»Sicherheit sei mehr als eine technische Frage«, sagte Johannes Schätzl von der SPD-Fraktion in der ersten Lesung zum NIS-2-Umsetzungsgesetz im Deutschen Bundestag. Die Umsetzung in nationales Recht ist notwendig, damit die NIS-2-Richtlinie der Europäischen Kommission, mit der man das Niveau von Cybersicherheit und Resilienz europaweit angleichen beziehungsweise erhöhen möchte, auch in Deutschland anwendbar ist. Während man bereits den zweiten Anlauf dazu nimmt, feiert die Umsetzung eine einjährige Verspätung: »Die EU-Umsetzungsfrist war am 17. Oktober 2024 abgelaufen«, berichtete Tagesspiegel Background aus der öffentlichen Anhörung im Innenausschuss des Bundestages am 16. Oktober 2025.

Wirtschaft und Verwaltung resilienter machen

Die NIS-2-Umsetzung bedeutet für die verschiedenen Fraktionen Unterschiedliches. Es sollte dabei um Mindeststandards für IT-Sicherheit in der Wirtschaft und in den Bundesbehörden gehen – aber auch um ein »Schutzschild« für Freiheit, Wirtschaft und liberale Demokratie, forderte ein Sprecher der CDU/CSU-Fraktion. »Gleiche Rechte – gleiche Verantwortung« verlangte Die Linke, denn das Gesetz gelte nur für die Bundesverwaltung; Kommunen und nachgeordnete Behörden seien darin nicht bedacht. Für sie gelte der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nicht, so die Kritik. Den hinreichend bekannten Mängeln der Regulierung möchte die CDU/CSU-Fraktion den »Cyber-Dome« entgegensetzen. Und ja – das Gesetz sei nicht fertig. Man könne es aber im parlamentarischen Verfahren nachbessern. Wie die Parlamentarische Staatssekretärin im Bundesinnenministerium, Daniela Ludwig, die das Gesetz im Bundestag vorstellte, betonte: Damit mache man Wirtschaft und Verwaltung resilienter. Dies sei der richtige Weg. Für sie bedeute Sicherheit starke Polizei, Grenzschutz, Überwachung und Kontrolle – für Wirtschaft und Verwaltung. Für Verwaltung und Wirtschaft.

Nur wenige bringen es, wie Johannes Schätzl, auf den Punkt: Es gehe um die Verlässlichkeit unserer Daseinsvorsorge, sagt er sinngemäß, um Vertrauen in die Demokratie. Denn – woran später auch die Bundestagsabgeordnete von Bündnis 90/Die Grünen, Jeanne Dillschneider, erinnern sollte – Kritische Infrastrukturen (denn genau diese beziehungsweise ihre Anbieter sollen mit diesem Gesetz reguliert werden) seien die Grundlage unseres Zusammenlebens.

»Die Versorgung mit Infrastrukturleistungen wie Energie, Wasser, Abfallentsorgung sowie öffentlichem Nah- und Fernverkehr wird ebenso zur Daseinsvorsorge gerechnet wie die Grundversorgung mit sozialen Dienstleistungen; etwa Gesundheits­dienste, Schulaus­bildung, Kultur­angebot, Kinderbetreuung und Altenpflege«, erklären Christoph Busch, Sarah Fischer und Stefanie M. Moser im aktuellen Papier der Friedrich-Ebert-Stiftung (FES) Daseinsvorsorge in der Plattformökonomie.

Die Leistungserbringung in Bereichen der Daseinsvorsorge war urspünglich Aufgabe des Staates.

Ursprünglich, erinnern die Autorinnen, wurden die wesentlichen Güter und Dienstleistungen vornehmlich vom Staat selbst erbracht; »ab den späten 1970er Jahren und verstärkt in den 1980er und 1990er Jahren [wurde] die Leistungserbringung in vielen Bereichen der Daseinsvorsorge privatisiert«. Dies geschah nicht zuletzt mit dem Ziel, die Erbringung wesentlicher Dienste und Güter effizienter zu gestalten – »und den Staat, insbesondere die Kommunen, finanziell und organisatorisch zu entlasten«.

»Plattformisierung der Daseinsvorsorge«

Doch auch ungeachtet der Spargedanken müsse der Staat die Leistungen der Daseinsvorsorge »nicht zwingend selbst erbringen«. Wichtig sei, »ihre ordnungsgemäße Erfüllung durch steuernde Maßnahmen im Sinne des Gemeinwohls« zu garantieren. Daran wird im Paper erinnert, denn es zeichnet sich laut den Autorinnen eine neue Phase der Privatisierung der Daseinsvorsorge ab – nämlich die »Plattformisierung der Daseinsvorsorge« oder »Privatisierung 2.0«.

