Gesetz zur Stärkung der Cybersicherheit
Basics
| Offizieller Titel: | Gesetz zur Stärkung der Cybersicherheit |
| Initiator: | Bundesministerium des Inneren |
| Status: | Vom Kabinett beschlossen |
| Letzte Änderung: | 29.05.2026 |
| Entwurf PDF: | Download Entwurf |
| Drucksache: | Vorgangseite auf bundestag.de |
| Gesetztyp: | Einspruchsgesetz |
| Status Bundesrat: | Eingegangen |
| Exekutiver Fußabdruck: | ✅ Vorhanden. |
| Verbändebeteiligung: | ✅ Stellungnahmen veröffentlicht.🟣 Beteiligungsfrist ca. 2-3 Wochen. (KI-gestützte Schätzung auf Basis der Stellungnahmen) |
| Hinweis: | EU-Notifizierung am 19.05.2026 eingeleitet |
Zusammenfassung
Diese Zusammenfassung wurde mit GPT4 erstellt und kann Fehler enthalten.
Basisinformationen:
Das wesentliche Ziel des Gesetzentwurfs ist die Stärkung der Cybersicherheit in Deutschland angesichts zunehmender und komplexerer Cyberangriffe, insbesondere im Kontext der aktuellen geopolitischen Lage (z. B. Krieg in der Ukraine). Der Entwurf sieht vor, die gesetzlichen Befugnisse und technischen Möglichkeiten des Bundesamts für Sicherheit in der Informationstechnik (BSI), des Bundeskriminalamts (BKA) und der Bundespolizei (BPOL) zur Erkennung, Abwehr und Reaktion auf Cyberangriffe deutlich zu erweitern. Dazu gehören u. a. neue Anordnungs- und Eingriffsbefugnisse, die Ausweitung von Überwachungs- und Reaktionsmöglichkeiten sowie die Verbesserung der Zusammenarbeit und des Informationsaustauschs. Federführend zuständig ist das Bundesministerium des Innern.
Hintergrund:
Der Entwurf verweist auf die zunehmende Bedrohungslage im Cyberraum, insbesondere durch den russischen Angriffskrieg in der Ukraine, und betont die zentrale Bedeutung von Cybersicherheit für das Funktionieren des Gemeinwesens, die Wirtschaft und die nationale Sicherheit. Es wird darauf hingewiesen, dass bestehende Schutzmaßnahmen nicht mehr ausreichen und daher umfassende, rechtsklare und wirksame gesetzliche Grundlagen geschaffen werden müssen. Eine Vorgeschichte oder frühere Gesetzesinitiativen werden nicht explizit genannt, aber die Dringlichkeit wird mit aktuellen Entwicklungen und der internationalen Bedrohungslage begründet.
Kosten:
Für den Bundeshaushalt entstehen erhebliche zusätzliche Personal- und Sachkosten:
- BKA: Jährlich 5 Mio. € Sachkosten (2026–2030), Personalbedarf steigt jährlich an (z. B. 19 hD/86 gD in 2026, abnehmend in den Folgejahren), Personalkosten werden noch ergänzt.
- BSI: Jährliche Personalkosten steigen von ca. 0,88 Mio. € (2026) auf ca. 2,28 Mio. € (ab 2029), einmalige Personalkosten 246.471 € (2026), keine Sachkosten.
- Bundespolizei: Jährliche Personalkosten steigen von ca. 1,7 Mio. € (2026) auf ca. 1,8 Mio. € (ab 2029), jährliche Sachkosten von ca. 2,8 Mio. € (2026) auf ca. 3 Mio. € (ab 2029), einmalige investive Sachkosten 2,5 Mio. €.
- Wirtschaft: Es entsteht ein moderater, nicht näher quantifizierter Erfüllungsaufwand für Telekommunikations- und Telemediendiensteanbieter.
- Bürgerinnen und Bürger: Kein Erfüllungsaufwand.
- Länder: Keine expliziten Angaben zu Kosten für die Länder.
- Einnahmen: Keine Angaben zu erwarteten Einnahmen.
Inkrafttreten:
Keine konkreten Angaben zum Zeitpunkt des Inkrafttretens. Es ist daher davon auszugehen, dass das Gesetz am Tag nach der Verkündung in Kraft treten soll.
Sonstiges:
- Der Gesetzentwurf ist nicht befristet; eine Evaluierung ist nicht vorgesehen, da die Regelungen dauerhaft angelegt sind.
- Der Entwurf ist als besonders notwendig und sicherheitspolitisch dringlich begründet, um auf die aktuelle Bedrohungslage zu reagieren.
- Auswirkungen auf Verbraucherpreise oder das allgemeine Preisniveau werden nicht erwartet.
- Der Entwurf ist geschlechtsneutral formuliert und berücksichtigt Gleichstellungsaspekte.
- Die Versorgungssicherheit für Verbraucherinnen und Verbraucher soll erhöht werden.
- Der Gesetzentwurf steht im Einklang mit EU-Recht und internationalen Verträgen.
- Die Gesetzgebungskompetenz des Bundes wird ausführlich begründet.
- Die Regelungen tragen zur Rechts- und Verwaltungsvereinfachung bei.
- Der Entwurf wurde nicht wesentlich durch externe Interessenvertreter beeinflusst (exekutiver Fußabdruck).
Zusammenfassung:
Der Gesetzentwurf zielt auf eine umfassende Stärkung der Cybersicherheit durch erweiterte Befugnisse und technische Möglichkeiten für BSI, BKA und BPOL. Er ist eine Reaktion auf die verschärfte internationale Bedrohungslage, verursacht erhebliche Mehrkosten für den Bund, ist unbefristet und soll dauerhaft die Handlungsfähigkeit Deutschlands im Cyberraum sichern.
Maßnahmen:
Hier sind die wichtigsten Maßnahmen des Gesetzentwurfs, stichpunktartig und auf die wesentlichen Inhalte reduziert:
Bundespolizeigesetz (BPolG)
- Die Bundespolizei erhält neue Befugnisse zur Abwehr von Angriffen auf die Sicherheit in der Informationstechnik im Rahmen ihrer bestehenden Aufgaben.
- Maßnahmen umfassen:
- Untersagung des Betriebs von IT-Systemen (z.B. Abschalten von Servern, infizierten Systemen).
- Umleitung und Aufzeichnung von Datenverkehr zur Analyse und Abwehr von Angriffen.
- Einschränkung oder Unterbindung von Datenverkehr (z.B. Blocken schadhafter Datenströme).
- Technischer Eingriff in IT-Systeme (z.B. Erheben, Löschen, Verändern von Daten, Installation von Software zur Abwehr).
- Besondere Schutzvorschriften bei Eingriffen in private IT-Systeme, u.a. qualifizierte Gefahrenschwelle, Richtervorbehalt, Benachrichtigungspflichten, Protokollierung und Löschung personenbezogener Daten.
- Verpflichtung von Telekommunikations- und Diensteanbietern zur Mitwirkung, mit Bußgeldandrohung bei Nichtbefolgung.
- Möglichkeit, Dritte zur Mitwirkung zu verpflichten.
- Offenbarungsverbot: Anbieter können verpflichtet werden, Maßnahmen gegenüber Betroffenen geheim zu halten, wenn dies zur Gefahrenabwehr notwendig ist.
BSI-Gesetz (BSIG)
- Das BSI darf neben Protokolldaten auch URLs speichern, die bei der automatisierten Auswertung anfallen, um neue Angriffswege (z.B. Schadsoftware über Links) besser erkennen zu können.
