Telekommunikationsunternehmen und Anbieter öffentlicher elektronischer Kommunikationsnetze nehmen unter der NIS-2-Richtlinie eine besondere Stellung ein: Sie gehören kraft Gesetzes zu den wesentlichen Einrichtungen – unabhängig von Mitarbeiterzahl oder Jahresumsatz. Gleichzeitig unterliegen sie mit § 165 des Telekommunikationsgesetzes (TKG 2021) einem eigenständigen sektorspezifischen Sicherheitsrahmen, der durch die NIS2-Umsetzung nicht ersetzt, sondern ergänzt wird. Das Ergebnis: TK-Anbieter müssen zwei Regulierungsrahmen simultan erfüllen, zwei Behörden gegenüber Meldepflichten erfüllen und die Anforderungen aus beiden Regelwerken in eine kohärente Compliance-Strategie integrieren. Die übergeordneten technischen und organisatorischen Mindestanforderungen beschreiben die NIS2-Sicherheitsanforderungen nach Artikel 21 im Detail.
Telekommunikation als wesentliche Einrichtung – warum die Größe keine Rolle spielt
Die NIS-2-Richtlinie (EU) 2022/2555 legt in Anhang I fest, welche Sektoren als besonders kritisch gelten und daher strengeren Anforderungen unterliegen. Anbieter öffentlicher elektronischer Kommunikationsnetze oder -dienste sind dort unter dem Sektor Digitale Infrastruktur explizit aufgeführt. Die entscheidende Besonderheit: Anders als die meisten anderen NIS2-Pflichtigen, die erst ab bestimmten Größenschwellen (50 Mitarbeiter und 10 Mio. Euro Jahresumsatz für wichtige Einrichtungen bzw. 250 Mitarbeiter und 50 Mio. Euro für wesentliche Einrichtungen) erfasst werden, gilt für TK-Anbieter ein kategorischer Ansatz: Sie werden in Artikel 2 Absatz 2 der Richtlinie als wesentliche Einrichtungen eingestuft, sobald sie öffentliche Kommunikationsnetze oder -dienste erbringen – unabhängig davon, wie viele Menschen sie beschäftigen oder welchen Umsatz sie erzielen.
Diese Einstufung als wesentliche Einrichtung hat konkrete Konsequenzen: Es gelten die strengeren Aufsichts- und Durchsetzungsregeln, das maximale Bußgeld beträgt mindestens 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist), und die zugelassenen nationalen Behörden können proaktive Überwachungsmaßnahmen einleiten, ohne dass zunächst ein konkreter Anhaltspunkt für eine Pf lichtverletzung vorliegen muss.
Im deutschen Recht wird diese Einstufung durch das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in das Bundesgesetz zur Sicherheit in der Informationstechnik (BSIG) übernommen. Das BSI fungiert als zuständige nationale Behörde und nimmt eine zentrale Rolle bei der Registrierung, Aufsicht und Durchsetzung ein.
Wer ist betroffen? Anbieter öffentlicher Kommunikationsnetze und -dienste
Der Begriff „Anbieter öffentlicher elektronischer Kommunikationsnetze“ ist weit gefasst. Das TKG 2021 definiert öffentliche elektronische Kommunikationsnetze als Netzinfrastrukturen, die zur Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste genutzt werden. Darunter fallen in der Praxis verschiedene Gruppen:
| Unternehmenstyp | Typische Anbieter | NIS2-Einstufung |
|---|---|---|
| Mobilfunknetzbetreiber | Betreiber von 4G/5G-Mobilfunknetzen (MNO) | Wesentliche Einrichtung kraft Gesetzes |
| Festnetzanbieter | Betreiber öffentlicher Telefonnetze, DSL, Glasfaser | Wesentliche Einrichtung kraft Gesetzes |
| Internet-Zugangsanbieter (ISP) | Anbieter von Breitband-Internetzugängen für Endkunden | Wesentliche Einrichtung kraft Gesetzes |
| Virtuelle Netzbetreiber (MVNO) | Nutzen fremde Netzinfrastruktur, bieten eigene TK-Dienste an | Wesentliche Einrichtung (abhängig von Dienstleistungsprofil) |
| Nummerndienste | Betreiber von öffentlichen Sprach- und Kurznachrichtendiensten | Wesentliche Einrichtung kraft Gesetzes |
Nicht unter diese Kategorie fallen hingegen private Unternehmensnetze, die ausschließlich der internen Kommunikation dienen, sowie überseeische Kabelsystembetreiber, die keine Endkundendienste in Deutschland erbringen. Über-top-Dienste (OTT-Dienste) wie Messenger-Anwendungen werden im Regelfall gesondert behandelt und fallen in anderen Anhang-Kategorien unter NIS2.
