: „(1) Das Bundesministerium des Innern, für Bau und Heimat berichtet dem Deutschen Bundestag unter Einbeziehung von wissenschaftlichem Sachverstand über die Wirksamkeit der in diesem Gesetz enthaltenen Maßnahmen für die Erreichung der mit diesem Gesetz verfolgten Ziele bis zum 1. Mai 2023 hinsichtlich des § 2 Absatz 10, der §§ 8a, 8b, 8d und 8e sowie § 10 Absatz 1 des BSI-Gesetzes (Artikel 1)."

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 7 Änderung der BSI-Zertifizierungs- und -Anerkennungsverordnung

Artikel 7 ändert mWv. 6. Dezember 2025 BSIZertV Eingangsformel, § 1, § 12, § 15, § 18, § 21

Die BSI-Zertifizierungs- und -Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die zuletzt durch Artikel 74 der Verordnung vom 19. Juni 2020 (BGBl. I S. 1328) geändert worden ist, wird wie folgt geändert:

1.

Die Eingangsformel wird durch die folgende Eingangsformel ersetzt:

„Auf Grund des § 56 Absatz 1 des BSI-Gesetzes vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2) verordnet das Bundesministerium des Innern nach Anhörung der betroffenen Wirtschaftsverbände im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie:".

2.

In § 1 wird die Angabe „§ 9 des BSI-Gesetzes" durch die Angabe „§ 52 des BSI-Gesetzes" ersetzt.

3.

In § 12 Absatz 1 wird die Angabe „§ 9 Absatz 4 des BSI-Gesetzes" durch die Angabe „§ 52 Absatz 4 des BSI-Gesetzes" ersetzt.

4.

In § 15 Absatz 1 und § 18 Absatz 1 wird die Angabe „§ 9 Absatz 5 des BSI-Gesetzes" durch die Angabe „§ 52 Absatz 6 des BSI-Gesetzes" und die Angabe „§ 9 Absatz 4 Nummer 2 des BSI-Gesetzes" durch die Angabe „§ 52 Absatz 4 Nummer 2 des BSI-Gesetzes" ersetzt.

5.

§ 21 wird wie folgt geändert:

a): In Absatz 1 wird die Angabe „§ 9 Absatz 6 des BSI-Gesetzes" durch die Angabe „§ 52 Absatz 7 des BSI-Gesetzes" ersetzt.
b): In Absatz 1 Nummer 2 wird die Angabe „§ 9 Absatz 6 Nummer 2 des BSI-Gesetzes" durch die Angabe „§ 52 Absatz 7 Satz 1 Nummer 2 des BSI-Gesetzes" ersetzt.
c): In Absatz 4 Satz 1 wird die Angabe „§ 9 Absatz 6 Satz 2 des BSI-Gesetzes" durch die Angabe „§ 52 Absatz 7 Satz 2 des BSI-Gesetzes" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 8 Änderung der BSI-Kritisverordnung

Artikel 8 wird in 1 Vorschrift zitiert und ändert mWv. 6. Dezember 2025 BSI-KritisV § 1, § 2, § 3, § 4, § 5, § 6, § 7, § 8 (neu), § 8, § 9, § 10, Anhang 1, Anhang 2, Anhang 3, Anhang 4, Anhang 5, Anhang 6, Anhang 7, Anhang 8, Anhang 9 (neu)

Die BSI-Kritisverordnung vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 29. November 2023 (BGBl. 2023 I Nr. 339) geändert worden ist, wird wie folgt geändert:

1.

Der Titel wird durch den folgenden Titel ersetzt:

„Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz".

2.

§ 1 Absatz 1 wird wie folgt geändert:

a): Die Nummern 2 und 3 werden gestrichen.
b): Nummer 4 wird zu Nummer 3 und die Angabe „§ 10 Absatz 1 Satz 1 des BSI-Gesetzes" wird durch die Angabe „56 Absatz 4 Satz 1 in Verbindung mit § 2 Nummer 24 des BSI-Gesetzes" ersetzt.
c): Nummer 5 wird zu Nummer 4.

3.

§ 2 wird wie folgt geändert:

a): In Absatz 1 in der Angabe vor Nummer 1 wird die Angabe „§ 10 Absatz 1 Satz 1 des BSI-Gesetzes" durch die Angabe „§ 56 Absatz 4 Satz 1 in Verbindung mit § 2 Nummer 24 des BSI-Gesetzes" ersetzt
b): In Absatz 6 in der Angabe vor Nummer 1 wird die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" ersetzt.

4.

§ 3 wird wie folgt geändert:

a): In Absatz 1 in der Angabe vor Nummer 1 wird die Angabe „§ 10 Absatz 1 Satz 1 des BSI-Gesetzes" durch die Angabe „§ 56 Absatz 4 Satz 1 in Verbindung mit § 2 Nummer 24 des BSI-Gesetzes" ersetzt.
b): In Absatz 4 in der Angabe vor Nummer 1 wird die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" ersetzt.

5.

§ 4 wird wie folgt geändert:

a): In Absatz 1 wird die Angabe „§ 10 Absatz 1 Satz 1 des BSI-Gesetzes" durch die Angabe „§ 56 Absatz 4 Satz 1 in Verbindung mit § 2 Nummer 24 des BSI-Gesetzes" ersetzt.
b): In Absatz 3 in der Angabe vor Nummer 1 wird die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" ersetzt.

6.

§ 5 wird wie folgt geändert:

a): In Absatz 1 in der Angabe vor Nummer 1 wird die Angabe „§ 10 Absatz 1 Satz 1 des BSI-Gesetzes" durch die Angabe „§ 56 Absatz 4 Satz 1 in Verbindung mit § 2 Nummer 24 des BSI-Gesetzes" ersetzt.
b): In Absatz 4 in der Angabe vor Nummer 1 wird die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" ersetzt.

7.

§ 6 wird wie folgt geändert:

a): In Absatz 1 in der Angabe vor Nummer 1 wird die Angabe „§ 10 Absatz 1 Satz 1 des BSI-Gesetzes" durch die Angabe „§ 56 Absatz 4 Satz 1 in Verbindung mit § 2 Nummer 24 des BSI-Gesetzes" ersetzt.
b): In Absatz 4 in der Angabe vor Nummer 1 wird die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" ersetzt.

8.

§ 7 wird wie folgt geändert:

a)

Die Überschrift wird durch die folgende Überschrift ersetzt:

„§ 7 Sektor Finanzwesen".

b)

Absatz 1 wird wie folgt geändert:

aa): In der Angabe vor Nummer 1 wird die Angabe „Finanz- und Versicherungswesen" durch die Angabe „Finanzwesen" und die Angabe „§ 10 Absatz 1 Satz 1 des BSI-Gesetzes" durch die Angabe „§ 56 Absatz 4 in Verbindung mit § 2 Nummer 24 des BSI-Gesetzes" ersetzt.
bb): In Nummer 4 wird die Angabe „Derivatgeschäften;" durch die Angabe „Derivatgeschäften." ersetzt.
cc): Nummer 5 wird gestrichen.

c)

Absatz 6 wird gestrichen.

d)

Absatz 7 wird zu Absatz 6 und in der Angabe vor Nummer 1 wird die Angabe „Finanz- und Versicherungswesen" durch die Angabe „Finanzwesen" und die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" ersetzt.

e)

Absatz 8 wird gestrichen.

9.

Nach § 7 wird der folgende § 8 eingefügt:

„§ 8 Sektor Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitssuchende

(1) Leistungen der Sozialversicherung werden im Bereich Inanspruchnahme von Sozialversicherungsleistungen erbracht. Leistungen der Grundsicherung für Arbeitsuchende werden im Bereich der Inanspruchnahme von Leistungen, die der Sicherung des Lebensunterhalts dienen, mithilfe von IT-Systemen der Bundesagentur für Arbeit erbracht.

(2) Im Sektor Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende sind kritische Anlagen solche Anlagen oder Teile davon, die

1.: den in Anhang 9 Teil 2 Spalte B genannten Kategorien zuzuordnen sind und
2.: den Schwellenwert nach Anhang 9 Teil 2 Spalte D erreichen oder überschreiten."

10.

Der bisherige § 8 wird zu § 9 und wird wie folgt geändert:

a): In Absatz 1 wird die Angabe „§ 10 Absatz 1 Satz 1 des BSI-Gesetzes" durch die Angabe „§ 56 Absatz 4 Satz 1 in Verbindung mit § 2 Nummer 24 des BSI-Gesetzes" ersetzt.
b): In Absatz 3 in der Angabe vor Nummer 1 wird die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" ersetzt.

11.

Der bisherige § 9 wird zu § 10 und wird wie folgt geändert:

a): In Absatz 1 wird die Angabe „§ 10 Absatz 1 Satz 1 des BSI-Gesetzes" durch die Angabe „§ 56 Absatz 4 Satz 1 in Verbindung mit § 2 Nummer 24 des BSI-Gesetzes" ersetzt.
b): In Absatz 3 in der Angabe vor Nummer 1 wird die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" ersetzt.

12.

Der bisherige § 10 wird zu § 11 und in der Angabe vor Nummer 1 wird die Angabe „§ 10 Absatz 1 Satz 1 des BSI-Gesetzes" durch die Angabe „§ 56 Absatz 4 Satz 1 in Verbindung mit § 2 Nummer 24 des BSI-Gesetzes" und die Angabe „Betreiber Kritischer Infrastrukturen" durch die Angabe „Betreiber kritischer Anlagen" ersetzt.

13.

Anhang 1 wird wie folgt geändert:

a)

In der Überschrift wird die Angabe „§ 1 Nummer 4 und 5" durch die Angabe „§ 1 Absatz 1 Nummer 2 und 3" ersetzt.

b)

Teil 1 wird wie folgt geändert:

aa)

Nummer 2.2 wird durch die folgende Nummer 2.2 ersetzt:

„2.2: Digitaler Energiedienst

Eine Anlage oder ein System, das den zentralen, standortübergreifenden Zugriff auf die Steuerung oder die unmittelbare Beeinflussung von Energieanlagen oder den zentralen, standortübergreifenden Zugriff auf die Steuerung oder die unmittelbare Beeinflussung dezentraler Anlagen zum Verbrauch elektrischer Energie oder Gas ermöglicht."

bb)

In den Nummern 3 und 7 wird jeweils die Angabe „Kritische Infrastruktur" durch die Angabe „kritische Anlage" ersetzt.

c)

In Teil 3 Nr. 1.1.2 Spalte B wird die Angabe „Anlage oder System zur Steuerung/Bündelung elektrischer Leistung" durch die Angabe „Digitaler Energiedienst" ersetzt.

14.