- Erweiterte Befugnis zur manuellen Auswertung von Schnittstellendaten für Fehlerkorrekturzwecke.
- BSI kann bereits bei Vorbereitungshandlungen von Angreifern (Prepositioning) tätig werden, nicht erst nach Schadenseintritt.
- Einführung einer speziellen Auskunftspflicht für Telekommunikations- und digitale Diensteanbieter zu sicherheitsrelevanten Informationen (z.B. Verkehrs-, Steuerungsdaten, Indicators of Compromise, DNS-Anfragedaten).
- Verlängerung der Speicherdauer bestimmter Daten auf bis zu 24 Monate.
- BSI veröffentlicht eine öffentliche Liste maliziöser Domains; große DNS-Anbieter müssen auf Wunsch Kunden vor solchen Domains schützen.
- BSI kann Top-Level-Domain-Registries und Registrare anweisen, Nameserver-Einträge zu ändern oder Domains zu dekonnektieren, um Angriffe zu unterbinden.
- Erweiterte Umleitungsmöglichkeiten für Datenverkehr, auch bei neuen Techniken wie DNS over HTTPS.
- Betreiber kritischer Anlagen müssen Systeme zur Angriffserkennung direkt an das BSI anbinden und regelmäßig Informationen über Verfügbarkeit und Bedrohungslage übermitteln.
- Sanktionen bei Nichtnutzung oder fehlender Anbindung von Angriffserkennungssystemen.
Bundeskriminalamtgesetz (BKAG)
- Das BKA erhält erweiterte Befugnisse zur Abwehr schwerwiegender Cyberbedrohungen, insbesondere bei international koordinierten Angriffen oder Angriffen mit außen-/sicherheitspolitischer Bedeutung.
- Unterstützung der Länderpolizeien bei Cyberabwehrmaßnahmen auf deren Ersuchen.
- Neue Aufgabe zur Abwehr schwerwiegender Cyberangriffe, die nur international oder mit außenpolitischer Relevanz abgewehrt werden können.
- Neue Befugnisse zur Untersagung des Betriebs von IT-Systemen, zur Unterbindung/Umleitung von Datenverkehr und zum technischen Eingriff in IT-Systeme (analog zu den Befugnissen der Bundespolizei).
- Besondere Anforderungen bei Eingriffen in private IT-Systeme: qualifizierte Schutzgüter, Richtervorbehalt, Benachrichtigung, Protokollierung und Löschung.
- Verpflichtung von Diensteanbietern zur Mitwirkung, Bußgeldandrohung bei Nichtbefolgung.
- Offenbarungsverbot: Maßnahmen können gegenüber Betroffenen geheim gehalten werden, wenn dies zur Gefahrenabwehr notwendig ist.
- Ergänzung der Straftatbestände um Datenhehlerei (§ 202d StGB).
- Erweiterte Regelungen zur Sicherstellung und zur Zurückstellung der Benachrichtigung bei Sicherstellungen (Offenbarungsverbot).
Datenschutzgesetz für Telekommunikation und digitale Dienste (TDDDG)
- Anbieter digitaler Dienste müssen Informationen des BSI über konkrete Gefahren an ihre Nutzer weitergeben, soweit diese bekannt sind.
- Verpflichtung zur Benachrichtigung betroffener Nutzer bei erheblichen Gefahren, die vom BSI gemeldet werden.
Zusammenfassend: Der Gesetzentwurf erweitert die Befugnisse von Bundespolizei, BSI und BKA zur Abwehr und Bekämpfung von Cyberangriffen, regelt die Zusammenarbeit mit Diensteanbietern und Betroffenen, schafft neue Eingriffsmöglichkeiten in IT-Systeme (inkl. privater Systeme unter strengen Voraussetzungen) und verbessert die Informations- und Reaktionsmöglichkeiten bei Cyberbedrohungen.
Informationen aus dem Ministerium
| Datum erster Entwurf: | 17.02.2026 |
| Datum Kabinettsbeschluss: | 27.05.2026 |
| Weiterführende Informationen: | Vorhabenseite des Ministeriums |
„Der Referentenentwurf sieht als Mantelgesetz Änderungen des BPolG und BKAG sowie des BSIG vor, mit denen die Detektion und Abwehr von Cyberangriffen verbessert werden sollen. Die Vorlage eines entsprechenden Regelungsentwurfs durch das Bundesministerium des Innern wurde durch Kabinettsbeschluss vom 27.8.2025 beschlossen. Für das Bundeskriminalamt und die Bundespolizei sieht der Entwurf spezifische Cyberabwehrbefugnisse zur Untersagung des Betriebs eines informationstechnischen Systems oder seine Einschränkung oder Unterbindung, zur Umleitung von Datenverkehr auf eine von der Polizei vorgegeben Zieladresse oder dessen Unterbindung und zum Auslesen, Löschen oder Verändern von Daten in IT-Systemen vor. Für das BSI sieht der Entwurf zur Stärkung der Cybersicherheit u.a. Verbesserungen für den Betrieb des Schadprogramm-Erkennungssystems (SES) zum Schutz der Kommunikation des Bundes, Anordnungsbefugnisse des BSI gegenüber DNS- und digitalen Diensteanbietern sowie Verpflichtung von TK- und digitalen Diensteanbietern, dem BSI sicherheitsrelevante Informationen zur Verfügung zu stellen, und im Bereich KRITIS die automatisierte Ausleitung von Verfügbarkeitsindikatoren für kritische Anlagen ("Heartbeat") und Informationen zur Angriffserkennung an BSI vor.
Die Ressortabstimmung wurde am 17.2.2026 und die Länder- und Verbändebeteiligung am 25.2.2026 eingeleitet.“
Exekutiver Fußabdruck
Exekutiver Fußabdruck laut Bundesministerium des Inneren:
„Der Inhalt des Gesetzentwurfs hat sich durch Vorträge von Interessenvertreterinnen und Interessenvertretern sowie von der Bundesregierung beauftragten Dritten nicht wesentlich geändert.“
Stellungnahmen zum Referentenentwurf
Die Stellungnahmen beziehen sich auf den Referentenentwurf, der im Vergleich zur Kabinettsfassung und zur Bundestagsdrucksache abweichen kann.
Die Zusammenfassungen und das Meinungsbild wurden mit GPT4 auf Basis der verlinkten Dokumente erstellt und können Fehler enthalten.
Beteiligungsphase
Zum Zeitraum der Beteiligungsphase machen die Absender der Stellungnahmen keine konkreten Angaben. Das Ministerium benennt als Start der Beteiligung den 25.02.2026. Die Stellungnahmen datieren überwiegend zwischen dem 01.03.2026 und dem 17.03.2026. Aus den vorliegenden Daten ergibt sich, dass die Beteiligungsphase etwa drei Wochen umfasste. Eine explizite Frist wurde vom Ministerium nicht genannt.
Allgemeine Bewertung
Das Meinungsbild der Stellungnahmen zum Gesetzentwurf zur Stärkung der Cybersicherheit ist grundsätzlich von einer breiten Zustimmung zum Ziel der Verbesserung der Cybersicherheitsarchitektur und der Stärkung staatlicher Handlungsfähigkeit geprägt. Allerdings wird der Entwurf von nahezu allen Seiten kritisch begleitet, insbesondere hinsichtlich der geplanten Ausweitung staatlicher Eingriffsbefugnisse, der Unklarheit und Reichweite von Mitwirkungspflichten, datenschutzrechtlicher Risiken, technischer Umsetzbarkeit sowie der Gefahr von Kollateralschäden und verfassungsrechtlichen Unsicherheiten. Die Forderung nach klaren, verhältnismäßigen und kooperativen Lösungen sowie nach einer besseren Abstimmung mit bestehenden europäischen Vorgaben und einer stärkeren Einbindung der Wirtschaft ist ein wiederkehrendes Thema. Besonders umstritten sind die sogenannten Hackbacks und die verpflichtende Anbindung von Angriffserkennungssystemen an das BSI.