NIS2 und TKG § 165: Zwei Regelwerke, eine Infrastruktur
Vor der NIS2-Umsetzung war das Sicherheitsregime für TK-Anbieter in Deutschland primär durch § 109 TKG (alt) geregelt, der mit dem TKG 2021 als § 165 neu nummeriert und inhaltlich aktualisiert wurde. § 165 TKG verpflichtet Anbieter öffentlicher Telekommunikationsnetze und -dienste, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit ihrer Netze und Dienste zu gewährleisten. Diese Anforderung existiert parallel zur NIS2 und wird durch das NIS2UmsuCG nicht aufgehoben.
Das Verhältnis beider Regelwerke lässt sich folgendermaßen zusammenfassen:
- NIS2 (via BSIG) setzt den sektoraleübergreifenden Mindestrahmen: zehn Risikomanagementmaßnahmen nach Artikel 21, dreistufige Meldepflichten nach Artikel 23 und Registrierungspflicht beim BSI.
- TKG § 165 enthält sektorspezifische Detailanforderungen, die auf die besonderen Eigenschaften von Kommunikationsnetzen zugeschnitten sind: Netzintegrität, Roaming-Sicherheit, Nummerierung und Interoperabilität.
- Ergebnis: TK-Anbieter müssen beide Rahmen einhalten. Wo NIS2 strenger ist, gilt NIS2. Wo TKG § 165 sektorspezifische Anforderungen über die NIS2-Mindestvorgaben hinaus stellt, bleiben diese zusätzlich verbindlich.
Hinzu kommt eine besondere Dimension für 5G-Netze: Die BSI-5G-Sicherheitsanforderungen (veröffentlicht 2020 und seither aktualisiert) konkretisieren die Anforderungen für Mobilfunknetze der fünften Generation und sind im Kontext von NIS2 als erweiterter Umsetzungsrahmen zu verstehen.
Duale Behördenzuständigkeit: BSI und BNetzA
Eine der prägenden Besonderheiten für TK-Anbieter im deutschen Regulierungsumfeld ist die Parallelzuständigkeit zweier Behörden. Während das BSI als NIS2-Aufsichtsbehörde für Cybersicherheit zuständig ist, bleibt die Bundesnetzagentur (BNetzA) die sektorale Regulierungsbehörde nach dem TKG.
In der Praxis bedeutet dies:
- BSI ist zuständig für NIS2-Registrierung, NIS2-konforme Sicherheitsmaßnahmen nach BSIG, Entgegennahme von Vorfallmeldungen nach BSIG, und die Durchsetzung von NIS2-Bußgeldern.
- BNetzA ist zuständig für die TKG-Regulierung einschließlich § 165, die Entgegennahme von Sicherheitsstörungsmeldungen nach § 168 TKG, Nummernverwaltung und die Durchsetzung von TKG-Sanktionen.
TK-Anbieter müssen daher doppelte Compliance-Strukturen aufbauen: eine für die BSIG/NIS2-Anforderungen gegenüber dem BSI und eine für die TKG-Anforderungen gegenüber der BNetzA. In der Praxis empfiehlt sich eine integrierte Sicherheitsorganisation, die beide Anforderungsrahmen abdeckt, ohne redundante Parallelstrukturen zu schaffen. Die Anforderungen für Cloud- und digitale Dienstleister zeigen, wie digitale Infrastrukturanbieter mit ähnlichen Mehrfachverpflichtungen umgehen.
Öffentliche elektronische Kommunikationsnetze: Technische Scope-Abgrenzung
Für die konkrete Bestimmung des Anwendungsbereichs müssen TK-Anbieter verstehen, was unter „öffentlichen elektronischen Kommunikationsnetzen“ zu verstehen ist. Das Europäische Kommunikationskodex (EKK), auf den TKG 2021 und NIS2 gleichermsaßen Bezug nehmen, definiert diese als Systeme, die die Übertragung von Signalen über Draht, Funk, optische oder andere elektromagnetische Systeme ermöglichen – einschließlich Satelliten-, Fest- und Mobilfunknetze sowie sonstiger Netzinfrastrukturen.