Anhang 2 wird wie folgt geändert:

a): In der Überschrift wird die Angabe „§ 1 Nummer 4 und 5" durch die Angabe „§ 1 Absatz 1 Nummer 2 und 3" ersetzt.
b): In Teil 1 Nummer 2 und 5 in der Angabe vor Buchstabe a wird jeweils die Angabe „Kritische Infrastruktur" durch die Angabe „kritische Anlage" ersetzt.

15.

Anhang 3 wird wie folgt geändert:

a): In der Überschrift wird die Angabe „§ 1 Nummer 4 und 5" durch die Angabe „§ 1 Absatz 1 Nummer 2 und 3" ersetzt.
b): In Teil 1 Nummer 3 und 5 in der Angabe vor Buchstabe a wird jeweils die Angabe „Kritische Infrastruktur" durch die Angabe „kritische Anlage" ersetzt.

16.

Anhang 4 wird wie folgt geändert:

a): In der Überschrift wird die Angabe „§ 1 Nummer 4 und 5" durch die Angabe „§ 1 Absatz 1 Nummer 2 und 3" ersetzt.
b): In Teil 1 Nummer 3 und 6 in der Angabe vor Buchstabe a wird jeweils die Angabe „Kritische Infrastruktur" durch die Angabe „kritische Anlage" ersetzt.

17.

Anhang 5 wird wie folgt geändert:

a): In der Überschrift wird die Angabe „§ 1 Nummer 4 und 5" durch die Angabe „§ 1 Absatz 1 Nummer 2 und 3" ersetzt.
b): In Teil 1 Nummer 2 und 4 in der Angabe vor Buchstabe a wird jeweils die Angabe „Kritische Infrastruktur" durch die Angabe „kritische Anlage" ersetzt.

18.

Anhang 6 wird wie folgt geändert:

a)

Die Überschrift wird durch die folgende Überschrift ersetzt:

„Anhang 6 (zu § 1 Absatz 1 Nummer 2 und 3, § 7 Absatz 7 Nummer 1 und 2) Anlagenkategorien und Schwellenwerte im Sektor Finanzwesen".

b)

Teil 1 wird wie folgt geändert:

aa): Die Nummern 1.23 bis 1.27 werden gestrichen.
bb): In den Nummern 2, 3 und 6 in der Angabe vor Buchstabe a wird jeweils die Angabe „Kritische Infrastruktur" durch die Angabe „kritische Anlage" ersetzt.

c)

In Teil 3 werden die Nummern 5, 5.1, 5.1.1, 5.1.2, 5.1.3, 5.1.4, 5.2, 5.2.1, 5.2.2 und 5.2.3 gestrichen.

19.

Anhang 7 wird wie folgt geändert:

a): In der Überschrift wird die Angabe „§ 1 Nummer 4 und 5" durch die Angabe „§ 1 Absatz 1 Nummer 2 und 3" ersetzt.
b): In Teil 1 Nummer 2 und 4 in der Angabe vor Buchstabe a wird jeweils die Angabe „Kritische Infrastruktur" durch die Angabe „kritische Anlage" ersetzt.

20.

Anhang 8 wird wie folgt geändert:

a): In der Überschrift wird die Angabe „§ 1 Nummer 4 und 5" durch die Angabe „§ 1 Absatz 1 Nummer 2 und 3" ersetzt.
b): In Teil 1 Nummer 2 und 4 in der Angabe vor Buchstabe a wird jeweils die Angabe „Kritische Infrastruktur" durch die Angabe „kritische Anlage" ersetzt.

21.

Nach Anhang 8 wird der folgende Anhang 9 eingefügt:

„Anhang 9 (zu § 1 Absatz 1 Nummer 2 und 3, § 8 Absatz 2 Nummer 1 und 2) Anlagenkategorien und Schwellenwerte im Sektor Leistungen der Sozialversicherung sowie Grundsicherung für Arbeitsuchende

Teil 1 Grundsätze und Fristen

1.

Im Sinne von Anhang 9 ist oder sind

1.1

Verwaltungs- und Zahlungssystem der gesetzlichen Kranken- und Pflegeversicherung

ein integriertes Anwendungssystem im Bereich der gesetzlichen Kranken- und Pflegeversicherung.

1.2

Leistungssystem

ein integriertes Anwendungssystem zur Erfassung, Prüfung und Berechnung von sozialversicherungsrechtlichen Entgeltersatzleistungen der gesetzliche Unfall- und Arbeitslosenversicherung, der gesetzlichen Rentenversicherung oder ein IT-System der Bundesagentur für Arbeit zur Erfassung, Speicherung, Berechnung und Bewilligung von Leistungen der Grundsicherung für Arbeitsuchende zur Sicherung des Lebensunterhalts nach dem Zweiten Buch Sozialgesetzbuch.

1.3

Auszahlungssystem

ein System zur Auszahlung der Entschädigung, Versicherungsleistung oder Leistungen der Sozialversicherung oder ein IT-System der Bundesagentur für Arbeit zur Auszahlung von Leistungen der Grundsicherung für Arbeitsuchende zur Sicherung des Lebensunterhaltes nach dem Zweiten Buch Sozialgesetzbuch an den Zahlungsempfänger.

2.

Eine Anlage, die einer in Teil 2 Spalte B genannten Anlagenkategorie zuzuordnen ist, gilt ab dem 1. April des Kalenderjahres, das auf das Kalenderjahr folgt, in dem ihr Versorgungsgrad den in Teil 2 Spalte D genannten Schwellenwert erstmals erreicht oder überschreitet, als kritische Anlage. Nicht mehr als kritische Anlage gilt eine solche Anlage ab dem 1. April des Kalenderjahres, das auf das Kalenderjahr folgt, in dem ihr Versorgungsgrad den genannten Schwellenwert unterschreitet.

3.

Der Betreiber hat den Versorgungsgrad seiner Anlage für das zurückliegende Kalenderjahr jeweils bis zum 31. März des Folgejahres zu ermitteln.

4.

Stehen mehrere Anlagen derselben Art in einem engen betrieblichen Zusammenhang (gemeinsame Anlage) und erreichen oder überschreiten die in Teil 2 Spalte D genannten Schwellenwerte zusammen, gilt die gemeinsame Anlage als kritische Anlage. Ein enger betrieblicher Zusammenhang ist gegeben, wenn die Anlagen

a): mit gemeinsamen Betriebseinrichtungen verbunden sind,
b): einem identischen technischen Zweck dienen und
c): unter gemeinsamer Leitung stehen.

Teil 2 Anlagenkategorien und Schwellenwerte

Spalte A	Spalte B	Spalte C	Spalte D
Nr.	Anlagenkategorie	Bemessungskriterium	Schwellenwert
1	Leistungen der Sozialversicherung sowie der Grundsicherung für Arbeitsuchende
1.1	Leistungen der Sozialversicherung sowie der Grundsicherung für Arbeitsuchende
1.1.1	Verwaltungs- und Zahlungssystem der gesetzlichen Kranken- und Pflegeversicherung	Anzahl der Versicherten	500.000
1.1.2	Leistungssystem	Leistungsfälle Sozialversicherungsträger der gesetzlichen Unfall- und Arbeitslosen- versicherung/Jahr oder	500.000
		Anzahl der Versicherungskonten des Sozialversicherungsträgers der gesetzlichen Rentenversicherung oder	500.000
		Leistungsfälle zur Sicherung des Lebens- unterhalts in der Grundsicherung für Arbeit- suchende nach dem Zweiten Buch Sozial- gesetzbuch	500.000
1.1.3	Auszahlungssystem	Leistungsfälle Sozialversicherungsträger der gesetzlichen Unfall- und Arbeitslosen- versicherung/Jahr oder	500.000
		Anzahl der Versicherungskonten des Sozialversicherungsträgers der gesetzlichen Rentenversicherung oder	500.000
		Leistungsfälle zur Sicherung des Lebens- unterhalts in der Grundsicherung für Arbeit- suchende nach dem Zweiten Buch Sozial- gesetzbuch	500.000".

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 9 Änderung der BSI-IT-Sicherheitskennzeichenverordnung

Artikel 9 wird in 1 Vorschrift zitiert und ändert mWv. 6. Dezember 2025 BSI-ITSiKV Eingangsformel, § 2, § 3, § 5, § 6, § 7, § 9, § 13, § 14

Die BSI-IT-Sicherheitskennzeichenverordnung vom 24. November 2021 (BGBl. I S. 4978), wird wie folgt geändert:

1.

Die Eingangsformel wird durch die folgende Eingangsformel ersetzt:

„Auf Grund des § 56 Absatz 2 des BSI-Gesetzes vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2) verordnet das Bundesministerium des Innern im Einvernehmen mit dem Bundesministerium für Wirtschaft und Energie und dem Bundesministerium für Umwelt, Klimaschutz, Naturschutz und nukleare Sicherheit:".

2.

In § 2 Nummer 4 wird die Angabe „§ 9c Absatz 3 Satz 1 des BSI-Gesetzes" durch die Angabe „§ 55 Absatz 3 Satz 1 des BSI-Gesetzes" ersetzt.

3.

In § 3 Absatz 1 Satz 1 wird die Angabe „§ 9c Absatz 2 des BSI-Gesetzes" durch die Angabe „§ 55 Absatz 2 des BSI-Gesetzes" ersetzt.

4.

In § 5 wird wie folgt geändert:

a): In Absatz 4 wird die Angabe „§ 9c Absatz 5 BSIG" durch die Angabe „§ 55 Absatz 5 des BSI-Gesetzes" ersetzt.
b): In Absatz 5 Satz 1 Nummer 2 wird die Angabe „§§ 7 oder 7a des BSI-Gesetzes" durch die Angabe „§ 13 oder 14 des BSI-Gesetzes" und die Angabe „§ 9c Absatz 8 des BSI-Gesetzes" durch die Angabe „§ 55 Absatz 8 des BSI-Gesetzes" ersetzt.

5.

In § 6 Absatz 1 wird die Angabe „§ 9 des BSI-Gesetzes" durch die Angabe „§ 52 des BSI-Gesetzes" ersetzt.

6.

In § 7 Absatz 3 und § 9 Absatz 1 Satz 1 wird jeweils die Angabe „§ 9c des BSI-Gesetzes" durch die Angabe „§ 55 des BSI-Gesetzes" ersetzt.

7.

§ 13 wird wie folgt geändert:

a): In Satz 1 wird die Angabe „§ 9c Absatz 2 des BSI-Gesetzes" durch die Angabe „§ 55 Absatz 2 des BSI-Gesetzes" ersetzt.
b): In Satz 2 wird die Angabe „§§ 7 oder 7a des BSI-Gesetzes" durch die Angabe „§ 13 oder 14 des BSI-Gesetzes" ersetzt.