Meinungen im Detail
1. Eingriffsbefugnisse und aktive Cyberabwehr (Hackbacks): Die geplanten aktiven Eingriffsbefugnisse für Bundespolizei, Bundeskriminalamt und das BSI werden von zahlreichen Verbänden (eco, Bundesverband Glasfaseranschluss, Gesellschaft für Informatik, TeleTrusT, AG KRITIS, interface, BDI, Vertreter der Wirtschaft im UP KRITIS, Stadtwerke München, DENIC) kritisch bewertet. Insbesondere Hackbacks werden als technisch, rechtlich und außenpolitisch riskant, unverhältnismäßig und potenziell verfassungswidrig abgelehnt. Es besteht die Sorge, dass solche Maßnahmen zu Kollateralschäden führen und auch unbeteiligte Dritte treffen könnten. Gewerkschaften der Polizei und Kriminalbeamte begrüßen hingegen die neuen Befugnisse als notwendig zur effektiven Gefahrenabwehr, fordern jedoch klare Zuständigkeitsabgrenzungen und Koordination.
2. Datenschutz, Datenzugriff und Meldepflichten: Viele Stellungnahmen (BUGLAS, DENIC, Stadtwerke München, eco, BDI, TeleTrusT, Vertreter der Wirtschaft im UP KRITIS) äußern erhebliche datenschutzrechtliche Bedenken, insbesondere hinsichtlich der geplanten erweiterten Datenherausgabepflichten an das BSI und der zentralen Speicherung sensibler Betriebsdaten. Die DSGVO und das TKG werden als Maßstab für die Verhältnismäßigkeit herangezogen. Die 24-Stunden-Meldepflicht für Sicherheitsvorfälle wird als zu starr kritisiert, insbesondere für KMU. Es wird eine angemessene Entschädigung für Datenbereitstellung und eine klare Zweckbindung gefordert.
3. Technische und organisatorische Umsetzbarkeit: Industrieverbände (VDA, BDI, Vertreter der Wirtschaft im UP KRITIS, Stadtwerke München, DENIC) und Betreiber kritischer Infrastrukturen betonen die Herausforderungen bei der praktischen Umsetzung der geplanten Maßnahmen. Sie warnen vor Überregulierung, finanziellen und organisatorischen Mehrbelastungen, unklaren Verantwortlichkeiten und Risiken für die Stabilität bestehender IT-Systeme. Die Notwendigkeit klarer Definitionen, praxistauglicher Verfahren und einer engen Zusammenarbeit zwischen Staat und Wirtschaft wird hervorgehoben.
4. Verfassungsrechtliche und rechtliche Bedenken: TeleTrusT, AG KRITIS, interface und die Gesellschaft für Informatik äußern explizit verfassungsrechtliche Bedenken, insbesondere hinsichtlich der Kompetenzverlagerung auf Bundesbehörden, fehlender Richtervorbehalte und mangelnder Evaluations- und Befristungsklauseln. Die Attribuierungsproblematik (Zurechnung von Angriffen) wird als ungelöst angesehen und als Risiko für fehlerhafte Maßnahmen gegen Unbeteiligte hervorgehoben.
5. Schutz sensibler und besonders geschützter Daten: Die Kassenärztliche Bundesvereinigung fordert einen besseren Schutz von Berufsgeheimnisträgern und Gesundheitsdaten, da entsprechende Regelungen im Entwurf fehlen. Auch andere Verbände betonen die besondere Schutzwürdigkeit sensibler Unternehmens- und Betriebsdaten.
6. Koordination, Zuständigkeiten und Governance: Sowohl Behördenvertreter als auch zivilgesellschaftliche Organisationen (BDK, GdP, interface, AG KRITIS) sehen die Gefahr von Parallelstrukturen, unklaren Zuständigkeiten und mangelnder Koordination zwischen Bund, Ländern und verschiedenen Behörden. Es wird eine stärkere Harmonisierung, klare Abgrenzung der Zuständigkeiten und der Ausbau zentraler Koordinierungsstellen wie des Nationalen Cyber-Abwehrzentrums gefordert.
7. Verhältnis zu europäischen Vorgaben und internationale Dimension: Industrieverbände und Betreiber kritischer Infrastrukturen (VDA, Vertreter der Wirtschaft im UP KRITIS, DENIC) lehnen nationale Sonderregulierungen ab, die über europäische Vorgaben hinausgehen, und fordern eine enge Abstimmung mit der NIS2-Richtlinie und anderen EU-Regelungen.
8. Präventive und kooperative Ansätze: Mehrere Stellungnahmen (eco, BDI, Stadtwerke München, AG KRITIS) plädieren für einen kooperativen Ansatz zwischen Staat und Wirtschaft, die Stärkung von Resilienz, Schwachstellenmanagement und schnellen Takedown-Verfahren sowie freiwillige, transparente Maßnahmen wie Threat Hunting. Die Notwendigkeit klarer Haftungs- und Entschädigungsregelungen wird betont.
9. Besondere Kritikpunkte von Berufs- und Fachverbänden: Die Kassenärztliche Bundesvereinigung hebt die fehlende Berücksichtigung des Zeugnisverweigerungsrechts hervor. Die Gesellschaft für Informatik und TeleTrusT fordern eine differenzierte Evaluations- und Haftungsregelung für staatliche Cyberabwehrmaßnahmen. Die AG KRITIS und TeleTrusT sehen in den geplanten aktiven Eingriffsbefugnissen erhebliche verfassungsrechtliche Risiken.
Insgesamt zeigt sich ein breites Spektrum an Kritik, das sich vor allem auf die Reichweite und Ausgestaltung staatlicher Eingriffsbefugnisse, Datenschutz, technische Umsetzbarkeit, Koordination und verfassungsrechtliche Fragen konzentriert. Die Forderung nach kooperativen, verhältnismäßigen und klar geregelten Lösungen zieht sich durch nahezu alle Stellungnahmen.
Zum Zeitraum der Beteiligungsphase machen die Absender der Stellungnahmen keine konkreten Angaben. Das Ministerium benennt als Start der Beteiligung den 25.02.2026. Die Stellungnahmen datieren überwiegend zwischen dem 01.03.2026 und dem 17.03.2026. Aus den vorliegenden Daten ergibt sich, dass die Beteiligungsphase etwa drei Wochen umfasste. Eine explizite Frist wurde vom Ministerium nicht genannt.
Allgemeine Bewertung
Das Meinungsbild der Stellungnahmen zum Gesetzentwurf zur Stärkung der Cybersicherheit ist grundsätzlich von einer breiten Zustimmung zum Ziel der Verbesserung der Cybersicherheitsarchitektur und der Stärkung staatlicher Handlungsfähigkeit geprägt. Allerdings wird der Entwurf von nahezu allen Seiten kritisch begleitet, insbesondere hinsichtlich der geplanten Ausweitung staatlicher Eingriffsbefugnisse, der Unklarheit und Reichweite von Mitwirkungspflichten, datenschutzrechtlicher Risiken, technischer Umsetzbarkeit sowie der Gefahr von Kollateralschäden und verfassungsrechtlichen Unsicherheiten. Die Forderung nach klaren, verhältnismäßigen und kooperativen Lösungen sowie nach einer besseren Abstimmung mit bestehenden europäischen Vorgaben und einer stärkeren Einbindung der Wirtschaft ist ein wiederkehrendes Thema. Besonders umstritten sind die sogenannten Hackbacks und die verpflichtende Anbindung von Angriffserkennungssystemen an das BSI.
