –, ausgeweitete zentrale Aufsicht durch das BSI, neuer Koordinator für Informationssicherheit, das klingt modern, bedeutet aber in der Praxis: mehr Kontrolle, mehr Papierkram, mehr Abhängigkeit von zentralistischen Strukturen. Herr Kollege, eine kurze Unterbrechung. Erlauben Sie eine Zwischenfrage aus der CDU/CSU-Fraktion? Ja, ich bitte darum. – Danke. Der Vorredner aus Ihrer Fraktion hat gerade von einer grundsätzlich guten EU-Verordnung gesprochen. Sie sind jetzt wieder in dieses totale EU-Bashing zurückgefallen. Ihr Vorredner hat davon gesprochen, dass das sinnvoll und auch wettbewerbsfördernd für unsere Wirtschaft sein könne. Sie sagen jetzt, das sei alles furchtbar für die Wirtschaft und die Wirtschaft wolle das alles gar nicht. Was gilt denn nun für Ihre Fraktion? Danke für die Frage. Bleiben Sie doch ruhig stehen! Dann hören Sie besser, was ich sage. Allgemein bleibt man hier nämlich stehen. Zum einen ist es so, dass wir natürlich EU-weit regeln – wir haben es heute mehrfach gehört –, was Sinn macht. Allerdings wollen wir nicht immer noch einen draufsetzen. Die Richtlinie gibt ja auch vor, wo die Grenzen sind, und wir müssen darauf achten, dass wir nicht noch einen draufsetzen. In Summe – das sage ich Ihnen nachher – komme ich zu dem Ergebnis, dass wir den Entwurf unterstützen, wie der Kollege vorhin recht deutlich gesagt hat. Und doch muss man immer und immer wieder betonen, dass der Bürger in diesem Land genug gegängelt und drangsaliert wird. – Ja, auch in Fragen der Sicherheit muss man das im Auge behalten. Der Steuerzahler wird gemolken und gemolken und gemolken, und die Unternehmen verlieren weiterhin an Wettbewerbsfähigkeit. Das ist der Hintergrund, und insofern ist es mir wichtig, das zu betonen. Danke für die Frage. Um gleich an Ihre Frage anzuschließen: Natürlich sind Pflichten wie Risikoanalyse, Notfallpläne und Schulungen sinnvoll; das muss man positiv herausheben. Ich kann es mir nicht verkneifen – diesen kleinen Schwenker leiste ich mir –, Parallelen in puncto mehr Bürokratie zu sehen; auch da bin ich wieder bei Ihrer Frage. Hier nur der Hinweis auf unser geliebtes Hinweisgeberschutzgesetz. Wir als AfD fordern eine Stärkung der nationalen Cybersicherheit mit eigenen Standards, zugeschnitten – noch mal in Ihre Richtung gesprochen – auf deutsche Interessen. Zugleich muss unsere Wirtschaft entlastet werden – da haben wir es wieder –, insbesondere der Mittelstand, anstatt zusätzliche Bürokratie – und da wiehert wieder unser europäischer Schimmel – zu erzeugen. Wir fordern natürlich Investitionen in praxisnahe IT-Sicherheit und in die Ausbildung von Fachkräften, statt Milliarden in EU-Bürokratie zu investieren. Deutschland braucht eine eigene nationale Sicherheitskonzeption, die sich natürlich in die europäischen Regeln einpassen kann, die Prioritäten setzt, die Bürger schützt, die Unternehmen schützt und natürlich unsere Infrastruktur im Auge hat. Ohne diese klare nationale Strategie bleibt Cybersicherheit nur ein Schlagwort, und unser Land bleibt angreifbar. Ich sage es noch mal: Die AfD ist hier mit im Boot. Ich danke Ihnen. Damit hat das Wort für die SPD-Fraktion die Abgeordnete Dr. Carolin Wagner.

