Sicherheit, Cybersicherheit, Telekommunikation, verschlüsselte Daten

Der überarbeitete Katalog von Sicherheitsanforderungen der Bundesnetzagentur: Auswirkungen auf Sicherheitskonzepte nach § 167 TKG für Telekommunikationsnetze und -dienste

13. Dezember 2025

Die Bundesnetzagentur (BNetzA) hat Anfang November 2025 den Entwurf eines überarbeiteten Kataloges von Sicherheitsanforderungen vorgelegt und zur Konsultation gestellt. Der Entwurf sieht vor, den  bisherigen Katalog in der Version 2.0. vom 29.4.2020 an die seitdem erfolgten Änderungen des Telekommunikationsgesetzes (TKG) und den aktuellen Stand der Technik anzupassen.

Der Katalog dient Betreibern öffentlicher Telekommunikationsnetze und Anbietern öffentlich zugänglicher Telekommunikationsdienste als Grundlage für ein zu erstellendes Sicherheitskonzept nach § 166 Abs. 1 TKG sowie für die zu treffenden technischen Vorkehrungen und sonstigen Maßnahmen nach § 165 Abs. 1 und 2 TKG.

Hersteller, Verbände der Betreiber von Telekommunikationsnetzen und die Verbände der Anbieter öffentlich zugänglicher Telekommunikationsdienste haben bis zum 16.1.2026 die Möglichkeit, eine Stellungnahme zu dem Entwurf bei der BNetzA einzureichen.

Im Folgenden werden die wichtigsten Änderungen des Kataloges dargestellt und die zu erwartenden Auswirkungen auf bestehende Sicherheitskonzepte erläutert.

Wichtige Neuerungen des Entwurfs

Der Entwurf berücksichtigt die Änderungen im TKG – vor allem nach der Novelle 2021 – und ordnet die Sicherheitsanforderungen gemäß §§ 165 ff. bzw. § 167 TKG neu. Damit passt die BNetzA den Katalog formell an die aktuelle Rechtslage an und stellt ihn als verbindliche Handlungsgrundlage für Sicherheitskonzepte und technische wie organisatorische Maßnahmen neu auf.

Erstmals unterscheidet der neue Entwurf systematisch zwischen drei Stufen für Telekommunikationsnetze/-dienste anhand von deren Gefährdungspotenzial (normales, gehobenes und erhöhtes Gefährdungspotenzial). Je nach Einstufung ergeben sich unterschiedliche, aufeinander aufbauende Anforderungen.

Die Klassifizierung knüpft dabei vor allem an die Anzahl der Mitarbeitenden und an den Jahresumsatz beziehungsweise eine Jahresbilanzsumme des Unternehmens an:

  • Unternehmen mit weniger als zehn Beschäftigten beziehungsweise weniger als 2 Mio. EUR Jahresumsatz/ -bilanzsumme haben ein normales Gefährdungspotenzial.
  • Betreiber und Diensteanbieter mit bis zu 50 Beschäftigen beziehungsweise bis zu 10 Mio. EUR Jahresumsatz/-bilanzsummer gelten als Anbieter mit gehobenem Gefährdungspotenzial.
  • Unternehmen, die über diesen Schwellenwerten liegen, Betreiber von öffentlichen Mobilfunknetzen der 5. Generation und Betreiber kritischer Einrichtungen gemäß der Richtline (EU) 2022/2557 (Richtlinie über die Resilienz kritischer Einrichtungen) werden – unabhängig von der Unternehmensgröße – mit erhöhtem Gefährdungspotenzial bewertet.

Damit führt der Katalog erstmals eine stärker risikoorientierte Differenzierung als Basis ein.

Zudem enthält der Entwurf neue Sicherheitsanforderungen, insbesondere im Bereich Unternehmensführung und Risikomanagement. Ziel ist es, die Integrität und Sicherheit der Netzinfrastruktur sicherzustellen. Betreiber müssen daher Maßnahmen in den Gebieten Informationssicherheitsmanagement, Risikomanagement, Sicherheitsrollen und Verantwortlichkeit und Sicherheit bei Abhängigkeit von Dritten ergreifen. Neu sind außerdem Anforderungen an das Bewusstsein für Bedrohungen (sogenannte „Threat Awareness“).

Darüber hinaus sieht der neue Katalog nicht mehr dieselben konkreten Vorgaben für die Ausgestaltung des Sicherheitskonzeptes nach § 166 Abs. 1 Nr. 3 TKG vor. Gerade kleinere Betreiber (mit normalem Gefährdungspotenzial) kann dies entlasten, da sie nicht mehr zwangsläufig ein standardisiertes, detailliertes Konzept vorlegen müssen.

Schließlich sind im Entwurf auch Anforderungen für Mobilfunknetze der 5. Generation enthalten, die in der bisherigen Fassung fehlten.

Wie sollten Telekommunikationsunternehmen und Stadtwerke mit Telekommunikationssparte reagieren?

