KRITIS-Dachgesetz „Sicherheit ist nur so stark wie ihr schwächstes Glied“ Cyberangriffe auf Kommunen nehmen zu. Der Bundestag verabschiedet ein Gesetz, das die kritische Infrastruktur vor Cyberattacken schützen soll, lässt die Kommunen aber außen vor. Wie konnte es dazu kommen? Die Geschichte begann am 11. September 2025 in Berlin. Dort beriet der Bundestag zum ersten Mal über einen Gesetzesentwurf zur Umsetzung der europäischen NIS2-Richtlinie. NIS2 sieht für alle Mitgliedstaaten vor, nationale Cybersicherheitsstrategien festzulegen. Die vorausgegangene Richtlinie deckte unter anderem Energie, Verkehr, Gesundheitswesen und digitale Infrastruktur ab. Jetzt soll neben anderen Sektoren auch die öffentliche Verwaltung unter den Schutzschirm kommen, um die Cybersicherheit der kritischen Infrastruktur (KRITIS) in Deutschland auf eine neue Stufe zu heben. In der Debatte im Bundestag waren sich alle Parteien einig, dass ein Gesetz zur Stärkung der KRITIS-Cybersicherheit zwar dringend notwendig sei, machten aber auf die Schwachstellen aufmerksam. So kritisierten Bündnis 90/Die Grünen und Die Linke, der Entwurf der Bundesregierung gehe nicht weit genug und müsse auch die Verwaltung in Bund, Ländern und Kommunen unter Schutz stellen. Achillesferse Kommunen In der anschließenden Anhörung im Innenausschuss schlossen sich die Expertinnen und Experten der Kritik an und forderten, die nachgeordneten Behörden und Kommunen in den Schutz einzubeziehen. Unter ihnen Sabine Griebsch, die mit ihrem Unternehmen GovThings Kommunen bei der Cybersicherheit berät und beim Krisenmanagement unterstützt. Griebsch erklärt gegenüber dem dbb magazin, warum die Kommunen dringend mitgenommen werden müssen: „Sie erbringen eine Vielzahl zentraler Dienstleistungen der öffentlichen Daseinsvorsorge und sind somit ein wesentlicher Bestandteil kritischer staatlicher Strukturen.“ Vor dem Hintergrund der zunehmenden Bedrohungslage im Cyberraum sei es notwendig, sie verbindlichen Mindestanforderungen der Cyber- und Informationssicherheit zu unterstellen. „Andernfalls entstehen systematische Sicherheitslücken und ein uneinheitliches Schutzniveau, da die Standards, Maßnahmen und Ressourcen je nach Kommune stark variieren“, warnt Griebsch. „In hoch vernetzten Strukturen ist die Sicherheit immer nur so stark wie das schwächste Glied.“ In der zweiten Lesung am 13. November 2025 deutete der neue Name des Entwurfs, „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“, auf Verbesserungen hin. Tatsächlich bezog der Entwurf die nachgeordneten Behörden nun mit ein, die Kritik im Innenausschuss hatte zumindest in Teilen Wirkung gezeigt. Vom Schutz für die Kommunen fehlt allerdings weiterhin jede Spur. Ein unbeabsichtigter Kassandraruf Damit lag der Ball Anfang Dezember wieder im Spielfeld des Innenausschusses. Dieses Mal waren die Kritikpunkte der Anhörung viel- © Erdacht mit KI, OpenAI Sora (2) ONLINE FOKUS 17 dbb magazin | März 2026
RkJQdWJsaXNoZXIy Mjc4MQ==