Sehr geehrte Frau Präsidentin! Sehr geehrte Damen und Herren! Liebe Gäste auf den Besuchertribünen! Wir haben es gerade gehört: Am Anfang einer AfD-Rede wird erst mal gegen die Europäische Union gewettert. Es wird alles negativ dargestellt und schlechtgemacht, um dann am Ende zu sagen, was wir brauchen, nämlich genau das, was wir hier vorlegen. Was machen wir hier, liebe Gäste? Wir haben eine umzusetzende Richtlinie von der EU. Dazu gibt es jetzt einen Entwurf der Bundesregierung, der heute diskutiert wird. Er geht dann als Nächstes in die Hände der Abgeordneten, in das parlamentarische Verfahren, und wir arbeiten an diesem Entwurf weiter. Da stehen natürlich die deutschen Interessen an allererster Stelle; denn genau dafür machen wir ja hier die Gesetze. Den Status quo – das haben Sie an den Reden, die bis jetzt zum Thema Cybersicherheit gehalten wurden, gemerkt – empfinden alle Fraktionen hier als unbefriedigend. Die Wirtschaft erleidet viele Verluste in Milliardenhöhe. Wir haben staatlicherseits keine sinnvolle Architektur der beteiligten Behörden. Und in der Debatte dazu hat sich durchgesetzt, das als Wimmelbild zu bezeichnen: ziemlich unübersichtlich. Man braucht schon wirklich lange, um die Details zu erkennen. Bei einem Angriff auf unsere kritische Infrastruktur – Bahn, Telekommunikation, Strom usw. – ist eben genau das zu vermeiden: ein Zuständigkeitswirrwarr. Aktuell gibt es 77 staatliche Akteure, die sich mit verschiedenen Aspekten der Cybersicherheit beschäftigen: das Nationale Cyber-Abwehrzentrum, das BBK, die BaFin, die BNetzA und das BSI natürlich – 77 Stellen, aber kein gemeinsames Fundament, kein einheitliches und bundesweites Lagebild, keine strukturierte Datenbasis, kein einheitlicher Informationsfluss, keine kontinuierliche Überprüfung, ob Zuständigkeiten noch zu den aktuellen Bedrohungen passen. Das ist eben kein Schutzschild; das ist ein Flickenteppich, der uns verwundbar macht. Das müssen wir dringend ändern – das wurde erkannt –, und daran arbeiten wir jetzt, liebe Kolleginnen und Kollegen. Was wir jetzt brauchen und was in den nächsten Monaten im Zentrum steht, sind klare Strukturen, feste Ansprechpartner, klare Zuständigkeiten und nachvollziehbare Informationsketten. Wenn im Ernstfall ein Betrieb von Cyberangriffen betroffen ist und dann erst herausgefunden werden muss, welche Behörde zuständig ist, dann ist das zu spät. Wer Risiken frühzeitig erkennen und Eindämmungsmaßnahmen koordinieren will, der braucht ein zentrales, kompetentes Organ, das alles im Blick hat. Hier kommt das BSI ins Spiel. Mit der Umsetzung dieser NIS-2-Richtlinie wird das BSI zur zentralen Informations- und Koordinierungsstelle für Cybersicherheit in Deutschland. Es wird künftig einen vollständigen Lagebericht erstellen, die Übersicht über kritische Infrastrukturen einnehmen und die Aufsicht über Risikomanagementmaßnahmen und sicherheitsrelevante Vorfälle haben. Es übernimmt Verantwortung für die Überwachung der Einhaltung der Richtlinie, für die Beratung von Unternehmen und für die Koordination zwischen Wirtschaft und Behörden. Und, ja, das BSI darf auch sanktionieren. Wir stellen jetzt also klare Regeln auf. Wir verbessern unsere Ausgangslage bei Bedrohungslagen. Die Bedrohungslagen sind da; auch das wurde in der Debatte schon deutlich. Das BSI bildet das Herzstück einer krisenfesten Sicherheitsarchitektur. Das, liebe Kolleginnen und Kollegen, müssen wir auch im Gesetz abbilden. Das BSI braucht die nötige personelle und finanzielle Ausstattung, und es braucht die notwendigen Kompetenzen und Befugnisse. Gleichzeitig müssen wir sicherstellen, dass – gerade auch mit Blick auf diese weitreichenden Befugnisse – die Akzeptanz und die Legitimierung des BSI als wichtigste nationale Cybersicherheitsbehörde, als zentraler Vertrauensanker im Bereich IT-Sicherheit vorhanden sind. Darüber werden wir im Verfahren miteinander sprechen. In diesem Zusammenhang müssen wir auch über die Verortung und die genauen Aufgaben des CISO Bund sprechen, die im Gesetzentwurf noch etwas offen sind. Wir haben hier noch einiges zu tun, damit nicht weiterhin ein Wirrwarr aus 77 Akteuren besteht, sondern eine klare Struktur entsteht. Kommen Sie bitte zum Ende. Und auf diese Verhandlungen freuen wir uns jetzt. Vielen herzlichen Dank. Als letzter Redner in der Debatte hat nun das Wort der Abgeordnete Fabian Gramling von der CDU/CSU-Fraktion.