Meinungen im Detail
1. Eingriffsbefugnisse und aktive Cyberabwehr (Hackbacks): Die geplanten aktiven Eingriffsbefugnisse für Bundespolizei, Bundeskriminalamt und das BSI werden von zahlreichen Verbänden (eco, Bundesverband Glasfaseranschluss, Gesellschaft für Informatik, TeleTrusT, AG KRITIS, interface, BDI, Vertreter der Wirtschaft im UP KRITIS, Stadtwerke München, DENIC) kritisch bewertet. Insbesondere Hackbacks werden als technisch, rechtlich und außenpolitisch riskant, unverhältnismäßig und potenziell verfassungswidrig abgelehnt. Es besteht die Sorge, dass solche Maßnahmen zu Kollateralschäden führen und auch unbeteiligte Dritte treffen könnten. Gewerkschaften der Polizei und Kriminalbeamte begrüßen hingegen die neuen Befugnisse als notwendig zur effektiven Gefahrenabwehr, fordern jedoch klare Zuständigkeitsabgrenzungen und Koordination.
2. Datenschutz, Datenzugriff und Meldepflichten: Viele Stellungnahmen (BUGLAS, DENIC, Stadtwerke München, eco, BDI, TeleTrusT, Vertreter der Wirtschaft im UP KRITIS) äußern erhebliche datenschutzrechtliche Bedenken, insbesondere hinsichtlich der geplanten erweiterten Datenherausgabepflichten an das BSI und der zentralen Speicherung sensibler Betriebsdaten. Die DSGVO und das TKG werden als Maßstab für die Verhältnismäßigkeit herangezogen. Die 24-Stunden-Meldepflicht für Sicherheitsvorfälle wird als zu starr kritisiert, insbesondere für KMU. Es wird eine angemessene Entschädigung für Datenbereitstellung und eine klare Zweckbindung gefordert.
3. Technische und organisatorische Umsetzbarkeit: Industrieverbände (VDA, BDI, Vertreter der Wirtschaft im UP KRITIS, Stadtwerke München, DENIC) und Betreiber kritischer Infrastrukturen betonen die Herausforderungen bei der praktischen Umsetzung der geplanten Maßnahmen. Sie warnen vor Überregulierung, finanziellen und organisatorischen Mehrbelastungen, unklaren Verantwortlichkeiten und Risiken für die Stabilität bestehender IT-Systeme. Die Notwendigkeit klarer Definitionen, praxistauglicher Verfahren und einer engen Zusammenarbeit zwischen Staat und Wirtschaft wird hervorgehoben.
4. Verfassungsrechtliche und rechtliche Bedenken: TeleTrusT, AG KRITIS, interface und die Gesellschaft für Informatik äußern explizit verfassungsrechtliche Bedenken, insbesondere hinsichtlich der Kompetenzverlagerung auf Bundesbehörden, fehlender Richtervorbehalte und mangelnder Evaluations- und Befristungsklauseln. Die Attribuierungsproblematik (Zurechnung von Angriffen) wird als ungelöst angesehen und als Risiko für fehlerhafte Maßnahmen gegen Unbeteiligte hervorgehoben.
5. Schutz sensibler und besonders geschützter Daten: Die Kassenärztliche Bundesvereinigung fordert einen besseren Schutz von Berufsgeheimnisträgern und Gesundheitsdaten, da entsprechende Regelungen im Entwurf fehlen. Auch andere Verbände betonen die besondere Schutzwürdigkeit sensibler Unternehmens- und Betriebsdaten.
6. Koordination, Zuständigkeiten und Governance: Sowohl Behördenvertreter als auch zivilgesellschaftliche Organisationen (BDK, GdP, interface, AG KRITIS) sehen die Gefahr von Parallelstrukturen, unklaren Zuständigkeiten und mangelnder Koordination zwischen Bund, Ländern und verschiedenen Behörden. Es wird eine stärkere Harmonisierung, klare Abgrenzung der Zuständigkeiten und der Ausbau zentraler Koordinierungsstellen wie des Nationalen Cyber-Abwehrzentrums gefordert.
7. Verhältnis zu europäischen Vorgaben und internationale Dimension: Industrieverbände und Betreiber kritischer Infrastrukturen (VDA, Vertreter der Wirtschaft im UP KRITIS, DENIC) lehnen nationale Sonderregulierungen ab, die über europäische Vorgaben hinausgehen, und fordern eine enge Abstimmung mit der NIS2-Richtlinie und anderen EU-Regelungen.
8. Präventive und kooperative Ansätze: Mehrere Stellungnahmen (eco, BDI, Stadtwerke München, AG KRITIS) plädieren für einen kooperativen Ansatz zwischen Staat und Wirtschaft, die Stärkung von Resilienz, Schwachstellenmanagement und schnellen Takedown-Verfahren sowie freiwillige, transparente Maßnahmen wie Threat Hunting. Die Notwendigkeit klarer Haftungs- und Entschädigungsregelungen wird betont.
9. Besondere Kritikpunkte von Berufs- und Fachverbänden: Die Kassenärztliche Bundesvereinigung hebt die fehlende Berücksichtigung des Zeugnisverweigerungsrechts hervor. Die Gesellschaft für Informatik und TeleTrusT fordern eine differenzierte Evaluations- und Haftungsregelung für staatliche Cyberabwehrmaßnahmen. Die AG KRITIS und TeleTrusT sehen in den geplanten aktiven Eingriffsbefugnissen erhebliche verfassungsrechtliche Risiken.
Insgesamt zeigt sich ein breites Spektrum an Kritik, das sich vor allem auf die Reichweite und Ausgestaltung staatlicher Eingriffsbefugnisse, Datenschutz, technische Umsetzbarkeit, Koordination und verfassungsrechtliche Fragen konzentriert. Die Forderung nach kooperativen, verhältnismäßigen und klar geregelten Lösungen zieht sich durch nahezu alle Stellungnahmen.
👎 Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS)
„Wer Strafverfolgungsbehörden ermächtigt in fremde IT-Systeme einzugreifen, Daten zu verändern oder zu löschen und Systeme abzuschalten, schafft keinen Schutz für die Bevölkerung. Er schafft eine staatliche Bedrohung für die Wirtschaft und kritischen Infrastrukturen, von der diese Bevölkerung abhängt.“
Die Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS) bewertet den Referentenentwurf des Bundesministeriums des Innern (BMI) für ein Gesetz zur Stärkung der Cybersicherheit differenziert. Sie unterstützt defensive Maßnahmen wie die verbesserte Erkennung von Schadprogrammen (§ 8 BSIG), die Erweiterung der Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Früherkennung von Angriffen (§ 11 BSIG) sowie die Anordnungsbefugnisse gegenüber DNS-Anbietern. Diese Maßnahmen werden als verhältnismäßig und sinnvoll angesehen, jedoch mit konkreten Verbesserungsvorschlägen versehen. Scharf abgelehnt werden hingegen die geplanten aktiven Eingriffsbefugnisse für das Bundeskriminalamt (BKA) und die Bundespolizei (BPOL), die es diesen Behörden erlauben würden, ohne Wissen der Betroffenen in fremde IT-Systeme, einschließlich der Systeme von Opfern (z.B. KRITIS-Betreibern), einzugreifen, Daten zu verändern oder zu löschen. Die AG KRITIS sieht darin erhebliche operative, technische und verfassungsrechtliche Risiken, insbesondere weil die Identifikation von Angreifern (Attribution) in der Praxis oft nicht eindeutig möglich ist und so Opfer statt Täter getroffen werden könnten. Weitere Kritikpunkte sind das Fehlen eines Richtervorbehalts für Eingriffe in nicht-private Systeme, das Fehlen einer spezialgesetzlichen Haftungsregelung für Kollateralschäden und das Fehlen einer Evaluations- und Befristungsklausel. Besonders ausführlich thematisiert werden: (1) die Risiken aktiver Cyberabwehr und das Attributionsproblem, (2) die verfassungsrechtlichen Bedenken bezüglich der Kompetenzverschiebung zum Bund, und (3) die Gefahr, dass der Aufbau offensiver Cyberfähigkeiten zu einer Bedrohung für die eigene Infrastruktur wird.