8.

In § 14 in der Angabe vor Nummer 1 wird die Angabe „§ 10 Absatz 3 Satz 1 des BSI-Gesetzes" durch die Angabe „§ 56 Absatz 2 des BSI-Gesetzes" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 10 Änderung des De-Mail-Gesetzes

Artikel 10 ändert mWv. 6. Dezember 2025 DeMailG § 18

Das De-Mail-Gesetz vom 28. April 2011 (BGBl. I S. 666), das zuletzt durch Artikel 10 des Gesetzes vom 6. Mai 2024 (BGBl. 2024 I Nr. 149) geändert worden ist, wird wie folgt geändert:

In § 18 Absatz 3 Nummer 3 wird die Angabe „§ 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik" durch die Angabe „§ 52 Absatz 2 Satz 1 des BSI-Gesetzes" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 11 Änderung des E-Government-Gesetzes

Artikel 11 ändert mWv. 6. Dezember 2025 EGovG § 10

Das E-Government-Gesetz vom 25. Juli 2013 (BGBl. I S. 2749; 2015 I S. 678), das zuletzt durch Artikel 2 des Gesetzes vom 19. Juli 2024 (BGBl. 2024 I Nr. 245) geändert worden ist, wird wie folgt geändert:

In § 10 wird Satz 2 gestrichen.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 12 Änderung der Passdatenerfassungs- und Übermittlungsverordnung

Artikel 12 ändert mWv. 6. Dezember 2025 PassDEÜV § 4

Die Passdatenerfassungs- und Übermittlungsverordnung vom 9. Oktober 2007 (BGBl. I S. 2312), die zuletzt durch Artikel 4 der Verordnung vom 30. Oktober 2023 (BGBl. 2023 I Nr. 290) geändert worden ist, wird wie folgt geändert:

In § 4 Absatz 2 wird die Angabe „§ 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821)" durch die Angabe „§ 52 des BSI-Gesetzes vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2)" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 13 Änderung der Personalausweisverordnung

Artikel 13 ändert mWv. 6. Dezember 2025 PAuswV § 3

Die Personalausweisverordnung vom 1. November 2010 (BGBl. I S. 1460), die zuletzt durch Artikel 3 der Verordnung vom 29. Oktober 2025 (BGBl. 2025 I Nr. 260) geändert worden ist, wird wie folgt geändert:

In § 3 Absatz 2 wird die Angabe „§ 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist," durch die Angabe „§ 52 des BSI-Gesetzes vom 2. Dezember 2025 (BGBl. 2025 I Nr. 301, S. 2)" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 14 Änderung des Hinweisgeberschutzgesetzes

Artikel 14 ändert mWv. 6. Dezember 2025 HinSchG § 2

Das Hinweisgeberschutzgesetz vom 31. Mai 2023 (BGBl. 2023 I Nr. 140), das durch Artikel 16 des Gesetzes vom 27. Dezember 2024 (BGBl. 2024 I Nr. 438) geändert worden ist, wird wie folgt geändert:

In § 2 Absatz 1 Nummer 3 Buchstabe q wird die Angabe „§ 2 Absatz 2 des BSI-Gesetzes" durch die Angabe „§ 2 Nummer 39 des BSI-Gesetzes" und die Angabe „Anbietern digitaler Dienste im Sinne des § 2 Absatz 12 des BSI-Gesetzes" durch die Angabe „besonders wichtigen Einrichtungen nach § 28 Absatz 1 des BSI-Gesetzes und wichtigen Einrichtungen nach § 28 Absatz 2 des BSI-Gesetzes, soweit diese den Einrichtungsarten nach Anhang 1 Nummer 6.1.4. oder Anhang 2 Nummern 6.1.1. oder 6.1.2 des BSI-Gesetzes zuzuordnen sind" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 15 Änderung der Kassensicherungsverordnung

Artikel 15 ändert mWv. 6. Dezember 2025 KassenSichV § 11

Die Kassensicherungsverordnung vom 26. September 2017 (BGBl. I S. 3515), die zuletzt durch Artikel 2 der Verordnung vom 30. Juli 2021 (BGBl. I S. 3295) geändert worden ist, wird wie folgt geändert:

In § 11 Absatz 1 Satz 1 wird die Angabe „§ 9 des BSI-Gesetzes" durch die Angabe „§ 52 des BSI-Gesetzes" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 16 Änderung des Atomgesetzes

Artikel 16 ändert mWv. 6. Dezember 2025 AtG § 44b

Das Atomgesetz in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 1 des Gesetzes vom 4. Dezember 2022 (BGBl. I S. 2153) geändert worden ist, wird wie folgt geändert:

In § 44b Satz 2 wird die Angabe „§ 8b Absatz 1, 2 Nummer 1 bis 3, Nummer 4 Buchstabe a bis c und Absatz 7 des BSI-Gesetzes" durch die Angabe „§ 40 Absatz 1, 3 Nummer 1, 2, 3, 4 Buchstabe a, d und Absatz 6 des BSI-Gesetzes" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 17 Änderung des Energiewirtschaftsgesetzes

Artikel 17 ändert mWv. 6. Dezember 2025 EnWG § 5c (neu), § 5d (neu), § 5e (neu), § 11, § 59, § 91, § 95

Das Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 1 des Gesetzes vom 25. November 2025 (BGBl. 2025 I Nr. 283) geändert worden ist, wird wie folgt geändert:

1.

In der Inhaltsübersicht wird nach der Angabe zu § 5b die folgende Angabe eingefügt:

„§ 5c IT-Sicherheit im Anlagen- und Netzbetrieb, Festlegungskompetenz

§ 5d Dokumentations-, Melde-, Registrierungspflicht

§ 5e Umsetzungs-, Überwachungs-, und Schulungspflicht für Geschäftsleitungen".

2.

Nach § 5b werden die folgenden §§ 5c bis 5e eingefügt:

„§ 5c IT-Sicherheit im Anlagen- und im Netzbetrieb, Festlegungskompetenz

(1) Die folgenden Betreiber haben für die genannten Systeme einen angemessenen Schutz gegen Bedrohungen zu gewährleisten:

1.: der Betreiber eines Energieversorgungsnetzes für Telekommunikationssysteme und für elektronische Datenverarbeitungssysteme, die für den sicheren Betrieb des Energieversorgungsnetzes notwendig sind,
2.: der Betreiber einer Energieanlage, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 des BSI-Gesetzes ist und dessen Energieanlage an ein Energieversorgungsnetz angeschlossen ist, für Telekommunikationssysteme sowie für elektronische Datenverarbeitungssysteme, die für einen sicheren Betrieb der Energieanlage notwendig sind,
3.: der Betreiber eines digitalen Energiedienstes, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 des BSI-Gesetzes ist und der den digitalen Energiedienst an einer Energieanlage ausübt, die an ein Energieversorgungsnetz angeschlossen ist, für Telekommunikationssysteme sowie für elektronische Datenverarbeitungssysteme, die für einen sicheren Betrieb der Anlage notwendig sind.

Der angemessene Schutz nach Satz 1 ist bereits bei der Beschaffung von Anlagengütern und Dienstleistungen sicherzustellen.

(2) Die Anforderungen an den angemessenen Schutz werden von der Bundesnetzagentur im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik in einem Katalog von Sicherheitsanforderungen (IT-Sicherheitskatalog) durch Festlegung nach § 29 Absatz 1 bestimmt. Die Bundesnetzagentur kann die Anforderungen an einen angemessenen Schutz eines Energieversorgungsnetzes, einer Energieanlage oder eines Energiedienstes auch jeweils in einem gesonderten IT-Sicherheitskatalog durch Festlegung nach § 29 Absatz 1 bestimmen. Die Bundesnetzagentur beteiligt jeweils die Betreiber nach Absatz 1 Satz 1 Nummer 1 bis 3 und deren Branchenverbände entsprechend ihrer Betroffenheit. Für Telekommunikationssysteme sowie für elektronische Datenverarbeitungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes sind ergänzend für die Erarbeitung des IT-Sicherheitskatalogs die für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder zu beteiligen. Vorgaben auf Grund des Atomgesetzes haben Vorrang vor den Anforderungen des IT-Sicherheitskatalogs. Die Bundesnetzagentur überprüft den IT-Sicherheitskatalog alle zwei Jahre und aktualisiert ihn bei Bedarf. Mit der Einhaltung des IT-Sicherheitskatalogs durch den Betreiber nach Absatz 1 Satz 1 Nummer 1 bis 3 gilt der angemessene Schutz als eingehalten.

(3) Der IT-Sicherheitskatalog soll ein Sicherheitsniveau der informationstechnischen Systeme, Komponenten und Prozesse gewährleisten, das dem bestehenden Risiko angemessen ist. Der IT-Sicherheitskatalog soll unter Berücksichtigung der einschlägigen europäischen Normen oder internationalen Normen, der Einhaltung des Standes der Technik sowie der Umsetzungskosten erstellt werden. Zur Wahrung der Angemessenheit der Anforderungen des jeweiligen IT-Sicherheitskatalogs sind bei der Erstellung folgende Faktoren zu berücksichtigen:

1.: das Ausmaß der Risikoexposition,
2.: die Größe des Betreibers,
3.: die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie
4.: die gesellschaftlichen und wirtschaftlichen Auswirkungen.

(4) Der IT-Sicherheitskatalog hat mindestens Vorgaben zu enthalten für:

1.: Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationstechnik,
2.: die Bewältigung von Sicherheitsvorfällen,
3.: die Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und das Krisenmanagement,
4.: die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
5.: Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,
6.: Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit der Informationstechnik,
7.: grundlegende Verfahren im Bereich der Cyberhygiene und für Schulungen im Bereich der Sicherheit der Informationstechnik,
8.: Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
9.: die Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen,
10.: die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung,
11.: den Einsatz von Systemen zur Angriffserkennung nach § 2 Nummer 41 des BSI-Gesetzes,
12.: den Einsatz eines Elements oder einer Gruppe von Elementen eines Netz- oder Informationssystems (IKT-Produkt), eines Dienstes, der vollständig oder überwiegend aus der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht (IKT-Dienst), und jeglicher Tätigkeiten, mit denen ein IKT-Produkt oder ein IKT-Dienst konzipiert, entwickelt, bereitgestellt oder gepflegt werden soll (IKT-Prozess), mit Cybersicherheitszertifizierung gemäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881.

(5) Die Bundesnetzagentur kann in dem IT-Sicherheitskatalog

1.: nähere Bestimmungen treffen zu Format, Inhalt und Gestaltung der nach § 5d Absatz 1 Satz 1 erforderlichen Dokumentation über die Einhaltung der Anforderungen des IT-Sicherheitskatalogs,
2.: nähere Bestimmungen zur Behebung von Sicherheitsmängeln sowie
3.: Regelungen festlegen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen.