Im Fokus steht nicht mehr die Leistungserbringung – also die Versorgung mit Wasser, Energie oder Telekommunikationsdiensten – , sondern die »Leistungsvermittlung«. Plattformen und die dahinterstehenden Tech-Unternehmen bieten nun den Zugang zu den Leistungen; in den Bereichen Gesundheit, Bildung oder Mobilität sind sie zunehmend präsent. So spielen sie bei der Versorgung mit grundlegenden Leistungen »bereits heute eine bedeutende Rolle«, konkludieren die Autorinnen.

Anders als bei der früheren Privatisierungsphase ist, dass die Privatisierung 2.0 quasi »durch die Hintertür« stattfindet – bisher weitgehend unreguliert, unkontrolliert und »nicht politisch mandatiert«. Sie passiert einfach.

Privatisierung 2.0 durch die Hintertür.

Um den Staat nicht auch an der Schnittstelle zu den Bürgerinnen und Bürgern überflüssig zu machen und der neuen Herausforderung Herr zu werden, schlagen die Autorinnen einen »smarten Mix« aus rechtlichen und technischen Ansätzen vor: »In rechtlicher Hinsicht muss von staatlicher Seite ein angemessener Regulierungsrahmen für die Vermittlungstätigkeit der Plattformen geschaffen werden, um das Ziel einer arbeitsteiligen Gemeinwohlverwirklichung sicherzustellen. Gleichzeitig muss der Staat auch die Infrastrukturen der digitalen Daseinsvorsorge gezielt mitgestalten und dabei sowohl Hard- als auch Softwarekomponenten berücksichtigen«, empfehlen sie.

Und sie leiten einige Eckpunkte für die Regulierung der Plattformen im Bereich der Daseins­vorsorge ab: den »Universaldienst«, womit die »flächendeckende Gewährleistung des Zugangs« zu Leistungen der Grundversorgung gemeint ist; die »Dienstequalität«, die durch Mindestanforderungen an »die Qualität der Vermittlung« festgelegt wird; die »Erschwinglichkeit«, die eine »Sicherung einer finanziell angemessenen Zugänglichkeit« bedeutet – und die »Kontinuität«, mit der garantiert werden muss, dass Leistungen der Grundversorgung »dauerhaft und ohne Unterbrechung zur Verfügung gestellt werden«. Also praktisch das, was in der NIS-2-Richtlinie als Resilienz mitgemeint ist: »[F]ür den Bereich der plattformbasierten Daseinsvorsorge sollte dies beispielsweise auch Maßnahmen zur Gewährleistung einer effektiven Cybersecurity miteinschließen«, stellen folgerichtig die Autorinnen fest.

Verpflichtung auf Mindeststandards

Die erste NIS-Richtlinie (2016/1148) über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der EU verfolgte bereits das Ziel, ein hohes Sicherheitsniveau im Bereich Cybersicherheit sicherzustellen. Neben Vorgaben für die Einrichtung und Koordination zur Prävention und Bewältigung von IT-Sicherheitsvorfällen, Meldepflichten für schwerwiegende IT-Störfälle sowie Mindeststandards für Betreiber wesentlicher Dienste bzw. (in Deutschland) Betreiber kritischer Infrastrukturen – also Anbieter bestimmter Dienste in den Sektoren Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasserversorgung und digitale Infrastruktur – wurden in der Richtlinie auch Anbieter digitaler Dienste berücksichtigt und zu bestimmten Mindeststandards im Bereich der Netz- und Informationssystemsicherheit verpflichtet. Zu den Diensten zählte man Online-Marktplätze, Online-Suchmaschinen und Cloud-Computing-Dienste. Explizit nicht von der Regulierung betroffen waren hingegen jene Online-Dienste, die »lediglich« als Vermittler für Drittdienste fungieren oder Preise für bestimmte Produkte oder Dienste miteinander vergleichen.