Tendenz: ablehnend 👎
Datum: 12.03.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👍 Bund Deutscher Kriminalbeamter e.V.
„Der Referentenentwurf stellt einen wichtigen Schritt dar, da er erstmals aktive Maßnahmen zur Unterbindung schwerwiegender Cyberangriffe ermöglicht. Gleichzeitig bleibt festzuhalten, dass der Entwurf keine eindeutig strukturierte Zuständigkeitsordnung schafft.“
Der Bund Deutscher Kriminalbeamter e.V. (BDK) begrüßt grundsätzlich den Gesetzentwurf zur Stärkung der Cybersicherheit, da er erstmals den Bundesbehörden wie dem Bundeskriminalamt (BKA) und der Bundespolizei explizite Befugnisse zur aktiven und präventiven Abwehr schwerwiegender Cyberangriffe einräumt. Der BDK betont, dass Cyberangriffe eine der größten sicherheitspolitischen Herausforderungen darstellen und dass eine rein reaktive Strafverfolgung nicht mehr ausreicht. Besonders ausführlich thematisiert werden: 1) Die Notwendigkeit einer engen Verzahnung von Gefahrenabwehr (präventive Maßnahmen zur Verhinderung von Schäden) und Strafverfolgung (Ermittlung und Bestrafung von Tätern), 2) die Gefahr redundanter und unklarer Zuständigkeitsstrukturen zwischen verschiedenen Bundesbehörden, was zu Koordinationsproblemen führen kann, und 3) die Empfehlung, das Nationale Cyber-Abwehrzentrum zu einem operativen Lage- und Koordinierungszentrum auszubauen, um die Zusammenarbeit und Effizienz zu steigern. Der BDK sieht den Gesetzentwurf als wichtigen Schritt, fordert jedoch langfristig eine klarere bundesweite Zuständigkeit nach dem Vorbild der Terrorismusabwehr (§ 5 BKAG) und eine abgestimmte Weiterentwicklung der gesetzlichen Grundlagen auf Bundes- und Landesebene.
Tendenz: zustimmend 👍
Datum: 17.03.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ Bundesverband der Deutschen Industrie e.V. (BDI)
„Cybersicherheit lässt sich nur im engen Schulterschluss zwischen Staat und Wirtschaft nachhaltig stärken. Der Gesetzentwurf sollte daher stärker auf kooperative Modelle setzen und bestehende erfolgreiche Ansätze explizit berücksichtigen.“
Die Stellungnahme des Bundesverbands der Deutschen Industrie (BDI) zum Entwurf des Gesetzes zur Stärkung der Cybersicherheit in Deutschland begrüßt grundsätzlich das Ziel, die Cybersicherheit zu erhöhen und die staatliche Handlungsfähigkeit gegenüber komplexen Bedrohungen auszubauen. Der BDI betont, dass eine effektive Cyberabwehr für die öffentliche Sicherheit unerlässlich ist, fordert jedoch, dass neue staatliche Befugnisse und Pflichten klar, verhältnismäßig und eng mit bestehenden Strukturen abgestimmt werden. Besonders kritisch sieht der BDI die sehr weitreichenden Eingriffsrechte für Bundespolizei, Bundeskriminalamt und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Er fordert stattdessen kooperative Ansätze zwischen Staat und Wirtschaft, um Doppelstrukturen und unnötigen bürokratischen Aufwand zu vermeiden. Die Stellungnahme hebt hervor, dass der Zugriff auf hochsensible Daten strengen Sicherheits- und Datenschutzanforderungen unterliegen muss. Außerdem wird die Höhe der vorgesehenen Bußgelder als zu hoch kritisiert und realistische Fristen für die Umsetzung von Maßnahmen gefordert. Drei besonders ausführlich thematisierte Aspekte sind: 1) Die Kritik an den weitreichenden staatlichen Eingriffsbefugnissen, insbesondere sogenannten Hackbacks (staatliche Gegenangriffe im Cyberraum), 2) die Forderung nach kooperativen Modellen und klaren Regelungen für den Datenaustausch zwischen Wirtschaft und Behörden, und 3) die Bedenken hinsichtlich der Sicherheit und Vertraulichkeit beim Umgang mit sensiblen Betriebsdaten sowie die Risiken zentraler Datenspeicherung beim BSI.
Tendenz: neutral 🤷♀️
Datum: 17.03.2026
Lobbyregister-Nr.: R000534 (Zum Lobbyregister)
EU Transparenzregister-Nr.: 1771817758-48 (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 Bundesverband Glasfaseranschluss e.V.
„Der BUGLAS hält deswegen Hackbacks für in Teilen nicht erforderlich bzw. unverhältnismäßig bzgl. des Risikos für Unbeteiligte. Deshalb lehnt der BUGLAS die Hackback-Befugnisse ab.“
Der Bundesverband Glasfaseranschluss e.V. (BUGLAS) äußert sich kritisch zum Referentenentwurf des Bundesministeriums des Innern (BMI) zur Stärkung der Cyberabwehr. Die Stellungnahme betont die Bedeutung von IT-Sicherheit und Netzverfügbarkeit, lehnt jedoch sogenannte Hackbacks (Gegenangriffe auf Cyberangriffe) als riskant und unverhältnismäßig ab, da sie auch unbeteiligte Dritte treffen könnten. BUGLAS fordert stattdessen defensive Maßnahmen wie das Unterbrechen von Botnetzen und die Umleitung von schädlichem Datenverkehr. Die geplanten erweiterten Datenherausgabepflichten an das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden als zu weitgehend und datenschutzrechtlich problematisch bewertet, insbesondere im Hinblick auf die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikationsgesetz (TKG). Zudem wird eine angemessene Entschädigung für die Datenbereitstellung gefordert. Die vorgesehene 24-Stunden-Meldepflicht für Sicherheitsvorfälle wird als zu starr kritisiert, insbesondere für kleine und mittlere Unternehmen (KMU). Besonders ausführlich thematisiert werden: 1) Die Ablehnung von Hackbacks und die Risiken für Unbeteiligte, 2) Die datenschutzrechtlichen Bedenken bei der Herausgabe von Verkehrs- und Steuerungsdaten, 3) Die Forderung nach verhältnismäßigen Meldefristen und klaren Mitwirkungspflichten.