(6) Die Bundesnetzagentur legt bis zum Ablauf des 6. Januar 2026 im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Festlegung nach § 29 Absatz 1 in einem Katalog für den Betrieb von Energieversorgungsnetzen und Energieanlagen fest,

1.: welche Komponenten kritische Komponenten nach § 2 Nummer 23 Buchstabe c Doppelbuchstabe aa des BSI-Gesetzes sind oder
2.: welche Funktionen kritisch bestimmte Funktionen nach § 2 Nummer 23 Buchstabe c Doppelbuchstabe bb des BSI-Gesetzes sind.

Der Betreiber nach Absatz 1 Satz 1 Nummer 1 und 2, der zugleich eine kritische Anlage nach § 2 Nummer 22 des BSI-Gesetzes betreibt, hat die Vorgaben des Katalogs spätestens sechs Monate nach dessen in der Festlegung nach § 29 Absatz 1 bestimmten Inkrafttretens zu erfüllen, es sei denn, in dem Katalog ist eine davon abweichende Umsetzungsfrist festgelegt worden. Die Befugnis der Bundesnetzagentur nach Satz 1 besteht bis zum Erlass einer Rechtsverordnung nach § 56 Absatz 7 des BSI-Gesetzes für den Sektor Energie fort. Eine von der Bundesnetzagentur auf der Grundlage von Satz 1 oder auf der Grundlage von § 11 Absatz 1a Satz 2 des Energiewirtschaftsgesetzes in der am 5. Dezember 2025 geltenden Fassung erlassene Allgemeinverfügung ist mit dem Inkrafttreten einer Rechtsverordnung nach § 56 Absatz 7 des BSI-Gesetzes für Energieversorgungsnetze und Energieanlagen aufzuheben.

§ 5d Dokumentations-, Melde-, Registrierungspflicht

(1) Der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 hat die Einhaltung der Anforderungen des IT-Sicherheitskatalogs zu dokumentieren. Der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 und der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 2 und 3, der jeweils eine besonders wichtige Einrichtung nach § 28 Absatz 1 des BSI-Gesetzes ist, hat die Dokumentation nach Satz 1 der Bundesnetzagentur unverzüglich nach der Erstellung zu übermitteln. Auf Verlangen der Bundesnetzagentur hat der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 einen Mängelbeseitigungsplan vorzulegen. Ergeben sich aus dem Mängelbeseitigungsplan Sicherheitsmängel, so kann die Bundesnetzagentur von dem Betreiber die Beseitigung dieser Mängel innerhalb einer gesetzten Frist verlangen. Der Betreiber hat der Bundesnetzagentur und den in deren Auftrag handelnden Personen zum Zweck der Überprüfung der Einhaltung des IT-Sicherheitskatalogs das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen. Er hat Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt die Bundesnetzagentur nur dann Gebühren und Auslagen, wenn die Bundesnetzagentur auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen des IT-Sicherheitskatalogs begründen.

(2) Erlangt die Bundesnetzagentur Kenntnis über Hinweise oder Informationen, wonach ein Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 die Anforderungen des IT-Sicherheitskatalogs nicht oder nicht richtig umsetzt, so kann sie von dem Betreiber Informationen anfordern, um die Einhaltung des IT-Sicherheitskatalogs zu überprüfen. Absatz 1 Satz 3 bis 7 ist entsprechend anzuwenden.

(3) Der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 ist verpflichtet, der Meldestelle nach § 32 des BSI-Gesetzes folgende Informationen zu melden:

1.

unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall nach § 2 Nummer 11 des BSI-Gesetzes: eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf eine rechtswidrige oder eine böswillige Handlung zurückzuführen ist oder dass er grenzüberschreitende Auswirkungen haben könnte,

2.

unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall nach § 2 Nummer 11 des BSI-Gesetzes: eine Meldung über den erheblichen Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und in der eine erste Bewertung des erheblichen Sicherheitsvorfalls vorgenommen wird, einschließlich der Bewertung seines Schweregrads und seiner Auswirkungen und einschließlich der Angabe der Kompromittierungsfaktoren,

3.

auf Ersuchen des Bundesamtes für Sicherheit in der Informationstechnik eine Zwischenmeldung über relevante Statusaktualisierungen,

4.

spätestens einen Monat nach Übermittlung der Meldung des erheblichen Sicherheitsvorfalls nach § 2 Nummer 11 des BSI-Gesetzes eine Abschlussmeldung, die Folgendes enthält:

a): eine ausführliche Beschreibung des erheblichen Sicherheitsvorfalls nach § 2 Nummer 11 des BSI-Gesetzes, einschließlich seines Schweregrads und seiner Auswirkungen,
b): Angaben zur Art der Bedrohung beziehungsweise zur Ursache, die wahrscheinlich den erheblichen Sicherheitsvorfall nach § 2 Nummer 11 des BSI-Gesetzes ausgelöst hat,
c): Angaben zu den getroffenen und den laufenden Abhilfemaßnahmen zur Abwendung oder Behebung des erheblichen Sicherheitsvorfalls,
d): gegebenenfalls die grenzüberschreitenden Auswirkungen des erheblichen Sicherheitsvorfalls nach § 2 Nummer 11 des BSI-Gesetzes.

§ 32 Absatz 2 bis 5 und § 36 des BSI-Gesetzes sind entsprechend anzuwenden. Bei Meldungen nach diesem Absatz trifft das Bundesamt für Sicherheit in der Informationstechnik Maßnahmen nach § 36 des BSI-Gesetzes im Benehmen mit der Bundesnetzagentur.

(4) Der Betreiber eines Energieversorgungsnetzes, der keine besonders wichtige Einrichtung nach § 28 Absatz 1 des BSI-Gesetzes oder keine wichtige Einrichtung nach § 28 Absatz 2 des BSI-Gesetzes ist, ist verpflichtet, spätestens bis zum Ablauf des 6. März 2026 dem Bundesamt für Sicherheit in der Informationstechnik die Angaben nach § 33 Absatz 1 Nummer 1 bis 4 des BSI-Gesetzes zur Registrierung zu übermitteln. § 33 Absatz 2 bis 5 des BSI-Gesetzes ist für den in Satz 1 genannten Betreiber entsprechend anzuwenden mit der Maßgabe, dass das Bundesamt für Sicherheit in der Informationstechnik die Registrierung auch selbst vornehmen und eine Kontaktstelle benennen kann, wenn der Betreiber seine Pflicht zur Registrierung nicht erfüllt. Nimmt das Bundesamt für Sicherheit in der Informationstechnik eine solche Registrierung selbst vor, so informiert es sowohl den betreffenden Betreiber als auch die Bundesnetzagentur darüber und übermittelt die damit verbundenen Kontaktdaten. Jeder Betreiber hat sicherzustellen, dass er über die von ihm benannte oder durch die durch das Bundesamt für Sicherheit in der Informationstechnik festgelegte Kontaktstelle jederzeit erreichbar ist. Für den Betreiber eines Energieversorgungsnetzes, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 des BSI-Gesetzes ist und für Betreiber nach § 5c Absatz 1 Satz 1 Nummer 2 und 3 ist § 33 des BSI-Gesetzes auch mit den in den Sätzen 2 bis 4 enthaltenen Maßgaben anzuwenden. Das Bundesamt für Sicherheit in der Informationstechnik übermittelt die durch die Registrierung der Betreiber nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 erhaltenen Daten sowie jede Änderung der Registrierungen unverzüglich an die Bundesnetzagentur. Die Übermittlung von Informationen durch das Bundesamt für Sicherheit in der Informationstechnik nach § 40 Absatz 3 Nummer 4 Buchstabe a des BSI-Gesetzes erfolgt an diese Kontaktstelle.

(5) Das Bundesamt für Sicherheit in der Informationstechnik hat die Hinweise oder Informationen nach Absatz 2 und solche Meldungen über Sicherheitsvorfälle nach § 32 des BSI-Gesetzes, bei denen das Bundesamt für Sicherheit in der Informationstechnik Kenntnis von einer Relevanz für die Energieversorgungssicherheit und die Erfüllung der Zwecke und Ziele nach § 1 erlangt, unverzüglich an die Bundesnetzagentur weiterzuleiten. Die Bundesnetzagentur führt unverzüglich eine Bewertung der Auswirkungen des nach Satz 1 übermittelten Sicherheitsvorfalls auf die Energieversorgungssicherheit durch und übermittelt ihre Ergebnisse an das Bundesamt für Sicherheit in der Informationstechnik. Die Bundesnetzagentur kann von dem betroffenen Unternehmen die Herausgabe der zur Bewertung der Auswirkungen des Sicherheitsvorfalls auf die Energieversorgungssicherheit notwendigen Informationen, einschließlich personenbezogener Daten, verlangen. Sie ist befugt, zur Bewertung der Auswirkungen des Sicherheitsvorfalls auf die Energieversorgungssicherheit erforderliche personenbezogene Daten zu erheben, zu speichern und zu verwenden. Das betroffene Unternehmen hat der Bundesnetzagentur die zur Bewertung der Auswirkungen des Sicherheitsvorfalls auf die Energieversorgungssicherheit notwendigen Informationen, einschließlich personenbezogener Daten, zu übermitteln. Die Bundesnetzagentur kann bei der Durchführung der Bewertung nach Satz 2 die Betreiber von Übertragungs-, von Fernleitungs- sowie von Verteilernetzen einbeziehen und ist befugt, ihnen die hierzu erforderlichen personenbezogenen Daten zu übermitteln. Die Betreiber von Übertragungs-, von Fernleitungs- sowie von Verteilernetzen sind befugt, die ihnen nach Satz 5 zum dort genannten Zweck übermittelten personenbezogenen Daten zu erheben, zu speichern und zu verwenden. Nach Erstellung der Bewertung sind die hierzu gespeicherten und verwendeten personenbezogenen Daten von der Bundesnetzagentur und den Betreibern von Übertragungs-, von Fernleitungs- sowie von Verteilernetzen unverzüglich zu löschen. Das Bundesamt für Sicherheit in der Informationstechnik berücksichtigt die Bewertung der Bundesnetzagentur bei der Erfüllung der Aufgaben nach § 40 Absatz 3 Nummer 2 des BSI-Gesetzes. Das Bundesamt für Sicherheit in der Informationstechnik und die Bundesnetzagentur haben jeweils sicherzustellen, dass die unbefugte Offenbarung der ihnen nach Satz 1 zur Kenntnis gelangten Hinweise und Meldungen ausgeschlossen wird. Zugang zu den Akten des Bundesamtes für Sicherheit in der Informationstechnik sowie zu den Akten der Bundesnetzagentur in Angelegenheiten nach § 5c Absatz 1 bis 5 und den Absätzen 1 bis 4 sowie dieses Absatzes wird nicht gewährt. § 29 des Verwaltungsverfahrensgesetzes bleibt unberührt.