Das im Jahr 2015 erstmalig verabschiedete IT-Sicherheitsgesetz – der Vorgänger des noch geltenden IT-Sicherheitsgesetzes 2.0 aus dem Jahr 2021 – wurde gemäß der oben genannten NIS-Richtlinie von 2016 um Online-Plattformen erweitert. Die Vermittlerplattformen blieben jedoch, jedenfalls im Bereich der Informationssicherheit – also Vertraulichkeit, Integrität sowie Verfügbarkeit bzw. Kontinuität betreffend – unberührt. Mit dem neuen NIS-2-Umsetzungsgesetz, das aktuell im Bundestag behandelt wird, soll allein die Gruppe der relevanten, besonders wichtigen und wichtigen Einrichtungen um schätzungsweise 29.000 neue Betroffene wachsen. Doch hier zeichnet sich bereits die erste Herausforderung ab: Betroffene Unternehmen müssen die Vorgaben in diesem Bereich erfüllen, ohne dazu aufgefordert worden zu sein.

Welche Unternehmen vom Gesetz betroffen sind

Hierfür bietet das BSI als zuständige Aufsichtsbehörde nach dem NIS-2-Umsetzungsgesetz interessierten Unternehmen auf seiner Webseite ein Formular zur NIS-2-Betroffenheitsprüfung an. Das Ergebnis dieser Evaluation dient jedoch lediglich der Orientierung und ist rechtlich unverbindlich – das BSI empfiehlt den Unternehmen daher eine Prüfung (und Bestätigung) der Betroffenheit durch externe Gutachter. Das BSI beziehungsweise die Regierung sollte eigentlich selbst wissen, wer die für Bürgerinnen und Bürger kritischen beziehungsweise wesentlichen Dienstleistungen erbringt – sagt es ihnen aber nicht. Die Unternehmen sollen es vielmehr selbst erraten oder eruieren. Von »schwammigen« Begriffen sprach in diesem Zusammenhang die Referentin von Die Linke in der ersten Lesung des Bundestages zum NIS-2-Umsetzungsgesetz; auch mehrere Stellungnahmen haben die unscharfen sowie – von Gesetz zu Gesetz unterschiedlichen – Definitionen ebenfalls bemängelt.

Zweck der Regulierung: Unternehmen und Behörden auf präventive Maßnahmen zu verpflichten.

Bei all der Kritik und den Ablenkungen durch Cyber-Dome- oder Chatkontrollen-Debatten rückt leider viel zu oft der eigentliche Zweck der Regulierung in den Hintergrund: Unternehmen und Behörden sollen dazu angehalten werden, präventive Maßnahmen zu ergreifen, damit die Daseinsvorsorge für die Bürgerinnen und Bürger auch – aber nicht nur und nicht erst – im Krisenfall gewährleistet ist. Und dass sie ihre Resilienz auf dieses Ziel hin stärken. So betrachtet fällt es besonders auf, dass in Deutschland die Bahn nicht (pünktlich) fährt und Flughäfen gesperrt oder geschlossen werden – nicht erst, wenn vermeintliche Spionagedrohnen darüber fliegen oder politisch motivierte Hacker Cyberangriffe auf ihre Infrastruktur starten, sondern einfach so. Wie Oliver Kalkofe und Oliver Welke in ihrem Podcast Wundrubbeln in der Versuchsküche die aktuelle, wahrlich wenig satirische, Resilienzlage treffend subsumierten.

Könnte also die aktuelle Regulierung der Anbieter von Leistungen der Daseinsvorsorge aus der Privatisierung 1.0 als Vorbild für die Privatisierung 2.0 dienen – oder eventuell sogar teil­weise auch Online-Vermittlerplattformen gleich mitregulieren?

Prüfung der Steuern wahrscheinlicher als eine der Resilienz

»Zur effektiven Durchsetzung der hier knapp skizzierten regulatorischen Anforderungen an digitale Plattformen im Bereich der Daseinsvorsorge ist eine angemessene behördliche Aufsicht erforderlich«, schreiben die Autorinnen der FES-Studie. Nach Einschätzung von Expertinnen und Experten wird das BSI lediglich 24 Einrichtungen, die nach dem NIS-2-Umsetzungsgesetz zur Einhaltung von Mindestanforderungen an Cybersicherheit verpflichtet sind – und dies auch selbst nachweisen müssen – , pro Jahr stichprobenartig prüfen können. Das macht eine Steuerprüfung wahrscheinlicher als eine Prüfung der Resilienz.

Es wäre vermutlich besser gewesen, beim NIS-2-Umsetzungsgesetz den Worten von Friedrich Dürrenmatt etwas mehr Gewicht beizumessen – und sich stärker auf die Überwachung der Anbieter und Vermittler der Daseinsvorsorge zu konzentrieren, statt auf die Überwachung der Bürgerinnen und Bürger. »Die Herrschenden müssen bewacht werden, nicht die Beherrschten«, riet dieser.