SpaceNet kritisiert NIS2 Entwurf – SpaceNet criticizes NIS2 draft

NIS2 und kein Ende. Exakt heute vor einem Jahr, am 24. Juli 2024, hat das Bundeskabinett den ersten Regierungsentwurf des „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ (NIS2UmsuCG) beschlossen. Seitdem ist wenig passiert – außer, dass nun ein neuer Referentenentwurf vorliegt: Aus Sicht der SpaceNet AG mit zentralen Schwächen und an einigen Stellen sogar noch mehr Lücken als der ursprüngliche.

Das eigentliche Ziel – mehr Cybersicherheit für Unternehmen und digitale Infrastruktur – droht nun endgültig aus dem Blick zu geraten. Der aktuelle Referentenentwurf (Stand 23. Juni 2025) lässt zentrale Fragen offen, überfordert Mittelständler mit Detailvorgaben und nimmt gleichzeitig staatliche Stellen praktisch aus der Verantwortung.

„Cybersicherheit lässt sich nicht mit dem Ausfüllen von Formularen herbeizaubern“, sagt Sebastian von Bomhard, Gründer und Vorstand der SpaceNet AG. „Der Gesetzentwurf versucht, strukturelle Probleme mit Checklisten zu kontern. Wir sehen dabei weder ordentlich definierte Zuständigkeiten noch festgelegte Meldewege oder klare Verhältnisse bei technischem Anspruch – dabei hätte es genau das gebraucht.“

Keine Übergangsfristen trotz unklarer Regeln

Ein zentraler Kritikpunkt der SpaceNet AG ist außerdem, dass Unternehmen unverzüglich nach Inkrafttreten des Gesetzes in die Pflicht gezwungen werden, obwohl die praktische Umsetzbarkeit noch nicht ausreichend geklärt ist. Für viele Unternehmen fehlt ein konsistentes Rahmenwerk – etwa bei der Definition von Sicherheitsvorfällen, bei Meldefristen oder dem Umgang mit Drittanbietern.

„Seit über 30 Jahren übernehmen wir Verantwortung für unsere IT-Infrastruktur und die unserer Kunden. Wir haben sicher kein Problem mit Pflichten – aber wenn die Regierung auf der einen Seite keine Übergangsfristen einräumt und auf der anderen keine eindeutigen Vorgaben liefert, dann ist Chaos vorprogrammiert und es entsteht kein Schutz“, so von Bomhard.

Warnsignal fehlender Verantwortung bei Behörden

Dass zentrale Akteure auf staatlicher Seite wie Bundesbehörden weitgehend von den Anforderungen ausgeklammert werden sollen, ist laut SpaceNet eine weitere kritische Entwicklung. Während der überlastete Mittelständler binnen 24 Stunden nach einem Sicherheitsvorfall Meldung machen muss, gelten für Behörden andere oder gar keine Regeln.

„Es ist ein offensichtlicher Holzweg, die Anforderungen an die öffentliche Hand niedriger anzusetzen als für Privatunternehmen“, warnt von Bomhard. „Behörden betreiben oft hochsensible Infrastruktur und verwalten viele sensiblen Daten – wenn die von den Regeln ausgenommen werden, dann schwächt das nicht nur unsere Verteidigungsfähigkeit, sondern auch das Vertrauen in den Staat.“

Cybersicherheit braucht Substanz, nicht nur Fassade

SpaceNet fordert eine praxisnahe, konsistente Umsetzbarkeit der NIS2-Richtlinie – mit klaren Begriffen, verbindlichen technischen Standards und einem einheitlichen Sicherheitsniveau für alle Betreiber digitaler Infrastruktur – egal ob privat oder öffentlich.„Sicherheit im digitalen Raum ist kein bürokratischer Prozess im Verwaltungsapparat – es ist ein andauernder organisatorischer und technischer Vorgang. Politische Symbolik hilft dem von Cyberattacken betroffenen Unternehmer nicht weiter. Was wir brauchen, ist ein belastbares Regelwerk und staatliche Unterstützung bei der Umsetzung“, fasst Sebastian von Bomhard zusammen. „Es ist schlicht enttäuschend und nicht nachvollziehbar, dass wir monatelang auf Fortschritte bei der NIS2-Umsetzung gewartet haben und nun mit einem derart unausgereiften Referentenentwurf konfrontiert werden.“

NIS 2 and there is no end in sight. Exactly one year ago today, on July 24, 2024, the German Federal Cabinet approved the first government draft of the “NIS 2 Implementation and Cybersecurity Strengthening Act” (NIS2UmsuCG). Since then, little has happened – except that a new draft bill is now available: From SpaceNet AG’s point of view, it has central weaknesses and, in some places, even more gaps than the original.

The actual goal – greater cybersecurity for companies and digital infrastructure – is now in danger of being lost sight of altogether. The current draft bill (as of June 23, 2025) leaves key questions unanswered, overwhelms small and medium-sized enterprises with detailed requirements, and at the same time practically absolves government agencies of responsibility.

“Cybersecurity cannot be conjured up by filling out forms,” says Sebastian von Bomhard, founder and CEO of SpaceNet AG. “The draft bill attempts to counter structural problems with checklists. We see neither properly defined responsibilities nor established reporting channels or clear conditions for technical requirements – yet that is exactly what was needed.”

No transition periods despite unclear rules

Another key criticism from SpaceNet AG is that companies will be forced to comply immediately after the law comes into force, even though its practical feasibility has not yet been sufficiently clarified. Many companies lack a consistent framework – for example, when it comes to defining security incidents, reporting deadlines, or dealing with third-party providers.

“We have been taking responsibility for our IT infrastructure and that of our customers for over 30 years. We certainly have no problem with obligations – but if the government does not grant transition periods on the one hand and does not provide clear guidelines on the other, then chaos is inevitable and no protection will be provided,” says von Bomhard.

Warning signal of a lack of responsibility on the part of authorities

According to SpaceNet, the fact that key players on the government side, such as federal authorities, are to be largely exempt from the requirements is another critical development. While overburdened small and medium-sized businesses must report security incidents within 24 hours, different rules apply to authorities, or none at all.

“It is clearly misguided to set lower requirements for the public sector than for private companies,” warns von Bomhard. “Authorities often operate highly sensitive infrastructure and manage a lot of sensitive data – if they are exempt from the rules, this not only weakens our ability to defend ourselves, but also undermines trust in the state.”

Cybersecurity needs substance, not just a facade

SpaceNet calls for practical, consistent implementation of the NIS2 Directive – with clear terms, binding technical standards, and a uniform level of security for all operators of digital infrastructure, whether private or public.

“Security in the digital space is not a bureaucratic process in the administrative apparatus – it is an ongoing organisational and technical process. Political symbolism does not help entrepreneurs affected by cyber attacks. What we need is a robust set of rules and government support for implementation,” summarises Sebastian von Bomhard. “It is simply disappointing and incomprehensible that we have been waiting for months for progress on the implementation of NIS2 and are now confronted with such an immature draft bill.”