§ 5e Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen

(1) Die Geschäftsleitung eines Betreibers nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 ist verpflichtet, die Anforderungen des IT-Sicherheitskatalogs umzusetzen und die Umsetzung zu überwachen.

(2) Eine Geschäftsleitung eines Betreibers nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3, die ihre Pflichten nach Absatz 1 verletzt, haftet ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach Satz 1 enthalten.

(3) Die Geschäftsleitung eines Betreibers nach § 5c Absatz 1 Satz 1 Nummer 1 bis 3 muss regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können."

3.

§ 11 Absatz 1a bis 1g wird gestrichen.

4.

§ 59 Absatz 1 Satz 1 Nummer 1a wird durch folgende Nummer 1a ersetzt:

„1a.: die Festlegungen nach § 5c Absatz 2 und 6,".

5.

In § 91 Absatz 1 Satz 1 Nummer 4 wird nach der Angabe „Amtshandlungen auf Grund der §§" die Angabe „5c Absatz 3 bis 5, der §§" eingefügt.

6.

§ 95 wird wie folgt geändert:

a)

Absatz 1 wird wie folgt geändert:

aa)

Die Nummern 2a und 2b werden gestrichen.

bb)

Nach Nummer 3a werden die folgenden Nummern 3b bis 3e eingefügt:

„3b.: entgegen § 5c Absatz 1 Satz 1 einen dort genannten Schutz nicht gewährleistet,
3c.: entgegen § 5d Absatz 1 Satz 1 die Einhaltung der Anforderungen des IT-Sicherheitskatalogs nicht, nicht richtig oder nicht vollständig dokumentiert,
3d.: entgegen § 5d Absatz 1 Satz 2 eine Dokumentation nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,
3e.: entgegen § 5d Absatz 3 Satz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,".

cc)

Die bisherigen Nummern 3b bis 3d werden zu den Nummern 3f bis 3h.

dd)

Die bisherigen Nummern 3f bis 3i werden zu den Nummern 3i bis 3l.

b)

Absatz 2 wird durch die folgenden Absätze 2 bis 8 ersetzt:

„(2) Die Ordnungswidrigkeit kann geahndet werden:

1.

in den Fällen des Absatzes 1 Nummer 3b bis 3e

a): bei besonders wichtigen Einrichtungen nach § 28 Absatz 1 Satz 1 des BSI-Gesetzes mit einer Geldbuße bis zu zehn Millionen Euro und
b): bei wichtigen Einrichtungen nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes mit einer Geldbuße bis zu sieben Millionen Euro,

2.

in den Fällen des Absatzes 1 Nummer 3i bis 3l mit einer Geldbuße bis zu fünf Millionen Euro,

3.

in den Fällen des Absatzes 1 Nummer 1a, 1d, 3 Buchstabe b, Nummer 4 und 5 Buchstabe b, des Absätze 1b und 1c Nummer 2 und 6 mit einer Geldbuße bis zu einer Million Euro,

4.

in den Fällen des Absatzes 1 Nummer 5 Buchstabe f mit einer Geldbuße bis zu dreihunderttausend Euro,

5.

in den Fällen des Absatzes 1 Nummer 1, 1b, 1c, 2a, 2b, 3 Buchstabe a, Nummer 3a, 3f bis 3h, 4a bis 4c und 5 Buchstabe c und des Absatzes 1a Nummer 1, des Absatzes 1c Nummer 1, 3 bis 5 und 9 und der Absätze 1d und 1e mit einer Geldbuße bis zu hunderttausend Euro,

6.

in den Fällen des Absatzes 1 Nummer 2 und 5 Buchstabe e mit einer Geldbuße bis zu fünfzigtausend Euro und

7.

in den Fällen des Absatzes 1 Nummer 5 Buchstabe a, des Absatzes 1a Nummer 2 und des Absatzes 1c Nummer 7 und 8 mit einer Geldbuße bis zu zehntausend Euro.

(3) Gegenüber einer besonders wichtigen Einrichtung im Sinne des § 28 Absatz 1 Satz 1 des BSI-Gesetzes mit einem Gesamtumsatz von mehr als 500 Millionen Euro kann abweichend von Absatz 2 Nummer 1 Buchstabe a, auch in Verbindung mit § 30 Absatz 2 Satz 2 des Gesetzes über Ordnungswidrigkeiten, eine Ordnungswidrigkeit in den Fällen des Absatzes 1 Nummer 3b bis 3e mit einer Geldbuße bis zu 2 Prozent des Gesamtumsatzes geahndet werden.

(4) Gegenüber einer wichtigen Einrichtung im Sinne des § 28 Absatz 2 Satz 1 des BSI-Gesetzes mit einem Gesamtumsatz von mehr als 500 Millionen Euro kann abweichend von Absatz 2 Nummer 1 Buchstabe b, auch in Verbindung mit § 30 Absatz 2 Satz 2 des Gesetzes über Ordnungswidrigkeiten, eine Ordnungswidrigkeit in den Fällen des Absatzes 1 Nummer 3b bis 3e mit einer Geldbuße bis zu 1,4 Prozent des Gesamtumsatzes geahndet werden.

(5) Gegenüber einem Transportnetzbetreiber oder einem vertikal integrierten Unternehmen mit einem Gesamtumsatz von mehr als zehn Millionen Euro kann abweichend von Absatz 2 Nummer 3, auch in Verbindung mit § 30 Absatz 2 Satz 2 des Gesetzes über Ordnungswidrigkeiten, eine Ordnungswidrigkeit in den Fällen des Absatzes 1 Nummer 3 Buchstabe b mit einer Geldbuße von bis zu 10 Prozent des Gesamtumsatzes geahndet werden.

(6) Gegenüber einem Transportnetzbetreiber oder einem vertikal integrierten Unternehmen mit einem Gesamtumsatz von mehr als 1 Million Euro kann abweichend von Absatz 2 Nummer 5, auch in Verbindung mit § 30 Absatz 2 Satz 2 des Gesetzes über Ordnungswidrigkeiten, eine Ordnungswidrigkeit in den Fällen des Absatzes 1e mit einer Geldbuße von bis zu 10 Prozent des Gesamtumsatzes abzüglich der Umlagen nach § 12 des Energiefinanzierungsgesetzes geahndet werden.

(7) Gesamtumsatz im Sinne der Absätze 3 bis 6 ist die Summe aller Umsatzerlöse, die das Unternehmen, dem die besonders wichtige Einrichtung oder die wichtige Einrichtung angehört, der Transportnetzbetreiber oder das vertikal integrierte Unternehmen in dem der Behördenentscheidung vorausgegangenen Geschäftsjahr weltweit erzielt hat. Der Gesamtumsatz kann geschätzt werden.

(8) § 17 Absatz 2 des Gesetzes über Ordnungswidrigkeiten ist in den Fällen des Absatzes 2 Nummer 1 und der Absätze 3 und 4 nicht anzuwenden."

c)

Die bisherigen Absätze 3 und 4 werden zu den Absätzen 9 und 10.

d)

Der bisherige Absatz 5 wird zu Absatz 11 und die Angabe „Nummer 2b" wird durch die Angabe „Nummer 3e" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 18 Änderung des Messstellenbetriebsgesetzes

Artikel 18 ändert mWv. 6. Dezember 2025 MsbG § 24

Das Messstellenbetriebsgesetz vom 29. August 2016 (BGBl. I S. 2034), das zuletzt durch Artikel 2 des Gesetzes vom 21. Februar 2025 (BGBl. 2025 I Nr. 51) geändert worden ist, wird wie folgt geändert:

In § 24 Absatz 2 wird die Angabe „§ 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821)" durch die Angabe „§ 52 des BSI-Gesetzes vom 2. Dezember 2025 (BGBl. I 2025 Nr. 301, S. 2) in der jeweils geltenden Fassung" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 19 Änderung des Energiesicherungsgesetzes

Artikel 19 ändert mWv. 6. Dezember 2025 EnSiG § 10, § 17, § 18, § 29

Das Energiesicherungsgesetz vom 20. Dezember 1974 (BGBl. I S. 3681), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2023 (BGBl. 2023 I Nr. 167) geändert worden ist, wird wie folgt geändert:

1.: Nach § 10 Absatz 1 Satz 3 wird der folgende Satz eingefügt:

„Soweit Daten im Sinne des Satzes 3 für Maßnahmen nach § 1 der Gassicherungsverordnung vom 26. April 1982 (BGBl. I S. 517), die zuletzt durch Artikel 1 der Verordnung vom 31. März 2023 (BGBl. 2023 I Nr. 94) geändert worden ist, und für Solidaritätsmaßnahmen nach § 2a von der Bundesnetzagentur erlangt werden, übermittelt diese die Daten auf deren Ersuchen und soweit dies für die Erfüllung von deren Aufgaben erforderlich ist, an die Bundesanstalt für Finanzdienstleistungsaufsicht."
2.: In § 17 Absatz 1, § 18 Absatz 2 Satz 1 Nummer 1 und § 29 Absatz 1 Satz 1 wird jeweils die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" und jeweils die Angabe „§ 2 Absatz 10 des BSI-Gesetzes" durch die Angabe „§ 2 Nummer 22 des BSI-Gesetzes" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 20 Änderung des Wärmeplanungsgesetzes

Artikel 20 ändert mWv. 6. Dezember 2025 WPG § 11

Das Wärmeplanungsgesetz vom 20. Dezember 2023 (BGBl. 2023 I Nr. 394) wird wie folgt geändert:

In § 11 Absatz 4 Satz 1 wird die Angabe „Kritischen Infrastrukturen" durch die Angabe „kritischen Anlagen" und die Angabe „§ 2 Absatz 10 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist" durch die Angabe „§ 2 Nummer 22 des BSI-Gesetzes vom 2. Dezember 2025 (BGBl. I 2025 Nr. 301, S. 2) in der jeweils geltenden Fassung" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 21 Änderung des Fünften Buches Sozialgesetzbuch

Artikel 21 ändert mWv. 6. Dezember 2025 SGB V § 391, § 392

Das Fünfte Buch Sozialgesetzbuch - Gesetzliche Krankenversicherung - (Artikel 1 des Gesetzes vom 20. Dezember 1988, BGBl. I S. 2477, 2482), das zuletzt durch Artikel 9 des Gesetzes vom 30. September 2025 (BGBl. 2025 I Nr. 231) geändert worden ist, wird wie folgt geändert:

1.

