Hier klicken für Titel, Fundstelle, Änderungen etc. 
Artikel 25 - Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2-RLUG k.a.Abk.)
G. v. 02.12.2025 BGBl. 2025 I Nr. 301; Geltung ab 06.12.2025
| |
| |
Artikel 25 Änderung des Telekommunikationsgesetzes
Artikel 25 wird in 1 Vorschrift zitiert und ändert mWv. 6. Dezember 2025 TKG § 3, § 79, § 136, § 137, § 141, § 142, § 143, § 151, § 153, § 154, § 165, § 167, § 168, § 174, § 214, § 228
Das Telekommunikationsgesetz vom 23. Juni 2021 (BGBl. I S. 1858), das zuletzt durch Artikel 1 des Gesetzes vom 24. Juli 2025 (BGBl. 2025 I Nr. 181) geändert worden ist, wird wie folgt geändert:
- 1.
- In der Inhaltsübersicht wird die Angabe zu § 168 wie folgt geändert:
㤠168 Meldung eines Sicherheitsvorfalls". - 2.
- § 3 wird wie folgt geändert:
- a)
- Nummer 53 wird durch die folgende Nummer 53 ersetzt:
- „53.
- „Sicherheitsvorfall" ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden oder zugänglich sind, beeinträchtigt;".
- b)
- In Nummer 79 wird die Angabe „erbracht werden." durch die Angabe „erbracht werden;" ersetzt.
- c)
- Nach Nummer 79 wird die folgende Nummer 80 eingefügt:
- „80.
- „Netz- und Informationssystem"
- a)
- ein Telekommunikationsnetz im Sinne von Nummer 65,
- b)
- ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, oder
- c)
- digitale Daten, die von den in den Buchstaben a und b genannten Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden."
- 3.
- In § 79 Absatz 3 Nummer 3 wird die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" und die Angabe „der Kritischen Infrastruktur" durch die Angabe „kritischer Anlagen" ersetzt.
- 4.
- In § 136 Absatz 4 Nummer 3 wird die Angabe „Kritischen Infrastruktur" durch die Angabe „kritischen Anlagen" und die Angabe „der Kritischen Infrastruktur" durch die Angabe „kritischer Anlagen" ersetzt.
- 5.
- In § 137 Absatz 3 Nummer 3 wird die Angabe „Kritischen Infrastruktur" durch die Angabe „kritischen Anlagen" und die Angabe „der Kritischen Infrastruktur" durch die Angabe „kritischer Anlagen" ersetzt.
- 6.
- § 141 Absatz 2 Nummer 4 wird durch die folgende Nummer 4 ersetzt:
- „4.
- konkrete Anhaltspunkte dafür, dass die beantragte Mitnutzung die Integrität oder Sicherheit bereits bestehender öffentlicher Versorgungsnetze, insbesondere nationaler kritischer Anlagen, gefährdet; bei kritischen Anlagen liegen konkrete Anhaltspunkte für eine solche Gefährdung vor, soweit von dem Antrag Teile einer kritischen Anlage, insbesondere die Informationstechnik kritischer Anlagen, betroffen sind, die nachweislich besonders schutzbedürftig und für die Funktionsfähigkeit kritischer Anlagen maßgeblich sind, und der Betreiber die Mitnutzung im Rahmen der ihm durch Gesetz oder aufgrund eines Gesetzes auferlegten Schutzpflichten nicht durch verhältnismäßige Maßnahmen ermöglichen kann,".
- 7.
- In § 142 Absatz 4 Nummer 4 wird die Angabe „Kritischen Infrastruktur" durch die Angabe „kritischen Anlagen" und die die Angabe „der Kritischen Infrastruktur" durch die Angabe „kritischer Anlagen" ersetzt.
- 8.
- In § 143 Absatz 4 Nummer 1 wird die Angabe „Kritischen Infrastruktur" durch die Angabe „kritischen Anlagen" und die Angabe „der Kritischen Infrastruktur" durch die Angabe „kritischer Anlagen" ersetzt.
- 9.