Tendenz: ablehnend 👎
Datum: 17.03.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 Bundesverband IT-Sicherheit e.V. (TeleTrusT)
„Im Ergebnis muss das Cyber-Sicherheitsniveau bundesweit gestärkt werden. Dieses Ziel wird aber nicht schon dadurch erreicht, dass zusätzliche Eingriffsbefugnisse geschaffen werden. Entscheidend ist vielmehr, dass staatliche Maßnahmen selbst keine neuen Unsicherheiten erzeugen und das Vertrauen in die Integrität informationstechnischer Systeme nicht schwächen.“
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) bewertet den BMI-Referentenentwurf für ein Gesetz zur Stärkung der Cyber-Sicherheit grundsätzlich als notwendig, um die staatliche Handlungsfähigkeit gegen Cyber-Bedrohungen zu verbessern. TeleTrusT begrüßt gezielte Befugniserweiterungen für das Bundesamt für Sicherheit in der Informationstechnik (BSI), wie etwa die Möglichkeit, bereits bei Anhaltspunkten für Cyber-Gefahren tätig zu werden und Informationen von Telekommunikations- und digitalen Diensteanbietern einzuholen. Kritisch sieht der Verband jedoch die verpflichtende Anbindung von Angriffserkennungssystemen kritischer Infrastrukturen (KRITIS) an das BSI (§ 31 BSIG-E), da dies neue Angriffsflächen schafft und die Haftungs- sowie Kostenfragen unzureichend geregelt sind. Besonders abgelehnt werden die geplanten aktiven Cyber-Abwehrbefugnisse für Bundespolizei und Bundeskriminalamt (§ 41a BPolG-E, § 62e BKAG-E), da sie auch gegen Systeme Dritter wirken können, die selbst Opfer eines Angriffs sind, und damit erhebliche Kollateralschäden und Missbrauchsmöglichkeiten entstehen. Zudem werden verfassungsrechtliche Bedenken hinsichtlich der Kompetenzverlagerung auf Bundesbehörden geäußert. Drei besonders ausführlich thematisierte Aspekte sind: (1) die Risiken und Unklarheiten der verpflichtenden Anbindung von KRITIS-Systemen an das BSI, (2) die Gefahren und Unbeherrschbarkeit aktiver Cyber-Abwehrmaßnahmen durch Bundesbehörden, und (3) die fehlende verfassungsrechtliche Klarheit bei der Kompetenzverlagerung im Bereich der Cyber-Gefahrenabwehr.
Tendenz: ablehnend 👎
Datum: 16.03.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ cyberintelligence.institute GmbH
„Die Cybersicherheit benötigt durchaus mehr staatliches Handeln als in der Vergangenheit. Doch dieses Mehr an Handlungsfähigkeit darf nicht zwangsläufig mit einem Weniger an Rechtsstaatlichkeit einhergehen. Gerade in einem Bereich, der durch technische Komplexität, geringe öffentliche Sichtbarkeit und hohe Fehleranfälligkeit gekennzeichnet ist, müssen die rechtsstaatlichen Sicherungen besonders robust ausgestaltet sein.“
Die cyberintelligence.institute GmbH bewertet den Referentenentwurf für ein Gesetz zur Stärkung der Cybersicherheit grundsätzlich als notwendig, da die Bedrohungslage im Cyberraum – insbesondere durch staatlich gelenkte Angriffe und professionelle Ransomware – eine aktive Cyberabwehr erforderlich macht. Allerdings weist der Entwurf nach Ansicht der Stellungnahme erhebliche rechtsstaatliche und technische Defizite auf. Besonders kritisiert werden die unzureichende Bestimmung und Kontrolle der Eingriffsbefugnisse (z.B. Eingriffe ohne Richtervorbehalt, fehlende Protokoll- und Kontrollpflichten), die ungelöste Attribuierungsproblematik (Zurechnung von Angriffen zu Tätern ist technisch unsicher) sowie der fehlende Umgang mit Schwachstellen und sogenannten Zero-Day-Exploits (unbekannte Sicherheitslücken, die von Behörden genutzt werden könnten). Die Stellungnahme fordert unter anderem eine klare Abgrenzung zwischen Polizei und Nachrichtendiensten (Trennungsprinzip), höhere Hürden und Schutzmechanismen für Eingriffe in private Systeme, die Einführung eines strukturierten Prozesses zum Umgang mit Schwachstellen (Vulnerability Equities Process) und eine bessere Koordination der beteiligten Behörden. Besonders ausführlich thematisiert werden: 1. Die technischen und verfahrensrechtlichen Unsicherheiten der Eingriffsbefugnisse (§§ 41a BPolG-E, 62b-g BKAG-E), 2. Die Attribuierungsproblematik und die Gefahr fehlerhafter Maßnahmen gegen Unbeteiligte, 3. Die fehlenden Regelungen zum Umgang mit Schwachstellen und Zero-Day-Exploits.
Tendenz: neutral 🤷♀️
Datum: 15.03.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 DENIC eG
„Wirtschaftliche Zumutbarkeit und technische Machbarkeit treten auch als Ressourcenfrage auf. Entsprechend könnten angeordnete Maßnahmen die Systemstabilität einschränken oder gar gefährden.“
Die DENIC eG, als zentrale Registrierungsstelle für die deutsche Top-Level-Domain .de, äußert sich kritisch zum Referentenentwurf des Gesetzes zur Stärkung der Cybersicherheit, insbesondere zu den geplanten Änderungen des BSI-Gesetzes. Zentrale Punkte sind die Herausforderungen bei der Bekämpfung von Botnetzen durch algorithmisch generierte Domainnamen, die zu einer erheblichen Belastung der betroffenen Betreiber führen können. Die Stellungnahme hebt hervor, dass die geplanten Maßnahmen wirtschaftlich und technisch schwer zumutbar sind und die Systemstabilität gefährden könnten. Zudem wird kritisiert, dass keine Aufwandsentschädigungen für Betreiber vorgesehen sind und der Gesetzestext hinsichtlich der Verantwortlichkeiten unklar bleibt. Ein weiterer ausführlich behandelter Aspekt ist die geplante Änderung des §50 Absatz 1 BSI-G, die nach Ansicht von DENIC datenschutzrechtliche Risiken birgt und über die Vorgaben der europäischen NIS2-Richtlinie hinausgeht. Besonders hervorgehoben werden (1) die ökonomische und technische Asymmetrie bei der Abwehr von Botnetzen, (2) die fehlende Aufwandsentschädigung und unklare Verantwortlichkeiten im Gesetzestext sowie (3) die datenschutzrechtlichen Bedenken bei der Auskunftserteilung an nicht-berechtigte Nachfrager.
Tendenz: ablehnend 👎
Datum: 17.03.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 eco – Verband der Internetwirtschaft e.V.
„Wirksamer Schutz gelingt nur, wenn Befugnisse klar begrenzt, rechtssicher ausgestaltet und in der Umsetzung eng mit der Wirtschaft verzahnt werden.“
Die Stellungnahme des eco – Verband der Internetwirtschaft e.V. befasst sich mit dem Referentenentwurf des Bundesministeriums des Innern für ein Gesetz zur Stärkung der Cybersicherheit. Grundsätzlich begrüßt eco das Ziel, die Cybersicherheitsarchitektur zu stärken und die Handlungsfähigkeit der Behörden zu verbessern. Kritisch sieht der Verband jedoch die im Entwurf vorgesehenen weitreichenden Eingriffe in digitale Infrastrukturen, unklare und zu weit gefasste Mitwirkungspflichten für Anbieter sowie das Risiko unverhältnismäßiger Maßnahmen wie Overblocking (das unbeabsichtigte Sperren rechtmäßiger Inhalte). Besonders ausführlich thematisiert werden: 1) die Notwendigkeit klarer und praxistauglicher Definitionen, insbesondere bei der Unterscheidung zwischen missbräuchlich registrierten und kompromittierten Domains, 2) die Ablehnung offensiver Gegenmaßnahmen wie Hackbacks, die als technisch, rechtlich und außenpolitisch riskant bewertet werden, und 3) die Forderung nach klaren, transparenten und verhältnismäßigen Verfahren bei Datenzugriffen und behördlichen Anordnungen. eco plädiert für einen kooperativen Ansatz mit der Wirtschaft, klare Begrenzung staatlicher Befugnisse, Schutz vor Kollateralschäden und eine Stärkung von Resilienz, Schwachstellenmanagement und schnellen Takedown-Verfahren.