§ 391 wird wie folgt geändert:

a): In Absatz 4 wird die Angabe „§ 8a Absatz 2 des BSI-Gesetzes" durch die Angabe „§ 30 Absatz 8 des BSI-Gesetzes" ersetzt.
b): In Absatz 5 wird die Angabe „Kritischer Infrastrukturen" durch die Angabe „kritischer Anlagen" und die Angabe „§ 8a des BSI-Gesetzes" durch die Angabe „den §§ 30, 31 und 39 des BSI-Gesetzes" ersetzt.

2.

§ 392 wird wie folgt geändert:

a): In Absatz 3 wird die Angabe „§ 8a Absatz 2 des BSI-Gesetzes" durch die Angabe „§ 30 Absatz 8 des BSI-Gesetzes" ersetzt.
b): In Absatz 5 wird die Angabe „Kritischer Infrastrukturen" durch die Angabe „kritischer Anlagen" und die Angabe „§ 8a des BSI-Gesetzes" durch die Angabe „den §§ 30, 31 und 39 des BSI-Gesetzes" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 22 Änderung der Digitale Gesundheitsanwendungen-Verordnung

Artikel 22 ändert mWv. 6. Dezember 2025 DiGAV Anlage 1

Die Digitale Gesundheitsanwendungen-Verordnung vom 8. April 2020 (BGBl. I S. 768), die zuletzt durch Artikel 4 des Gesetzes vom 22. März 2024 (BGBl. 2024 I Nr. 101) geändert worden ist, wird wie folgt geändert:

In Anlage 1 wird in dem Abschnitt „Datensicherheit", Unterabschnitt „Basisanforderungen, die für alle digitalen Gesundheitsanwendungen gelten" in Nummer 5 in der Spalte „Anforderung" die Angabe „§ 8 Absatz 1 Satz 1 des BSI-Gesetzes" durch die Angabe „§ 44 Absatz 1 Satz 1 des BSI-Gesetzes" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 23 Änderung der Verordnung zum Barrierefreiheitsstärkungsgesetz

Artikel 23 ändert mWv. 6. Dezember 2025 BFSGV § 2

Die Verordnung zum Barrierefreiheitsstärkungsgesetz vom 15. Juni 2022 (BGBl. I S. 928) wird wie folgt geändert:

In § 2 Nummer 3 wird die Angabe „§ 2 Absatz 2 Satz 4 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist" durch die Angabe „§ 2 Nummer 39 des BSI-Gesetzes vom 2. Dezember 2025 (BGBl. I 2025 Nr. 301, S. 2)" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 24 Änderung des Elften Buches Sozialgesetzbuch

Artikel 24 ändert mWv. 6. Dezember 2025 SGB XI § 103a

Das Elfte Buch Sozialgesetzbuch - Soziale Pflegeversicherung - (Artikel 1 des Gesetzes vom 26. Mai 1994, BGBl. I S. 1014, 1015), das zuletzt durch Artikel 4 des Gesetzes vom 30. Mai 2024 (BGBl. 2024 I Nr. 173) geändert worden ist, wird wie folgt geändert:

§ 103a wird wie folgt geändert:

1.: In Absatz 3 wird die Angabe „§ 8a Absatz 2 des BSI-Gesetzes" durch die Angabe „§ 30 Absatz 8 des BSI-Gesetzes" ersetzt.
2.: In Absatz 5 wird die Angabe „Kritischer Infrastrukturen" durch die Angabe „kritischer Anlagen" und die Angabe „§ 8a des BSI-Gesetzes" durch die Angabe „den §§ 30, 31 und 39 des BSI-Gesetzes" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 25 Änderung des Telekommunikationsgesetzes

Artikel 25 ändert mWv. 6. Dezember 2025 TKG § 3, § 79, § 136, § 137, § 141, § 142, § 143, § 151, § 153, § 154, § 165, § 167, § 168, § 174, § 214, § 228

Das Telekommunikationsgesetz vom 23. Juni 2021 (BGBl. I S. 1858), das zuletzt durch Artikel 1 des Gesetzes vom 24. Juli 2025 (BGBl. 2025 I Nr. 181) geändert worden ist, wird wie folgt geändert:

1.

In der Inhaltsübersicht wird die Angabe zu § 168 wie folgt geändert:

„§ 168 Meldung eines Sicherheitsvorfalls".

2.

§ 3 wird wie folgt geändert:

a)

Nummer 53 wird durch die folgende Nummer 53 ersetzt:

„53.: „Sicherheitsvorfall" ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden oder zugänglich sind, beeinträchtigt;".

b)

In Nummer 79 wird die Angabe „erbracht werden." durch die Angabe „erbracht werden;" ersetzt.

c)

Nach Nummer 79 wird die folgende Nummer 80 eingefügt:

„80.: „Netz- und Informationssystem"

a)

ein Telekommunikationsnetz im Sinne von Nummer 65,

b)

ein Gerät oder eine Gruppe miteinander verbundener oder zusammenhängender Geräte, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung digitaler Daten durchführen, oder

c)

digitale Daten, die von den in den Buchstaben a und b genannten Elementen zum Zwecke ihres Betriebs, ihrer Nutzung, ihres Schutzes und ihrer Pflege gespeichert, verarbeitet, abgerufen oder übertragen werden."

3.

In § 79 Absatz 3 Nummer 3 wird die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" und die Angabe „der Kritischen Infrastruktur" durch die Angabe „kritischer Anlagen" ersetzt.

4.

In § 136 Absatz 4 Nummer 3 wird die Angabe „Kritischen Infrastruktur" durch die Angabe „kritischen Anlagen" und die Angabe „der Kritischen Infrastruktur" durch die Angabe „kritischer Anlagen" ersetzt.

5.

In § 137 Absatz 3 Nummer 3 wird die Angabe „Kritischen Infrastruktur" durch die Angabe „kritischen Anlagen" und die Angabe „der Kritischen Infrastruktur" durch die Angabe „kritischer Anlagen" ersetzt.

6.

§ 141 Absatz 2 Nummer 4 wird durch die folgende Nummer 4 ersetzt:

„4.: konkrete Anhaltspunkte dafür, dass die beantragte Mitnutzung die Integrität oder Sicherheit bereits bestehender öffentlicher Versorgungsnetze, insbesondere nationaler kritischer Anlagen, gefährdet; bei kritischen Anlagen liegen konkrete Anhaltspunkte für eine solche Gefährdung vor, soweit von dem Antrag Teile einer kritischen Anlage, insbesondere die Informationstechnik kritischer Anlagen, betroffen sind, die nachweislich besonders schutzbedürftig und für die Funktionsfähigkeit kritischer Anlagen maßgeblich sind, und der Betreiber die Mitnutzung im Rahmen der ihm durch Gesetz oder aufgrund eines Gesetzes auferlegten Schutzpflichten nicht durch verhältnismäßige Maßnahmen ermöglichen kann,".

7.

In § 142 Absatz 4 Nummer 4 wird die Angabe „Kritischen Infrastruktur" durch die Angabe „kritischen Anlagen" und die die Angabe „der Kritischen Infrastruktur" durch die Angabe „kritischer Anlagen" ersetzt.

8.

In § 143 Absatz 4 Nummer 1 wird die Angabe „Kritischen Infrastruktur" durch die Angabe „kritischen Anlagen" und die Angabe „der Kritischen Infrastruktur" durch die Angabe „kritischer Anlagen" ersetzt.

9.

§ 151 wird wie folgt geändert:

a)

In Absatz 1 Satz 3 und 4 wird jeweils die Angabe „Kritischer Infrastrukturen" durch die Angabe „kritischer Anlagen" ersetzt.

b)

Absatz 2 wird wie folgt geändert:

aa): In Satz 3 wird die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" ersetzt.
bb): In Satz 4 wird die Angabe „Kritischer Infrastrukturen" durch die Angabe „kritischer Anlagen" ersetzt.

c)

In Absatz 3 Satz 2 und 3 wird jeweils die Angabe „Kritischer Infrastrukturen" durch die Angabe „kritischer Anlagen" ersetzt.

10.

In § 153 Absatz 4 Nummer 3 und § 154 Absatz 4 Satz 2 Nummer 4 wird jeweils die Angabe „Kritischer Infrastrukturen" durch die Angabe „kritischer Anlagen" ersetzt.

11.

§ 165 wird wie folgt geändert:

a)

Absatz 2 Satz 3 wird durch die folgenden Sätze ersetzt:

„Bei diesen Maßnahmen ist unter Berücksichtigung des Stands der Technik, der einschlägigen europäischen und internationalen Normen sowie der Umsetzungskosten ein Sicherheitsniveau der Netz- und Informationssysteme zu gewährleisten, das dem bestehenden Risiko angemessen ist. Bei der Bewertung, ob Maßnahmen dem bestehenden Risiko angemessen sind, sind das Ausmaß der Risikoexposition und die Größe des Betreibers oder des Anbieters sowie die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen."

b)

Nach Absatz 2 werden die folgenden Absätze 2a bis 2d eingefügt:

„(2a) Maßnahmen nach Absatz 2 von Betreibern öffentlicher Telekommunikationsnetze und Anbietern öffentlich zugänglicher Telekommunikationsdienste, die besonders wichtige Einrichtungen im Sinne von § 28 Absatz 1 Satz 1 Nummer 3 des BSI-Gesetzes oder wichtige Einrichtungen im Sinne von § 28 Absatz 2 Satz 1 Nummer 2 des BSI-Gesetzes sind, müssen auf einem gefahrenübergreifenden Ansatz beruhen, der darauf abzielt, die Netz- und Informationssysteme und die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen, und zumindest Folgendes umfassen:

1.: Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme,
2.: Bewältigung von Sicherheitsvorfällen,
3.: Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement,
4.: Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
5.: Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,
6.: Konzepte und Verfahren zur Bewertung der Wirksamkeit von Maßnahmen nach Absatz 2 im Bereich der Sicherheit von Netzen und Diensten,
7.: Grundlegende Verfahren und Schulungen im Bereich der Sicherheit von Netzen und Diensten,
8.: Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
9.: Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen,
10.: Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung.

(2b) Die Geschäftsleitungen von Betreibern öffentlicher Telekommunikationsnetze und Anbietern öffentlich zugänglicher Telekommunikationsdienste, die besonders wichtige Einrichtungen im Sinne von § 28 Absatz 1 Satz 1 Nummer 3 des BSI-Gesetzes oder wichtige Einrichtungen im Sinne von § 28 Absatz 2 Satz 1 Nummer 2 des BSI-Gesetzes sind, sind verpflichtet, die von diesen Einrichtungen nach Absatz 2 zu ergreifenden Maßnahmen umzusetzen und ihre Umsetzung zu überwachen.