- § 151 wird wie folgt geändert:
- a)
- In Absatz 1 Satz 3 und 4 wird jeweils die Angabe „Kritischer Infrastrukturen" durch die Angabe „kritischer Anlagen" ersetzt.
- b)
- Absatz 2 wird wie folgt geändert:
- aa)
- In Satz 3 wird die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" ersetzt.
- bb)
- In Satz 4 wird die Angabe „Kritischer Infrastrukturen" durch die Angabe „kritischer Anlagen" ersetzt.
- c)
- In Absatz 3 Satz 2 und 3 wird jeweils die Angabe „Kritischer Infrastrukturen" durch die Angabe „kritischer Anlagen" ersetzt.
- 10.
- In § 153 Absatz 4 Nummer 3 und § 154 Absatz 4 Satz 2 Nummer 4 wird jeweils die Angabe „Kritischer Infrastrukturen" durch die Angabe „kritischer Anlagen" ersetzt.
- 11.
- § 165 wird wie folgt geändert:
- a)
- Absatz 2 Satz 3 wird durch die folgenden Sätze ersetzt:
„Bei diesen Maßnahmen ist unter Berücksichtigung des Stands der Technik, der einschlägigen europäischen und internationalen Normen sowie der Umsetzungskosten ein Sicherheitsniveau der Netz- und Informationssysteme zu gewährleisten, das dem bestehenden Risiko angemessen ist. Bei der Bewertung, ob Maßnahmen dem bestehenden Risiko angemessen sind, sind das Ausmaß der Risikoexposition und die Größe des Betreibers oder des Anbieters sowie die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen." - b)
- Nach Absatz 2 werden die folgenden Absätze 2a bis 2d eingefügt:„(2a) Maßnahmen nach Absatz 2 von Betreibern öffentlicher Telekommunikationsnetze und Anbietern öffentlich zugänglicher Telekommunikationsdienste, die besonders wichtige Einrichtungen im Sinne von § 28 Absatz 1 Satz 1 Nummer 3 des BSI-Gesetzes oder wichtige Einrichtungen im Sinne von § 28 Absatz 2 Satz 1 Nummer 2 des BSI-Gesetzes sind, müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen, und zumindest Folgendes umfassen:
- 1.
- Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
- 2.
- Bewältigung von Sicherheitsvorfällen,
- 3.
- Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
- 4.
- Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
- 5.
- Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,
- 6.
- Konzepte und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen nach Absatz 2 im Bereich der Sicherheit von Netzen und Diensten,
- 7.
- Grundlegende Verfahren und Schulungen im Bereich der Sicherheit von Netzen und Diensten,
- 8.
- Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
- 9.
- Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
- 10.
- Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.
(2b) Die Geschäftsleitungen von Betreibern öffentlicher Telekommunikationsnetze und Anbietern öffentlich zugänglicher Telekommunikationsdienste, die besonders wichtige Einrichtungen im Sinne von § 28 Absatz 1 Satz 1 Nummer 3 des BSI-Gesetzes oder wichtige Einrichtungen im Sinne von § 28 Absatz 2 Satz 1 Nummer 2 des BSI-Gesetzes sind, sind verpflichtet, die von diesen Einrichtungen nach Absatz 2 zu ergreifenden Maßnahmen umzusetzen und ihre Umsetzung zu überwachen.(2c) Geschäftsleitungen, die ihre Pflichten nach Absatz 2b verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach Satz 1 enthalten.(2d) Die Geschäftsleitungen von Betreibern öffentlicher Telekommunikationsnetze und Anbietern öffentlich zugänglicher Telekommunikationsdienste, die besonders wichtige Einrichtungen im Sinne von § 28 Absatz 1 Satz 1 Nummer 3 des BSI-Gesetzes oder wichtige Einrichtungen im Sinne von § 28 Absatz 2 Satz 1 Nummer 2 des BSI-Gesetzes sind, müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können." - c)
- In Absatz 3 Satz 1 wird die Angabe 㤠2 Absatz 9b des BSI-Gesetzes" durch die Angabe 㤠2 Nummer 41 des BSI-Gesetzes" ersetzt.
- d)
- In Absatz 4 wird Angabe 㤠2 Absatz 13 des BSI-Gesetzes" durch die Angabe 㤠2 Nummer 23 des BSI-Gesetzes" ersetzt.