Konkret bedeutet das für die Praxis:
- Mobilfunknetze (4G/5G/LTE): Betreiber von Mobilfunk-Kernnetz und Zugangsnetz (RAN) sind erfasst. Bei 5G gilt zusätzlich das BSI-5G-Sicherheitsanforderungsdokument.
- Festnetz (PSTN, VoIP-Gateways): Öffentliche Vermittlungsnetze und die dazugehörigen Gateways fallen unter den Begriff.
- Breitband-Internetzugang (DSL, Glasfaser, Kabel): ISPs, die Endkunden oder Unternehmen Internetzugang bereitstellen, sind erfasst.
- Satellitendienste: Anbieter, die Satellitenkapazitäten für Endkundendienste vermarkten, werden mit zunehmender Regulierungsaufmerksamkeit konfrontiert (Stichwort Starlink).
Nicht unmittelbar unter den Begriff des öffentlichen Kommunikationsnetzes im NIS2-Sinne fallen hingegen private Unternehmensnetze (auch wenn diese VPN-Technologie nutzen), campusnetzartige Infrastrukturen (sofern nicht öffentlich zugänglich) und rein interne Systeme zur Netzwerkverwaltung ohne externen Dienstleistungscharakter.
Sicherheitsanforderungen nach Artikel 21 im TK-Kontext
Die zehn Risikomanagementmaßnahmen nach Artikel 21 NIS2 gelten für TK-Anbieter in derselben Verbindlichkeit wie für andere wesentliche Einrichtungen. Allerdings hat jede Maßnahme im TK-Sektor einen spezifischen operativen Ausdruck:
| Art. 21-Maßnahme | TK-spezifische Umsetzung |
|---|---|
| Risikoanalyse und Sicherheitspolitik | Bewertung von Netzinfrastrukturrisiken, Zuliefererrisiken (u. a. Vendor-Lock-in bei kritischen Netzkomponenten, 5G-Sicherheitskataloganforderungen) |
| Incident Management | NOC/SOC-Integration, Krisenkommunikationsplan für Netzausfälle, Eskala tionspfade zu BSI und BNetzA |
| Business Continuity / Resilienz | Redundanzkonzepte für Kernnetz und Zugangsnetz, geografische Diversität von Netzknoten, Backup-Übertragungswege |
| Lieferkettensicherheit | Zuliefererprüfung für Netzausrüstungshersteller (Huawei-Diskussion), vertragliche Sicherheitsanforderungen an Hardware-Zulieferer |
| Sicherheit bei Erwerb, Entwicklung und Wartung | Secure-by-Design für Netzfunktionen (VNF/CNF), Software-Signaturprüfung bei Netzgeräte-Updates |
| Sicherheitsschulungen | Schulungen für NOC-Personal, IT-Security-Training mit TK-spezifischen Bedrohungsszenarien (SS7-Angriffe, DNS-Spoofing) |
| Kryptographie und Verschlüsselung | Verschlüsselung des Signaling-Traffics, Absicherung von Managementschnittstellen, TLS-Standards für Kundendaten |
| Zugangssteuerung und Identitätsmanagement | Privileged Access Management für Netzwerkmanagement-Systeme, Multi-Faktor-Authentifizierung für Netzwerkinfrastruktur-Zugang |
| Schwachstellenmanagement | Regelmäßige Penetrationstests der Kernnetzinfrastruktur, CVE-Monitoring für eingesetzte Netzwerkgeräte |
| Offenlegungsrichtlinien (Disclosure) | Koordiniertes Schwachstellenoffenlegungsverfahren für im Netz eingesetzte eigene Software/Dienste |
Meldepflichten im TK-Sektor: Doppelte Berichterstattungsw ege
Eine der komplexesten Herausforderungen für TK-Anbieter ist die Koordination der Meldepflichten gegenüber zwei Behörden. Sowohl NIS2/BSIG als auch TKG sehen eigenständige Meldepflichten vor, die sich überschneiden, aber nicht deckungsgleich sind. Die vollständigen Anforderungen zum Ablauf der NIS2-Vorfallmeldung erklären die NIS2-Meldepflichten im Überblick.