Tendenz: ablehnend 👎
Datum: 17.03.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 Gesellschaft für Informatik e.V. (GI)
„Die GI hält an ihrer Position fest, dass IT-Sicherheit präventiv gestaltet werden muss und intrusive Maßnahmen wie sogenannte Hackbacks abzulehnen sind.“
Die Gesellschaft für Informatik e.V. (GI) bewertet den Referentenentwurf des Bundesministeriums des Innern für das Gesetz zur Stärkung der Cybersicherheit differenziert. Sie begrüßt die generelle Zielsetzung, die Cybersicherheit in Deutschland zu stärken, und unterstützt insbesondere die geplante Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie dessen neue Befugnisse zur Erkennung und Abwehr von Schadsoftware. Kritisch sieht die GI jedoch die Einführung aktiver Cyberabwehrbefugnisse für das Bundeskriminalamt (BKA) und die Bundespolizei, die tiefgreifende Eingriffe in IT-Systeme erlauben würden. Die GI warnt vor einem Paradigmenwechsel von Prävention hin zu staatlichen Eingriffen und lehnt sogenannte Hackbacks (staatliche Gegenangriffe auf IT-Systeme) ab. Besonders hervorgehoben werden: 1) Die Ablehnung aktiver Eingriffsbefugnisse für BKA und Bundespolizei aufgrund technischer und verfassungsrechtlicher Bedenken, 2) Die Forderung nach einer klaren Evaluations- und Haftungsregelung für staatliche Cyberabwehrmaßnahmen, 3) Die differenzierte Unterstützung für die Stärkung des BSI, verbunden mit Hinweisen auf notwendige Verbesserungen bei Meldepflichten und dem Schutz sensibler Daten.
Tendenz: ablehnend 👎
Datum: 16.03.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👍 Gewerkschaft der Polizei (GdP)
„Die GdP bewertet den Entwurf insgesamt als wichtigen Schritt zur Weiterentwicklung der polizeilichen Cyberabwehr in Deutschland. Positiv hervorzuheben ist insbesondere, dass erstmals spezifische Eingriffsbefugnisse zur Abwehr von Cyberangriffen aufgenommen werden.“
Die Gewerkschaft der Polizei (GdP) begrüßt den Gesetzentwurf zur Stärkung der Cybersicherheit grundsätzlich und bewertet ihn als wichtigen Schritt zur Modernisierung der rechtlichen Rahmenbedingungen für die Cyberabwehr des Bundes. Der Entwurf sieht erstmals spezifische Befugnisse für Bundesbehörden zur Abwehr von Cyberangriffen vor, insbesondere für das Bundeskriminalamt (BKA) und die Bundespolizei. Die GdP hebt positiv hervor, dass dadurch ein rechtlich klar geregeltes Instrumentarium geschaffen wird, das den technischen Besonderheiten von Cyberangriffen besser gerecht wird als bisherige Regelungen. Besonders ausführlich thematisiert werden: 1) Die Notwendigkeit klarer Zuständigkeitsabgrenzungen und die Gefahr von Koordinationsproblemen zwischen Bund und Ländern, da Cyberangriffe oft keine klaren geografischen Ursprünge haben und mehrere Bundesländer betreffen können. 2) Die erstmalige Schaffung cyberspezifischer Eingriffsbefugnisse im Bundeskriminalamtgesetz (BKAG) und die rechtliche Absicherung besonders eingriffsintensiver Maßnahmen durch einen Richtervorbehalt. 3) Die Bedeutung einer Harmonisierung der polizeirechtlichen Cyberabwehrbefugnisse zwischen Bund und Ländern sowie die Forderung nach einer Evaluierung des Gesetzes hinsichtlich der föderalen Zuständigkeitsverteilung.
Tendenz: zustimmend 👍
Datum: 17.03.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 interface – Tech analysis and policy ideas for Europe e.V.
„Das geplante Vorgehen droht, Ressourcen zu zersplittern, Verantwortlichkeiten zu verwässern und die Gesamteffektivität der Cyberabwehr für die nationale Sicherheit erheblich zu mindern.“
Die Stellungnahme von Dr. Sven Herpig für interface – Tech analysis and policy ideas for Europe e.V. (ehemals Stiftung Neue Verantwortung) zum Referentenentwurf des Bundesministeriums des Innern für ein Gesetz zur Stärkung der Cybersicherheit kritisiert die geplante Ausweitung intrusiver Cyberabwehrbefugnisse (z.B. Hackbacks, also staatliche Gegenmaßnahmen gegen Cyberangriffe) deutlich. Zentrale strukturelle Probleme wie fragmentierte Zuständigkeiten zwischen Bund und Ländern, fehlende Governance für den Einsatz invasiver Werkzeuge und eine unzureichende Stärkung der IT-Resilienz bleiben ungelöst. Die Stellungnahme warnt vor Effektivitätsverlusten, rechtlichen Unsicherheiten und Risiken für Transparenz und Kontrolle. Besonders ausführlich werden folgende Aspekte behandelt: 1) Die Schaffung von Parallelstrukturen und fehlende Koordination zwischen Behörden wie BKA, BSI, BPol und BND, was die Effektivität der Cyberabwehr gefährdet; 2) Die Fokussierung auf neue Befugnisse anstelle einer nachhaltigen Stärkung von IT-Sicherheit und Resilienz; 3) Die rechtlichen Unsicherheiten und Fragmentierung durch fehlende verfassungsrechtliche Klarheit und mangelnde Transparenz- und Kontrollmechanismen beim Einsatz intrusiver Maßnahmen.
Tendenz: ablehnend 👎
Datum:
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ Kassenärztliche Bundesvereinigung
„Die KBV begrüßt grundsätzlich die Intention des Gesetzgebers, die Cybersicherheit zu stärken. Hierbei darf jedoch der Schutz zeugnisberechtigter Personen nicht vernachlässigt werden.“
Die Kassenärztliche Bundesvereinigung (KBV) begrüßt grundsätzlich das Ziel des Gesetzentwurfs, die Cybersicherheit zu stärken. Sie weist jedoch darauf hin, dass der Schutz von Personen, die ein Zeugnisverweigerungsrecht haben (zum Beispiel Ärztinnen und Ärzte sowie Psychotherapeutinnen und -therapeuten), nicht ausreichend berücksichtigt wird. Besonders kritisch sieht die KBV, dass im Bundespolizeigesetz (BPolG) eine Schutzregelung fehlt, die vergleichbar mit § 62 des Bundeskriminalamtgesetzes (BKAG) ist. Zudem werden neue verdeckte Abwehrmaßnahmen eingeführt, die auch besonders geschützte Gesundheitsdaten betreffen können. Die KBV fordert, dass der Schutz dieser Berufsgeheimnisträger durch entsprechende Regelungen im BPolG und eine Ausweitung des Schutzes im BKAG sichergestellt wird. Besonders ausführlich thematisiert werden: 1) Die fehlende Schutzvorschrift im BPolG, 2) Die unzureichende Ausweitung des Schutzes im BKAG auf neue Maßnahmen, 3) Die besondere Schutzwürdigkeit von Gesundheitsdaten und die ärztliche Schweigepflicht.
