Thought Leadership
Der IT-Anwenderverband VOICE kritisiert den Referentenentwurf zur NIS2-Umsetzung. Besonders “unrealistische Kosteneinschätzungen” und “unklare Verantwortlichkeiten” bereiten Sorgen.
Der Bundesverband der IT-Anwender VOICE sieht den aktuellen Referentenentwurf des Bundesinnenministeriums zur Umsetzung der NIS2-Richtlinie kritisch. Zwar biete das geplante NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wichtige Chancen für mehr Cybersicherheit, doch an entscheidenden Stellen bleibe der Entwurf vom 4. Juli 2025 zu vage und praxisfern.
Kostenexplosion statt 76.000 Euro
Besonders bedenklich findet VOICE-Geschäftsführer Robin Kaufmann die Kostenschätzung des Ministeriums. Die im Entwurf genannten Mehrkosten von durchschnittlich 76.000 Euro pro Unternehmen und Jahr seien “deutlich zu niedrig angesetzt”. Schon mittelständische Unternehmen würden oft erheblich mehr ausgeben müssen – etwa für Sicherheitsdienstleistungen, neue Technologien und Cloud-Abhängigkeiten.
“Cybersicherheit darf kein bürokratisches Hindernis sein, sondern muss für Unternehmen praktikabel bleiben”, so Kaufmann. Besonders kleine und mittlere Unternehmen dürften nicht überlastet werden. Dass laut Entwurf bisher nur 17 Prozent der Unternehmen ausreichend in Cybersicherheit investiert haben, widerspreche der Annahme eines geringen Mehraufwands.
Zweierlei Maß bei der Haftung
Problematisch sieht VOICE zudem die unterschiedlichen Haftungsregeln für Privatwirtschaft und öffentlichen Sektor. Während privatwirtschaftliche Geschäftsleitungen bei Versäumnissen in der Cybersicherheit persönlich haftbar gemacht werden können, gelten die Leitungen von Bundesbehörden laut NIS2-Entwurf nicht als “Geschäftsleitung” und sind somit von dieser Pflicht ausgenommen.
“Egal ob privat oder staatlich, Cybersicherheit muss Chefsache sein”, kritisiert Kaufmann diese Asymmetrie. “Unterschiedliche Haftungsregeln schwächen die Verantwortung im öffentlichen Sektor und gefährden dadurch die digitale Resilienz.”
KMU brauchen konkrete Handlungsanleitungen
Kleine und mittlere Unternehmen seien durch die derzeit unbestimmte Anforderung zu “verhältnismäßigen Maßnahmen” verunsichert. VOICE fordert daher eine rasche Konkretisierung durch Best Practices, idealerweise im Rahmen des neuen BSI-Grundschutzes, sowie transparente Referenzstandards und eine Harmonisierung mit anderen Regelwerken wie dem Cyber Resilience Act.
Des Weiteren greife die bisherige Nachweispflicht für nur 24 Unternehmen zu kurz, warnt der Verband. Die Erfahrung zeige, dass gesetzliche Vorgaben ohne konsequente Kontrolle oft nicht nachhaltig umgesetzt werden. VOICE plädiert für regelmäßige, risikobasierte Prüfungen zur Einhaltung der Maßnahmen.
Weitere Kritikpunkte
Neben den Hauptkritikpunkten fordert VOICE auch:
- Kommunale Kosten anerkennen: Cyberangriffe können auch auf Länder- und Kommunalebene erhebliche Kosten verursachen, die in Förderungen berücksichtigt werden sollten.
- Klare Regeln für Schwachstellenmanagement: Transparente Vorgaben zur Prüf- und Kontrollpflicht bei IT-Sicherheitsrisiken sowie konkrete Standards als “Stand der Technik”.
- Zentrale Online-Plattform: Eine zentrale Plattform zur Abwicklung der Melde- und Nachweispflichten muss frühzeitig bereitgestellt werden.
- Marktverzerrungen verhindern: Verpflichtungen zu zertifizierten Produkten dürfen nicht zu Lock-in-Effekten führen.
- Transparente Haushaltsmittel: Der Entwurf bleibe bei den Ausgaben für Umsetzung und Behörden zu vage.
VOICE fordert insgesamt praxisnahe Vorgaben, eine klare Verantwortungsverteilung zwischen Staat und Wirtschaft sowie realistische Übergangsfristen für Produktzertifizierungen und technische Umstellungen. Nur so könnten Unternehmen die NIS2-Anforderungen tatsächlich umsetzen.