| Aspekt | NIS2/BSIG (Art. 23 NIS2, § 32 BSIG) | TKG § 168 |
|---|---|---|
| Empfänger | BSI (nationales CSIRT) | Bundesnetzagentur (BNetzA) |
| Auslöser | Erheblicher Sicherheitsvorfall (Ausfall, Qualitätsbeeinträchtigung durch Sicherheitsvorfall) | Sicherheitsstörung mit erheblichen Auswirkungen auf den Betrieb |
| Fristen | Frühwarnung: 24 Stunden; Meldung: 72 Stunden; Abschlussbericht: 1 Monat | Unverzüglich nach Kenntnis (kein starres Drei-Phasen-Modell) |
| Inhalt der Erstmeldung | Initiale Einschätzung (Art des Vorfalls, Schweregrad, betroffene Systeme) | Art der Störung, betroffene Regionen, Auswirkungen auf Nutzer |
| Pflicht zur Nutzerinformation | Nicht direkt vorgesehen (außer bei gefährdeten Nutzern auf BSI-Weisung) | Explizite Pflicht zur Nutzerinformation bei erheblichen Störungen |
| Sanktionen bei Verstoß | Bis zu 10 Mio. Euro oder 2 % Jahresumsatz | Bußgeld nach TKG (bis zu 300.000 Euro je Verstoß) |
Für die Praxis bedeutet dies: Ein Netzausfall, der sowohl sicherheitsrelevant (z. B. durch einen Cyberangriff ausgelöst) als auch für Nutzer spürbar ist, löst im Regelfall Meldepflichten gegenüber beiden Behörden aus – mit unterschiedlichen Fristregimes. TK-Anbieter sollten daher interne Meldeworkflows etablieren, die automatisch prüfen, ob eine Doppelmeldepflicht vorliegt, und die fristgerechte Abgabe der Meldung an BSI und BNetzA koordinieren.
Wichtig: Die Meldung an die BNetzA nach TKG § 168 erfüllt nicht automatisch die NIS2-Meldepflicht gegenüber dem BSI, und umgekehrt. Beide Meldewege müssen separat beschritten werden.
Besondere Pflichten: Netzintegrität, 5G-Sicherheit und Roaming
Neben den allgemeinen NIS2-Anforderungen gibt es für TK-Anbieter zwei sektorspezifische Dimensionen, die besondere Aufmerksamkeit verdienen:
Netzintegrität und öffentliche Sicherheit: TK-Anbieter sind nach TKG und NIS2 verpflichtet, die Integrität öffentlicher Kommunikationsnetze zu wahren. Dies schließt Maßnahmen gegen Routing-Angriffe (BGP-Hijacking), DNS-Manipulation und die Absicherung des Signaling System 7 (SS7) ein. SS7-Schwachstellen ermöglichen es Angreifern, Standortdaten abzugreifen oder Telefongespräche umzuleiten – ein bekanntes Problem, das trotz seiner Öffentlichkeit in vielen Netzen noch nicht vollständig adressiert ist.
5G-Sicherheitsarchitektur: Für 5G-Netzbetreiber gilt über die allgemeinen NIS2-Anforderungen hinaus der BSI-Sicherheitskatalog 5G. Dieser konkretisiert, welche Netzausrüstungshersteller als „kritische Komponenten“ eingestuft werden und welchen zusätzlichen Prüfanforderungen deren Einsatz unterliegt. Die Diskussion um Komponenten bestimmter Hersteller aus Drittstaaten (insbesondere aus der Volksrepublik China) ist hier unmittelbar relevant.
Roaming-Sicherheit: Grenzüberschreitende Roaming-Vereinbarungen schaffen besondere Sicherheitsrisiken, da Signaling-Verkehr zwischen Netzen ausgetauscht wird, die unterschiedlichen Sicherheitsstandards unterliegen. Die GSMA-Spezifikationen (FS.11, FS.19, FS.37) liefern den technischen Rahmen für Roaming-Sicherheit und sind als Best-Practice-Standard für die NIS2-Umsetzung heranzuziehen.
Umsetzungsfahrplan für TK-Anbieter
TK-Anbieter, die ihren NIS2-Compliance-Status strukturiert aufbauen wollen, sollten folgende Schritte in zeitlicher Abfolge angehen:
- Betroffenheitsp rüfung und Registrierung: Prüfen Sie, ob Ihr Unternehmen öffentliche Kommunikationsnetze oder -dienste erbringt. Als TK-Anbieter sind Sie kraft Gesetzes wesentliche Einrichtung und müssen sich beim BSI registrieren. Nutzen Sie dafür das BSI-Registrierungsportal (MELDP).