Tendenz: neutral 🤷♀️
Datum: 16.03.2026
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 Stadtwerke München
„Insgesamt fordern die SWM eine deutlich präzisere, verhältnismäßige und rechtssichere Ausgestaltung des Gesetzentwurfs, die staatliche Unterstützung stärkt, ohne die operative Verantwortung, Sicherheitsarchitekturen und Versorgungssicherheit der Betreiber kritischer Infrastrukturen zu unterlaufen.“
Die Stadtwerke München (SWM) erkennen die sicherheitspolitische Notwendigkeit des Gesetzentwurfs zur Stärkung der Cybersicherheit an, äußern jedoch erhebliche Bedenken hinsichtlich der praktischen Umsetzbarkeit und der Auswirkungen auf Betreiber kritischer Infrastrukturen (KRITIS). Besonders kritisch wird die verpflichtende Anbindung von Systemen zur Angriffserkennung (SzA) an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gesehen, da Art, Umfang und Zweck der Datenübermittlung unklar bleiben und dem BSI ein großer Gestaltungsspielraum eingeräumt wird. Dies birgt Risiken für die Integrität bestehender Sicherheitsarchitekturen und könnte zu einer dauerhaften Ausleitung sensibler Betriebsdaten führen. Die weitreichenden Eingriffsbefugnisse von Bundesbehörden wie Bundespolizei und Bundeskriminalamt (BKA) werden ebenfalls kritisch bewertet, da sie unmittelbare Eingriffe in Betriebs- und Steuerungsprozesse erlauben, ohne die Betreiber ausreichend einzubinden oder technische Zugriffspfade klar zu regeln. Positiv hervorgehoben wird der Ansatz des präventiven Threat Huntings (proaktive Suche nach Cyberbedrohungen), sofern diese Maßnahmen freiwillig, transparent und in enger Abstimmung mit den Betreibern erfolgen. Besonders ausführlich thematisiert werden: 1) Die unklaren Anforderungen und Risiken der zentralen Anbindung von Angriffserkennungssystemen an das BSI, 2) Die weitreichenden und unklar geregelten Eingriffsbefugnisse von Bundesbehörden in kritische Betriebsprozesse, 3) Die Bedingungen und Vorteile eines kooperativen, freiwilligen Threat Huntings.
Tendenz: ablehnend 👎
Datum:
Lobbyregister-Nr.: R000611 (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
🤷♀️ Verband der Automobilindustrie e. V. (VDA)
„Der VDA unterstützt daher grundsätzlich das Ziel des Referentenentwurfs, die Cyberabwehrfähigkeiten Deutschlands weiterzuentwickeln. Gleichwohl sieht die Automobilindustrie in einzelnen Punkten Anpassungsbedarf, um eine Balance zwischen effektiver Gefahrenabwehr, dem Schutz sensibler Unternehmensdaten sowie stabilen industriellen Prozessen zu gewährleisten.“
Der Verband der Automobilindustrie (VDA) nimmt zum Referentenentwurf eines Gesetzes zur Stärkung der Cybersicherheit Stellung. Der VDA begrüßt grundsätzlich das Ziel, die Cyberabwehrfähigkeiten Deutschlands auszubauen, betont aber die Notwendigkeit, die besonderen Anforderungen der Automobilindustrie zu berücksichtigen. Die Branche ist hochgradig digitalisiert und auf stabile, sichere IT-Systeme angewiesen. Der VDA fordert, dass staatliche Eingriffe in informationstechnische Systeme klar auf schwerwiegende Gefahrenlagen begrenzt werden und Unternehmen ein hohes Maß an Rechtssicherheit erhalten. Besonders hervorgehoben werden: (1) die Auswirkungen staatlicher Eingriffe auf komplexe industrielle IT-Strukturen und die Notwendigkeit, unbeabsichtigte Störungen zu vermeiden; (2) der Schutz sensibler Unternehmensdaten, insbesondere Entwicklungsdaten, Softwarecode und Geschäftsgeheimnisse, mit klaren Vorgaben zur Zweckbindung und Löschung; (3) die Verpflichtungen für digitale Diensteanbieter und Betreiber kritischer Anlagen, die verhältnismäßig und im Einklang mit bestehenden europäischen Regelungen ausgestaltet werden sollen. Weitere ausführlich behandelte Aspekte sind die Zusammenarbeit zwischen Staat und Wirtschaft, der Umgang mit Angriffserkennungssystemen, internationale Cyberoperationen sowie die Ausgestaltung von Bußgeldern und Sanktionen.
Tendenz: neutral 🤷♀️
Datum: 01.03.2026
Lobbyregister-Nr.: R001243 (Zum Lobbyregister)
EU Transparenzregister-Nr.: 95574664768-90 (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
👎 Vertreter der Wirtschaft im UP KRITIS
„Die UP KRITIS spricht sich daher gegen eine generische, dauerhaft angelegte Ausleitung aus. Erforderlich ist eine präzise gesetzliche Eingrenzung, sodass sich die Übermittlung auf klar definierte sicherheitsrelevante Indikatoren beschränkt, die für Systeme zur Angriffserkennung notwendig, verhältnismäßig und im Einklang mit dem europäischen Rahmen stehen.“
Die Vertreter der Wirtschaft im UP KRITIS (Unabhängige Plattform Kritische Infrastrukturen) begrüßen grundsätzlich das Ziel, die Cybersicherheit in Deutschland zu stärken und betonen die Bedeutung einer engen Zusammenarbeit zwischen staatlichen Stellen und Betreibern kritischer Infrastrukturen (KRITIS). Sie lehnen jedoch zusätzliche nationale Sonderregulierungen ab, die über bestehende nationale und europäische Vorgaben hinausgehen. Besonders kritisch sehen sie die geplante dauerhafte Übermittlung unspezifischer Betriebsdaten an das Bundesamt für Sicherheit in der Informationstechnik (BSI), da dies eine unverhältnismäßige Belastung und neue Risiken für die Betreiber schafft. Die Stellungnahme hebt zudem die Notwendigkeit klarer Verantwortlichkeiten, technischer Umsetzbarkeit und umfassender Haftungsfreistellungen hervor. Drei besonders ausführlich thematisierte Aspekte sind: 1) Die geplante Ausweitung der Systeme zur Angriffserkennung und die damit verbundenen Datenübermittlungen an das BSI (§ 31 Abs. 2 BSIG); 2) Die Eingriffsbefugnisse staatlicher Stellen in betriebliche Sicherheits- und Wiederherstellungsprozesse (§ 11 Abs. 1 BSIG); 3) Die finanziellen und organisatorischen Mehrbelastungen für Betreiber kritischer Infrastrukturen durch neue gesetzliche Anforderungen.
Tendenz: ablehnend 👎
Datum:
Lobbyregister-Nr.: Keine Angaben (Zum Lobbyregister)
EU Transparenzregister-Nr.: Keine Angaben (Zum Transparenzregister)
Die Registernummern werden automatisch aus der Stellungnahme entnommen, wenn sie dort genannt wurden.
Beratungsverlauf im Bundesrat
| Gesetztyp: | Einspruchsgesetz |
| Drucksache im BR: | 323/26 |
| Eingang im Bundesrat: | 29.05.2026 |
| Status Bundesrat: | Eingegangen |
| Ausschusssitzungen | Sitzungsdatum | Tagesordnung (PDF) |
|---|---|---|
| Rechtsausschuss | 24.06.2026 | Tagesordnung |
Weiterführende Links