(2c) Geschäftsleitungen, die ihre Pflichten nach Absatz 2b verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach Satz 1 enthalten.

(2d) Die Geschäftsleitungen von Betreibern öffentlicher Telekommunikationsnetze und Anbietern öffentlich zugänglicher Telekommunikationsdienste, die besonders wichtige Einrichtungen im Sinne von § 28 Absatz 1 Satz 1 Nummer 3 des BSI-Gesetzes oder wichtige Einrichtungen im Sinne von § 28 Absatz 2 Satz 1 Nummer 2 des BSI-Gesetzes sind, müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können."

c)

In Absatz 3 Satz 1 wird die Angabe „§ 2 Absatz 9b des BSI-Gesetzes" durch die Angabe „§ 2 Nummer 41 des BSI-Gesetzes" ersetzt.

d)

In Absatz 4 wird Angabe „§ 2 Absatz 13 des BSI-Gesetzes" durch die Angabe „§ 2 Nummer 23 des BSI-Gesetzes" ersetzt.

e)

In Absatz 11 Satz 1 wird die Angabe „Artikel 9 der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1; L 33 vom 7. Februar 2018, S. 5)" durch die Angabe „Artikel 10 der Richtlinie (EU) 2022/2555" ersetzt.

12.

§ 167 wird wie folgt geändert:

a)

Absatz 1 Satz 1 Nummer 2 wird wie folgt geändert:

aa): Die Angabe „§ 2 Absatz 13 Satz 1 Nummer 3 Buchstabe b des BSI-Gesetzes" wird durch die Angabe „§ 2 Nummer 23 Buchstabe c Doppelbuchstabe bb des BSI-Gesetzes" ersetzt.
bb): Die Angabe „§ 2 Absatz 13 des BSI-Gesetzes" wird durch die Angabe „§ 2 Nummer 23 des BSI-Gesetzes" ersetzt.

b)

Nach Absatz 1 wird der folgende Absatz 2 eingefügt:

„(2) Die Befugnis der Bundesnetzagentur nach Absatz 1 Nummer 2 besteht bis zum Erlass einer Rechtsverordnung nach § 56 Absatz 7 des BSI-Gesetzes für den Sektor Informationstechnik und Telekommunikation im Sinne des § 2 Nummer 24 fort. Eine von der Bundesnetzagentur auf der Grundlage von Absatz 1 Satz 1 Nummer 2 erlassene Allgemeinverfügung ist mit dem Inkrafttreten einer Rechtsverordnung nach § 56 Absatz 7 des BSI-Gesetzes für den Sektor Informationstechnik und Telekommunikation aufzuheben."

c)

Der bisherige Absatz 2 wird zu Absatz 3.

13.

§ 168 wird wie folgt geändert:

a)

Die Überschrift wird wie folgt geändert:

„§ 168 Meldung eines Sicherheitsvorfalls".

b)

Die Absätze 1 bis 3 werden durch die folgenden Absätze 1 bis 3 ersetzt:

„(1) Wer ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, macht an die Bundesnetzagentur und an das Bundesamt für Sicherheit in der Informationstechnik:

1.

unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte;

2.

unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Meldung über den Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden;

3.

auf Ersuchen der Bundesnetzagentur oder dem Bundesamt für Sicherheit in der Informationstechnik eine Zwischenmeldung über relevante Statusaktualisierungen;

4.

spätestens einen Monat nach Übermittlung der Meldung des erheblichen Sicherheitsvorfalls gemäß Nummer 2, vorbehaltlich Absatz 2, eine Abschlussmeldung, die Folgendes enthält:

a): eine ausführliche Beschreibung des erheblichen Sicherheitsvorfalls, einschließlich seines Schwergrads und seiner Auswirkungen;
b): Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat;
c): Angaben zu den getroffenen und laufenden Abhilfemaßnahmen;
d): Gegebenenfalls die grenzüberschreitenden Auswirkungen des erheblichen Sicherheitsvorfalls.

§ 42 Absatz 4 und § 43 Absatz 4 des Bundesdatenschutzgesetzes gelten entsprechend.

(2) Dauert der erhebliche Sicherheitsvorfall im Zeitpunkt des Absatz 1 Satz 1 Nummer 4 noch an, legt der Betroffene statt einer Abschlussmeldung zu diesem Zeitpunkt eine Fortschrittsmeldung und eine Abschlussmeldung innerhalb eines Monats nach Abschluss der Bearbeitung des erheblichen Sicherheitsvorfalls vor.

(3) Ein Sicherheitsvorfall gilt als erheblich, wenn

1.: er schwerwiegende Betriebsstörungen oder finanzielle Verluste für den betreffenden Betreiber öffentlicher Telekommunikationsnetze oder Anbieter öffentlich zugänglicher Telekommunikationsdienste verursacht hat oder verursachen kann, oder
2.: er andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann."

c)

In Absatz 4 wird die Angabe „Mitteilungsverfahrens" durch die Angabe „Meldeverfahrens" ersetzt.

d)

Nach Absatz 4 wird der folgende Absatz 5 eingefügt:

„(5) Die Bundesnetzagentur übermittelt den nach Absatz 1 Satz 1 Verpflichteten unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach der frühen Erstmeldung nach Absatz 1 Satz 1 Nummer 1 eine Bestätigung über den Eingang der Meldung. Das Bundesamt für Sicherheit in der Informationstechnik kann auf Ersuchen der nach Absatz 1 Satz 1 Verpflichteten zusätzliche technische Unterstützung, Orientierungshilfen oder operative Beratung zu Abhilfemaßnahmen leisten. Das Bundesamt für Sicherheit in der Informationstechnik informiert die Bundesnetzagentur über Maßnahmen nach Satz 2."

e)

Der bisherige Absatz 5 wird durch den folgenden Absatz 6 ersetzt:

„(6) Erforderlichenfalls unterrichtet die Bundesnetzagentur die nationalen Regulierungsbehörden der anderen Mitgliedstaaten der Europäischen Union und die Agentur der Europäischen Union für Cybersicherheit über den Sicherheitsvorfall. Ist eine Sensibilisierung der Öffentlichkeit erforderlich, um einen erheblichen Sicherheitsvorfall zu verhindern oder zu bewältigen, oder liegt die Offenlegung des erheblichen Sicherheitsvorfalls anderweitig im öffentlichen Interesse, so kann die Bundesnetzagentur nach Anhörung der nach Absatz 1 Satz 1 Verpflichteten die Öffentlichkeit unterrichten oder die nach Absatz 1 Satz 1 Verpflichteten zu dieser Unterrichtung verpflichten."

f)

Der bisherige Absatz 6 wird zu Absatz 7 und in Satz 2 wird die Angabe „§ 8e des BSI-Gesetzes" wird durch die Angabe „§ 42 des BSI-Gesetzes" ersetzt.

g)

Der bisherige Absatz 7 wird zu Absatz 8.

14.

§ 174 wird wie folgt geändert:

a): § 174 Absatz 3 Nummer 8, Absatz 5 Nummer 8 wird jeweils die Angabe „Kritischen Infrastruktur" durch die Angabe „kritischen Anlage" ersetzt.
b): In § 174 Absatz 3 Nummer 8 und Absatz 5 Nummer 8 wird jeweils die Angabe „Bereichen des § 2 Absatz 10 Satz 1 Nummer 1 des BSI-Gesetzes" durch die Angabe „Sektoren des § 2 Nummer 24 des BSI-Gesetzes" ersetzt.

15.

In § 214 Absatz 3 wird die Angabe „Kritische Infrastrukturen" durch die Angabe „kritische Anlagen" und die Angabe „§ 2 Absatz 10 des BSI-Gesetzes" durch die Angabe „§ 2 Nummer 22 des BSI-Gesetzes" ersetzt.

16.

In § 228 Absatz 2 Nummer 39 wird die Angabe „eine Mitteilung" durch die Angabe „eine Meldung oder Mitteilung" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 26 Änderung der Krankenhausstrukturfonds-Verordnung

Artikel 26 ändert mWv. 6. Dezember 2025 KHSFV § 11, § 14

Die Krankenhausstrukturfonds-Verordnung vom 17. Dezember 2015 (BGBl. I S. 2350), die zuletzt durch Artikel 4a des Gesetzes vom 5. Dezember 2024 (BGBl. 2024 I Nr. 400) geändert worden ist, wird wie folgt geändert:

1.: In § 11 Absatz 1 Nummer 4 Buchstabe a wird nach der Angabe „Anhangs 5 Teil 3 der BSI-Kritisverordnung" die Angabe „vom 22. April 2016 (BGBl. I S. 958), die zuletzt durch Artikel 1 der Verordnung vom 29. November 2023 (BGBl. 2023 I Nr. 339) geändert worden ist," eingefügt und die Angabe „an die Vorgaben von § 8a des BSI-Gesetzes" durch die Angabe „an die Anforderungen der §§ 30, 31 und 39 des BSI-Gesetzes" ersetzt.
2.: In § 14 Absatz 2 Nummer 8 wird die Angabe „an die Vorgaben von § 8a des BSI-Gesetzes" durch die Angabe „an die Anforderungen der §§ 30, 31 und 39 des BSI-Gesetzes" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 27 Änderung der Außenwirtschaftsverordnung

Artikel 27 ändert mWv. 6. Dezember 2025 AWV § 55a

Die Außenwirtschaftsverordnung vom 2. August 2013 (BGBl. I S. 2865), die zuletzt durch Artikel 1 der Verordnung vom 29. Oktober 2025 (BGBl. 2025 I Nr. 261) geändert worden ist, wird wie folgt geändert:

§ 55a Absatz 1 wird wie folgt geändert:

1.: In Nummer 1 wird die Angabe „Kritischen Infrastruktur" durch die Angabe „kritischen Anlage" ersetzt.
2.: In Nummer 2 wird die Angabe „§ 2 Absatz 13 des BSI-Gesetzes" durch die Angabe „§ 2 Nummer 23 des BSI-Gesetzes" und die Angabe „Kritischen Infrastrukturen" durch die Angabe „kritischen Anlagen" ersetzt.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 28 Änderung des Vertrauensdienstegesetzes

Artikel 28 ändert mWv. 6. Dezember 2025 VDG § 2

Das Vertrauensdienstegesetz vom 18. Juli 2017 (BGBl. I S. 2745), das durch Artikel 2 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, wird wie folgt geändert:

§ 2 Absatz 3 wird gestrichen.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 29 Außerkrafttreten

Artikel 29 ändert mWv. 6. Dezember 2025 BSIG

Das BSI-Gesetz vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 12 des Gesetzes vom 23. Juni 2021 (BGBl. I S. 1982) geändert worden ist, tritt am Tag nach der Verkündung dieses Gesetzes außer Kraft.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Artikel 30 Inkrafttreten

Dieses Gesetz tritt am Tag nach der Verkündung*) in Kraft.