- Gap-Analyse: Bewerten Sie Ihren aktuellen Sicherheitsstatus gegenüber den zehn Artikel-21-Anforderungen und den spezifischen TKG-§-165-Pflichten. Identifizieren Sie Prioritätsluücken, insbesondere in den Bereichen Lieferkettensicherheit (5G-Komponenten), Incident-Response-Prozesse und Meldeworkflows.
- Meldeworkflow etablieren: Implementieren Sie eine interne Meldeprozedur, die automatisch auswertet, ob ein Sicherheitsvorfall Meldepflichten gegenüber BSI (NIS2/BSIG) und/oder BNetzA (TKG) auslöst, und sicherstellt, dass beide Meldungen fristgerecht abgegeben werden.
- Technische Maßnahmen umsetzen: Priorisieren Sie Hochrisikobereiche wie SS7-Absicherung, BGP-Routingschutz, Netzwerksegmentierung und Zugangskontrolle für Netzwerkmanagement-Systeme. Integrieren Sie dabei die Anforderungen des BSI-5G-Sicherheitskatalogs, soweit zutreffend.
- Dokumentation und Nachweisführung: Erstellen Sie eine vollständige Sicherheitsdokumentation gemäß Artikel 21 NIS2 und § 165 TKG. Stellen Sie sicher, dass die Dokumentation behördenübergreifend verwendbar ist und sowohl BSI- als auch BNetzA-Anforderungen abdeckt.
Häufig gestellte Fragen
Gilt NIS2 auch für kleine Regionalanbieter von Internetzugang?
Ja. TK-Anbieter werden als wesentliche Einrichtungen eingestuft, unabhängig von ihrer Größe. Auch ein regionaler ISP mit weniger als 50 Mitarbeitern, der öffentlichen Internetzugang anbietet, unterliegt den NIS2-Anforderungen vollumfänglich. Die Größenschwellen der NIS2 gelten in diesem Sektor nicht.
Welche Behörde ist meine primäre Anlaufstelle bei einem Sicherheitsvorfall – BSI oder BNetzA?
Beide. Meldepflichten nach NIS2/BSIG richten sich an das BSI (innerhalb der vorgeschriebenen 24/72-Stunden-Fristen). Meldepflichten nach § 168 TKG richten sich an die BNetzA (unverzüglich). Bei einem erheblichen Sicherheitsvorfall, der gleichzeitig Netzstörungen verursacht, müssen Sie beide Meldewege beschreiten.
Ist ein eigenständiger CISO Pflicht für TK-Anbieter?
Nein – NIS2 schreibt keine spezifische Organisationsform vor. Entscheidend ist, dass die Sicherheitsverantwortung klar geregelt ist und die Geschäftsführung nach Artikel 20 NIS2 die Sicherheitsmaßnahmen billigt und überwacht. Für größere TK-Anbieter empfiehlt sich ein eigenständiger CISO oder eine gleichwertige Position mit direktem Berichtsweg zur Unternehmensführung.
Was bedeutet der BSI-5G-Sicherheitskatalog für bestehende Verträge mit Netzausrüstern?
Bestehende Lieferantenverträge müssen möglicherweise angepasst werden, wenn eingesetzte Komponenten als kritisch eingestuft werden und zusätzliche Prüfanforderungen erfüllen müssen. In einigen Fällen hat das BMI bereits Anforderungen gestellt, bestimmte Komponenten aus Kernnetzfunktionen auszutauschen. Konsultieren Sie hierzu die aktuellen BSI-Empfehlungen und beachten Sie laufende regulatorische Entwicklungen zu Hochrisikoanbietern.
Wie verhält sich NIS2 zum EU Cyber Resilience Act (CRA) für TK-Geräte?
Der CRA (EU 2024/2847) setzt Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, einschließlich Netzwerkgeräte. Für TK-Anbieter, die selbst Netzwerkgeräte herstellen oder unter eigenem Label vertreiben, entstehen dadurch zusätzliche Pflichten als Hersteller. Für den reinen Betrieb von Netzwerkgeräten bleibt NIS2 das maßgebliche Regelwerk.
Quellen
- NIS-2-Richtlinie (EU) 2022/2555 – EUR-Lex Volltext
- Telekommunikationsgesetz (TKG) 2021 – insbesondere § 165 (Sicherheitspflichten) – Gesetze-im-Internet
- BSI: Sicherheitsanforderungen 5G – BSI.bund.de
- BNetzA: IT-Sicherheit und Netzintegrität in der Telekommunikation
- ENISA: Security of Electronic Communications – enisa.europa.eu