- e)
- In Absatz 11 Satz 1 wird die Angabe „Artikel 9 der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1; L 33 vom 7. Februar 2018, S. 5)" durch die Angabe „Artikel 10 der Richtlinie (EU) 2022/2555" ersetzt.
- 12.
- § 167 wird wie folgt geändert:
- a)
- Absatz 1 Satz 1 Nummer 2 wird wie folgt geändert:
- aa)
- Die Angabe 㤠2 Absatz 13 Satz 1 Nummer 3 Buchstabe b des BSI-Gesetzes" wird durch die Angabe 㤠2 Nummer 23 Buchstabe c Doppelbuchstabe bb des BSI-Gesetzes" ersetzt.
- bb)
- Die Angabe 㤠2 Absatz 13 des BSI-Gesetzes" wird durch die Angabe 㤠2 Nummer 23 des BSI-Gesetzes" ersetzt.
- b)
- Nach Absatz 1 wird der folgende Absatz 2 eingefügt:„(2) Die Befugnis der Bundesnetzagentur nach Absatz 1 Nummer 2 besteht bis zum Erlass einer Rechtsverordnung nach § 56 Absatz 7 des BSI-Gesetzes für den Sektor Informationstechnik und Telekommunikation im Sinne des § 2 Nummer 24 fort. Eine von der Bundesnetzagentur auf der Grundlage von Absatz 1 Satz 1 Nummer 2 erlassene Allgemeinverfügung ist mit dem Inkrafttreten einer Rechtsverordnung nach § 56 Absatz 7 des BSI-Gesetzes für den Sektor Informationstechnik und Telekommunikation aufzuheben."
- c)
- Der bisherige Absatz 2 wird zu Absatz 3.
- 13.
- § 168 wird wie folgt geändert:
- a)
- Die Überschrift wird wie folgt geändert:
㤠168 Meldung eines Sicherheitsvorfalls". - b)
- Die Absätze 1 bis 3 werden durch die folgenden Absätze 1 bis 3 ersetzt:„(1) Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, macht an die Bundesnetzagentur und an das Bundesamt für Sicherheit in der Informationstechnik:
- 1.
- unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;
- 2.
- unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über den Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden;
- 3.
- auf Ersuchen der Bundesnetzagentur oder dem Bundesamt für Sicherheit in der Informationstechnik eine Zwischenmeldung über relevante Statusaktualisierungen;
- 4.
- spätestens einen Monat nach Übermittlung der Meldung des erheblichen Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes enthält:
- a)
- eine ausführliche Beschreibung des erheblichen Sicherheitsvorfalls, einschließlich seines Schwergrads und seiner Auswirkungen;
- b)
- Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;
- c)
- Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;
- d)
- Gegebenenfalls die grenzüberschreitenden Auswirkungen des erheblichen Sicherheitsvorfalls.
(2) Dauert der erhebliche Sicherheitsvorfall im Zeitpunkt des Absatz 1 Satz 1 Nummer 4 noch an, legt der Betroffene statt einer Abschlussmeldung zu diesem Zeitpunkt eine Fortschrittsmeldung und eine Abschlussmeldung innerhalb eines Monats nach Abschluss der Bearbeitung des erheblichen Sicherheitsvorfalls vor.(3) Ein Sicherheitsvorfall gilt als erheblich, wenn- 1.
- er schwerwiegende Betriebsstörungen oder finanzielle Verluste für den betreffenden Betreiber öffentlicher Telekommunikationsnetze oder Anbieter öffentlich zugänglicher Telekommunikationsdienste verursacht hat oder verursachen kann, oder
- 2.
- er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann."
- c)
- In Absatz 4 wird die Angabe „Mitteilungsverfahrens" durch die Angabe „Meldeverfahrens" ersetzt.