Die Änderungen im Katalog führen dazu, dass der erforderliche Sicherheitsaufwand für Telekommunikationsnetzbetreiber und -dienstanbieter künftig vom Gefährdungspotenzial abhängt. Für Betreiber mit hoher Bedeutung (zum Beispiel große Netze, kritische Infrastruktur, umfangreiche Dienste) können die Anforderungen deutlich strenger werden.

Neue Sicherheitsanforderungen im Bereich Unternehmensführung und Risikomanagement bedeuten außerdem, dass Sicherheitskonzepte nicht mehr einmalig „aufgesetzt und abgearbeitet“ sind. Vielmehr müssen künftig noch mehr kontinuierliche Prozesse eingeplant werden. Darauf können sich Betreiber jedoch gut vorbereiten:

  • TK-Netzbetreiber und TK-Dienstanbieter müssen ihre Sicherheitskonzepte und technischen Vorkehrungen nach Inkrafttreten des neuen Kataloges auf ÜbereinstimmungprüfenundimZweifelanpassen. Eine standardisierte Vorlage für das Sicherheitskonzept gibt es nicht mehr – das eröffnet etwas Spielraum.
  • Vor der Veröffentlichung empfiehlt es sich, die UmsetzungspflichtenundFristenzubeobachten. Der endgültige Katalog wird erst nach abgeschlossener Konsultation erlassen. Dies dürfte Anfang des Jahres 2026 der Fall sein; erst danach wird die BNetzA voraussichtlich eine Umsetzungsfrist setzen.
  • Es könnte zudem erwogen werden, über einen Verband eine Stellungnahme im Rahmen der Konsultation abzugeben. Dies eröffnet die Möglichkeit, Rückfragen, Bedenken oder Besonderheiten der konkreten Telekommunikationsnetzstruktur oder der angebotenen Dienste einzubringen.
  • Um vorbereitet zu sein, kann bereits vor Abschluss der Konsultation eine Analyse des vorhandenen Sicherheitskonzeptes und der technischen/organisatorischen Maßnahmen im Vergleich zum Entwurf erfolgen: Wo bestehen Lücken? Wo könnte Nachbesserungsbedarf bestehen (zum. Beispiel Redundanzen, Zugriffsschutz, Dokumentation, Monitoring, Notfall-/Ausfall-Szenarien)?
  • Schließlich sollten für die Zukunft auch die internen Verantwortlichkeiten geklärt werden: Wer in der Organisation soll die Neubewertung übernehmen? Wer erstellt gegebenenfalls ein überarbeitetes Sicherheitskonzept?

Insgesamt knüpft die Reform im TK-Sicherheitsrecht an die Regulierung der Cybersicherheit nach der NIS2-Richtlinie an und soll hier letzte Lücken schließen. Es ist nicht ausgeschlossen, dass der Gesetzgeber im Rahmen der nächsten TKG-Novelle weitere Anpassungen vornimmt. Unabhängig davon wird es unvermeidlich sein, die neuen Sicherheitsanforderungen vorzubereiten und die Sicherheitskonzepte auf den neuesten Stand zu bringen, nicht zuletzt im eigenen Interesse. Hinzu kommt, dass die BNetzA gemäß § 166 Abs. 5 TKG mindestens alle zwei Jahre die Sicherheitskonzepte auf Aktualität prüft – was eine regelmäßige Überarbeitung ohnehin erforderlich macht.

Ansprechpartner:innen: Julien Wilmes-Horváth/Agnes Eva Müller/Robert Grützner/Anna Schriever

Weitere Ansprechpartner:innen: Axel Kafka/Thomas Schmeding/Alexander Bartsch

Share
Weiterlesen
Frau in Anzug und Brille lächelt

18 Januar

Interview: Wasserwirtschaftliche Jahrestagung mit Ulrike Franzke, Vorständin, Stadtentwässerungsbetriebe Köln

Vom 28.1.2026 bis 30.1.2026 findet in Meisenheim die Wasserwirtschaftliche Jahrestagung „Wachsende Investitionen in der (Ab-)Wasserwirtschaft erfolgreich umsetzen“ statt. Die Branche steht vor enormen Herausforderungen: Ein großer Teil der Infrastruktur erreicht das Ende seiner Nutzungsdauer, Klimawandel, demografische Veränderungen und neue Vorschriften...

Weiterlesen
Mann in Anzug und Brille lehnt an einem Tisch.

17 Januar

Interview: Wasserwirtschaftliche Jahrestagung mit Lars Schmidt, Kaufmännischer Geschäftsführer, Harzwasserwerke GmbH

Vom 28.1.2026 bis 30.1.2026 findet in Meisenheim die Wasserwirtschaftliche Jahrestagung „Wachsende Investitionen in der (Ab-)Wasserwirtschaft erfolgreich umsetzen“ statt. Die Branche steht vor enormen Herausforderungen: Ein großer Teil der Infrastruktur erreicht das Ende seiner Nutzungsdauer, Klimawandel, demografische Veränderungen und neue Vorschriften...

Weiterlesen