---

*): Anm. d. Red.: Die Verkündung erfolgte am 5. Dezember 2025.

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Schlussformel

Die verfassungsmäßigen Rechte des Bundesrates sind gewahrt.

Das vorstehende Gesetz wird hiermit ausgefertigt. Es ist im Bundesgesetzblatt zu verkünden.

Der Bundespräsident

Steinmeier

Der Bundeskanzler

Merz

Der Bundesminister des Innern

Alexander Dobrindt

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

Anhang EU-Rechtsakte:

1.: Verordnung (EG) Nr. 178/2002 des Europäischen Parlaments und des Rates vom 28. Januar 2002 zur Festlegung der allgemeinen Grundsätze und Anforderungen des Lebensmittelrechts, zur Errichtung der Europäischen Behörde für Lebensmittelsicherheit und zur Festlegung von Verfahren zur Lebensmittelsicherheit (ABl. L 31 vom 1.2.2002, S. 1), die zuletzt durch die Delegierte Verordnung (EU) 2024/908 vom 17. Januar 2024 (ABl. L, 2024/908, 20.3.2024) geändert worden ist
2.: Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (2003/361/EG) (ABl. L 124 vom 20.5.2003, S. 36)
3.: Verordnung (EG) Nr. 725/2004 des Europäischen Parlaments und des Rates vom 31. März 2004 zur Erhöhung der Gefahrenabwehr auf Schiffen und in Hafenanlagen (ABl. L 129 vom 29.4.2004, S. 6), die zuletzt durch die Verordnung (EG) Nr. 219/2009 vom 11. März 2009 (ABl. L 87 vom 31.3.2009, S. 109) geändert worden ist
4.: Richtlinie 2005/65/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Erhöhung der Gefahrenabwehr in Häfen (ABl. L 310 vom 25.11.2005, S. 28), die zuletzt durch die Verordnung (EU) 2019/1243 vom 20. Juni 2019 (ABl. L 198 vom 25.7.2019, S. 241) geändert worden ist
5.: Verordnung (EG) Nr. 1907/2006 des Europäischen Parlaments und des Rates vom 18. Dezember 2006 zur Registrierung, Bewertung, Zulassung und Beschränkung chemischer Stoffe (REACH), zur Schaffung einer Europäischen Chemikalienagentur, zur Änderung der Richtlinie 1999/45/EG und zur Aufhebung der Verordnung (EWG) Nr. 793/93 des Rates, der Verordnung (EG) Nr. 1488/94 der Kommission, der Richtlinie 76/769/EWG des Rates sowie der Richtlinien 91/155/EWG, 93/67/EWG, 93/105/EG und 2000/21/EG der Kommission (ABl. L 396 vom 30.12.2006, S. 1), die zuletzt durch die Verordnung (EU) 2025/1731 vom 8. August 2025 (ABl. L, 2025/1731, 11.8.2025) geändert worden ist
6.: Verordnung (EG) Nr. 300/2008 des Europäischen Parlaments und des Rates vom 11. März 2008 über gemeinsame Vorschriften für die Sicherheit in der Zivilluftfahrt und zur Aufhebung der Verordnung (EG) 2320/2002 (ABl. L 97 vom 9.4.2008, S. 74; L 164 vom 23.6.2012, S. 18), die durch die Verordnung (EU) Nr. 18/2010 vom 8. Januar 2010 (ABl. L 7 vom 12.1.2010, S. 3) geändert worden ist
7.: Richtlinie 2009/12/EG des Europäischen Parlaments und des Rates vom 11. März 2009 über Flughafenentgelte (ABl. L 70 vom 14.3.2009, S. 11), die durch den Beschluss (EU) 2024/1254 vom 24. April 2024 (ABl. L, 2024/1254, 30.4.2024) geändert worden ist
8.: Richtlinie 2009/119/EG des Rates vom 14. September 2009 zur Verpflichtung der Mitgliedstaaten, Mindestvorräte an Erdöl und/oder Erdölerzeugnissen zu halten (ABl. L 265 vom 9.10.2009, S. 9), die zuletzt durch die Verordnung (EU) 2018/1999 vom 11. Dezember 2018 (ABl. L 328 vom 21.12.2018, S. 1) geändert worden ist
9.: Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45), die zuletzt durch die Richtlinie (EU) 2024/2839 vom 23. Oktober 2024 (ABl. L, 2024/2839, 7.11.2024) geändert worden ist
10.: Verordnung (EU) Nr. 1315/2013 des Europäischen Parlaments und des Rates vom 11. Dezember 2013 über Leitlinien der Union für den Aufbau eines transeuropäischen Verkehrsnetzes und zur Aufhebung des Beschlusses Nr. 661/2010/EU (ABl. L 348 vom 20.12.2013, S. 1), die durch die Verordnung (EU) 2024/1679 vom 13. Juni 2024 (ABl. L, 2024/1679, 28.6.2024) aufgehoben worden ist
11.: Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73; L 23 vom 29.1.2015, S. 19; L 155 vom 14.6.2016, S. 44; L, 2024/1183, 9.4.2025), die zuletzt durch die Verordnung (EU) 2024/1183 vom 11. April 2024 (ABl. L, 2024/1183, 30.4.2024) geändert worden ist
12.: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2; L 74 vom 4.3.2021, S. 35).
13.: Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (ABl. L 194 vom 19.7.2016, S. 1), die durch die Richtlinie (EU) 2022/2555 vom 14. Dezember 2022 (ABl. L 333 vom 27.12.2022, S. 80; L 2023/90206, 22.12.2023) aufgehoben worden ist
14.: Durchführungsverordnung (EU) 2017/373 der Kommission vom 1. März 2017 zur Festlegung gemeinsamer Anforderungen an Flugverkehrsmanagementanbieter und Anbieter von Flugsicherungsdiensten sowie sonstiger Funktionen des Flugverkehrsmanagementnetzes und die Aufsicht hierüber sowie zur Aufhebung der Verordnung (EG) Nr. 482/2008, der Durchführungsverordnungen (EU) Nr. 1034/2011, (EU) 1035/2011 und (EU) 2016/1377 und zur Änderung der Verordnung (EU) Nr. 677/2011 (ABl. L 62 vom 8.3.2017, S. 1; L 15 vom 20.1.2020, S. 9; L 106 vom 6.4.2020, S. 15; L 108 vom 7.4.2022, S. 69; L 143 vom 2.6.2023, S. 129), die zuletzt durch die Durchführungsverordnung (EU) 2025/343 vom 17. Februar 2025 (ABl. L, 2025/343, 18.2.2025) geändert worden ist
15.: Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates (ABl. L 117 vom 5.5.2017, S. 1; L 117 vom 3.5.2019, S. 9; L 334 vom 27.12.2019, S. 165; L 241 vom 8.7.2021, S. 7), die zuletzt durch die Verordnung (EU) 2024/1860 vom 13. Juni 2024 (ABl. L, 2024/1860, 9.7.2024) geändert worden ist
16.: Verordnung (EU) 2017/746 des Europäischen Parlaments und des Rates vom 5. April 2017 über In-vitro-Diagnostika und zur Aufhebung der Richtlinie 98/79/EG und des Beschlusses 2010/227/EU der Kommission (ABl. L 117 vom 5.5.2017, S. 176; L 117 vom 3.5.2019, S. 11; L 334 vom 27.12.2019, S. 167; L 233 vom 1.7.2021, S. 9), die zuletzt durch die Verordnung (EU) 2024/1860 vom 13. Juni 2024 (ABl. L, 2024/1860, 9.7.2024) geändert worden ist
17.: Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit) (ABl. L 151 vom 7.6.2019, S. 15), die durch die Verordnung (EU) 2025/37 vom 19. Dezember 2024 (ABl. L, 2025/37, 15.1.2025) geändert worden ist
18.: Verordnung (EU) 2019/943 des Europäischen Parlaments und des Rates vom 5. Juni 2019 über den Elektrizitätsbinnenmarkt (ABl. L 158 vom 14.6.2019, S. 54), die zuletzt durch die Verordnung (EU) 2024/1747 vom 13. Juni 2024 (ABl. L, 2024/1747, 26.6.2024) geändert worden ist
19.: Verordnung (EU) 2019/1150 des Europäischen Parlaments und des Rates vom 20. Juni 2019 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten (ABl. L 186 vom 11.7.2019, S. 57)
20.: Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates vom 25. Januar 2022 zu einer verstärkten Rolle der Europäischen Arzneimittel-Agentur bei der Krisenvorsorge und -bewältigung in Bezug auf Arzneimittel und Medizinprodukte (ABl. L 20 vom 31.1.2022, S. 1; L 71 vom 9.3.2023, S. 37), die durch die Verordnung (EU) 2024/568 vom 7. Februar 2024 (ABl. L, 2024/568, 14.2.2024) geändert worden ist
21.: Verordnung (EU) 2022/2371 des Europäischen Parlaments und des Rates vom 23. November 2022 zu schwerwiegenden grenzüberschreitenden Gesundheitsgefahren und zur Aufhebung des Beschlusses Nr. 1082/2013/EU (ABl. L 314 vom 6.12.2022, S. 26)
22.: Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (ABl. L 333 vom 27.12.2022, S. 1; L, 2024/90822, 19.12.2024)
23.: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (ABl. L 333 vom 27.12.2022, S. 80; L, 2023/90206, 22.12.2023)
24.: Richtlinie (EU) 2022/2557 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die Resilienz kritischer Einrichtungen und zur Aufhebung der Richtlinie 2008/114/EG des Rates (ABl. L 333 vom 27.12.2022, S. 164)

Link zu dieser Seite: https://www.buzer.de/gesetz/17248/index.htm

Inhaltsverzeichnis | Ausdrucken/PDF | nach oben

NIS2-RLUG
Rechtskataster

Änderungen
überwachen

Sie werden über jede verkündete oder in Kraft tretende Änderung per Mail informiert, sofort, wöchentlich oder in dem Intervall, das Sie gewählt haben.

Stellen Sie Ihr Paket zu überwachender Vorschriften beliebig zusammen.

Jetzt anmelden!

Weitere Vorteile:

Konsolidierte Vorschriften selbst bei Inkrafttreten "am Tage nach der Verkündung", Synopse zu jeder Änderungen, Begründungen des Gesetzgebers

Für Ihr Blog oder Forum - Gesetze verknüpfen

Für Ihre Internetseite -
Ticker aktuellste Gesetzesänderungen