- d)
- Nach Absatz 4 wird der folgende Absatz 5 eingefügt:„(5) Die Bundesnetzagentur übermittelt den nach Absatz 1 Satz 1 Verpflichteten unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach der frühen Erstmeldung nach Absatz 1 Satz 1 Nummer 1 eine Bestätigung über den Eingang der Meldung. Das Bundesamt für Sicherheit in der Informationstechnik kann auf Ersuchen der nach Absatz 1 Satz 1 Verpflichteten zusätzliche technische Unterstützung, Orientierungshilfen oder operative Beratung zu Abhilfemaßnahmen leisten. Das Bundesamt für Sicherheit in der Informationstechnik informiert die Bundesnetzagentur über Maßnahmen nach Satz 2."
- e)
- Der bisherige Absatz 5 wird durch den folgenden Absatz 6 ersetzt:„(6) Erforderlichenfalls unterrichtet die Bundesnetzagentur die nationalen Regulierungsbehörden der anderen Mitgliedstaaten der Europäischen Union und die Agentur der Europäischen Union für Cybersicherheit über den Sicherheitsvorfall. Ist eine Sensibilisierung der Öffentlichkeit erforderlich, um einen erheblichen Sicherheitsvorfall zu verhindern oder zu bewältigen, oder liegt die Offenlegung des erheblichen Sicherheitsvorfalls anderweitig im öffentlichen Interesse, so kann die Bundesnetzagentur nach Anhörung der nach Absatz 1 Satz 1 Verpflichteten die Öffentlichkeit unterrichten oder die nach Absatz 1 Satz 1 Verpflichteten zu dieser Unterrichtung verpflichten."
- f)
- Der bisherige Absatz 6 wird zu Absatz 7 und in Satz 2 wird die Angabe 㤠8e des BSI-Gesetzes" wird durch die Angabe 㤠42 des BSI-Gesetzes" ersetzt.
- g)
- Der bisherige Absatz 7 wird zu Absatz 8.
- 14.
- § 174 wird wie folgt geändert:
- a)
- § 174 Absatz 3 Nummer 8, Absatz 5 Nummer 8 wird jeweils die Angabe „Kritischen Infrastruktur" durch die Angabe „kritischen Anlage" ersetzt.
- b)
- In § 174 Absatz 3 Nummer 8 und Absatz 5 Nummer 8 wird jeweils die Angabe „Bereichen des § 2 Absatz 10 Satz 1 Nummer 1 des BSI-Gesetzes" durch die Angabe „Sektoren des § 2 Nummer 24 des BSI-Gesetzes" ersetzt.
- 15.
- In § 214 Absatz 3 wird die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" und die Angabe „§ 2 Absatz 10 des BSI-Gesetzes" durch die Angabe „§ 2 Nummer 22 des BSI-Gesetzes" ersetzt.
- 16.
- In § 228 Absatz 2 Nummer 39 wird die Angabe „eine Mitteilung" durch die Angabe „eine Meldung oder Mitteilung" ersetzt.
Anzeige
Zitierungen von Artikel 25 Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung
Sie sehen die Vorschriften, die auf Artikel 25 NIS2-RLUG verweisen. Die Liste ist unterteilt nach Zitaten in
NIS2-RLUG selbst,
Ermächtigungsgrundlagen,
anderen geltenden Titeln,
Änderungsvorschriften und in
aufgehobenen Titeln.
Zitate in Änderungsvorschriften
Gesetz zur Stärkung der Militärischen Sicherheit in der Bundeswehr
G. v. 09.01.2026 BGBl. 2026 I Nr. 7
Artikel 12 MADGNeuRG Änderung des Telekommunikationsgesetzes
... Telekommunikationsgesetz vom 23. Juni 2021 (BGBl. I S. 1858), das zuletzt durch Artikel 25 des Gesetzes vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301 ) geändert worden ist, wird wie folgt geändert: 1. In § 171 Satz 1 wird ...
Link zu dieser Seite: https://www.buzer.de/gesetz/17248/a334398.htm
Menü: Normalansicht
| Start
| Suchen
| Sachgebiete
| Aktuell
| Verkündet
| Web-Plugin
| Über buzer.de
| Qualität
| Kontakt
| Werbung
| Datenschutz, Impressum
informiert bleiben: Änderungsalarm | Web-Widget | RSS-Feed
informiert bleiben: Änderungsalarm | Web-Widget | RSS-Feed