Sehr geehrte Frau Präsidentin! Liebe Kolleginnen und Kollegen! Als letzter Redner meiner Fraktion möchte ich nicht unnötig Dinge wiederholen; denn es ist bereits viel gesagt worden. Aber ich möchte noch mal klarstellen, dass dieses Gesetz nicht irgendein technisches Regelwerk darstellt. Es ist ein Schutzschild für unsere Freiheit. Es ist ein Schutzschild für unsere Wirtschaft. Und damit ist es auch ein Schutzschild für unsere liberale Demokratie. Die Bedrohungslage nimmt zu. Sie ist nicht abstrakt, sondern ganz konkret. Das sehen wir an zerrissenen Datenkabeln in der Ostsee, an Brandsätzen in Luftfrachtpaketen, an Drohnen über Kasernen. Gestern hat sie in Polen noch mal eine ganz neue Dimension erreicht. Unsere Nachrichtendienste haben uns davor gewarnt. Sie machen deutlich, dass wir gerade auch im digitalen Bereich mehr machen müssen. Und auch unsere Unternehmen befinden sich längst im digitalen Fadenkreuz. Laut Bitkom haben Cyberangriffe auf deutsche Unternehmen allein im vergangenen Jahr einen Schaden von etwa 267 Milliarden Euro verursacht. Auch Rüstungskonzerne werden digital attackiert. All das kann gefährliche Folgen für unsere Sicherheit in Deutschland haben. Besonders sensibel ist dabei unsere Energieversorgung. Cyberattacken auf Strom- und Gasnetze, Kraftwerke oder Windparks nehmen sprunghaft zu. Experten warnen gar vor einem Blindflug bei der Energieversorgung. All das können wir nicht länger ignorieren. Liebe Kolleginnen und Kollegen, an der Stelle möchte ich auf die Kritik der Grünen eingehen, die in den Reden heute hier, aber insbesondere vom Kollegen von Notz in den letzten Tagen in der Presse geäußert wurde. Es wurde kritisiert, dass alles viel zu lange dauern würde, dass alles schon längst überfällig wäre. Ich finde, man braucht schon ein bisschen Humor, wenn man so etwas sagt. Denn man sieht, dass die letzte nationale Cybersicherheitsstrategie aus dem Jahr 2021 stammt – und ich ergänze: August 2021. Für die, die sich nicht erinnern können: Damals bildete die letzte Große Koalition die Regierung. Seitdem ist nichts passiert, und das trotz des Angriffskriegs Putins auf die Ukraine, trotz der Zeitenwende. Ich glaube, dass da ein bisschen Selbstreflexion nicht schaden würde. Wir als Union übernehmen Verantwortung und werden das jetzt anpacken. Vor diesem Hintergrund ist es absolut richtig und auch notwendig, dass wir die Vorgaben der NIS-2-Richtlinie heute hier in erster Lesung beraten. Es geht nicht darum, irgendwie ein Vertragsverletzungsverfahren der EU zu vermeiden, sondern es geht darum, unser Land widerstandsfähiger zu machen. Natürlich stimmt es, dass das Gesetz Pflichten und Bürokratie mit sich bringt. Natürlich stimmt es auch, dass es Kosten für unsere Wirtschaft verursachen wird. Aber wir dürfen nicht vergessen, dass die jährlichen Kosten der Schäden durch Cyberangriffe dies um ein Vielfaches übersteigen. Wir als CDU/CSU-Bundestagsfraktion stehen zu diesem Gesetz, weil es absolut notwendig ist. Gleichzeitig sagen wir offen: Es ist noch nicht perfekt, und wir müssen im parlamentarischen Verfahren noch nachschärfen. Wir brauchen klare Betroffenheitsregelungen, die praxistauglich sind. Wir müssen Doppelstrukturen bei den Behörden abbauen und für eine bessere Koordination sorgen. Und die Unternehmen brauchen klare und unbürokratische Unterstützung durch das BSI. Darauf wird es ankommen. Liebe Kolleginnen und Kollegen, Sicherheit ist die Grundlage für Frieden. Sicherheit ist die Grundlage für Wohlstand und für Freiheit. Das gilt im Analogen und erst recht im Digitalen. Darum ist dieses Gesetz ein notwendiger Schritt. Wir freuen uns auf die anstehenden Beratungen. Vielen Dank.