Bundesnetzagentur: Konsultation zum Entwurf des Katalogs für Sicherheitsanforderungen für TK-Netze und Dienste

Die Bundesnetzagentur (BNetzA) hat am 03.11.2025 den Entwurf des Sicherheitskatalogs nach § 167 TKG veröffentlicht und zur Konsultation gestellt. Konsultation und Entwurf können unter folgendem Link aufgerufen werden.

Hersteller, Verbände von Netzbetreibern sowie Verbände von Anbietern öffentlich zugänglicher Telekommunikationsdienste können bis 19.12.2025 Stellungnahmen dazu abgeben.

Hintergrund

Gemäß § 167 TKG hat die Bundesnetzagentur (BNetzA) im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) einen Katalog von Sicherheitsanforderungen für dem Betrieb von Telekommunikations- und Datenverarbeitungssystemen sowie die Verarbeitung personenbezogener Daten festzulegen. Der Katalog soll namentlich Einzelheiten der nach § 165 TKG von TK-Unternehmen zu treffenden Sicherheitsvorkehrungen und -Maßnahmen regeln, die von kritischen Komponenten realisierten kritischen Funktionen im Sinne des BSI-Gesetzes definieren und festlegen, welche TK-Unternehmen als Betreiber mit erhöhtem Gefährdungspotenzial einzustufen sind. 

Der Katalog soll nach Anhörung der Fachöffentlichkeit als Allgemeinverfügung erlassen werden. Der aktuell geltende Katalog wurde 2020 noch unter dem TKG-2004 veröffentlicht, so dass eine Anpassung an das aktuelle TKG-2021 sowie weitere Rechtsentwicklungen überfällig ist.

Wesentliche Inhalte des Entwurfs

Das Entwurfsdokument umfasst 143 Seiten. Hierin enthalten sind die für eine verwaltungsrechtliche Allgemeinverfügung erforderlichen Begründungserwägungen. 

In Teil A enthält das Dokument den Tenor und die übergreifenden Begründungserwägungen der Allgemeinverfügung (insgesamt 15 Seiten). Teil B enthält den Entwurf des Katalogs (insgesamt etwa 80 Seiten). Dabei sind für jeden Punkt auch besondere Begründungserwägungen wiedergegeben, die mehr als die Hälfte des Textes ausmachen. Teil C (etwa 20 Seiten) enthält einen Anhang mit technischen Spezifikationen für paketvermittelte Netze.

Im Katalog wird einleitend eine Eingruppierung der TK-Unternehmen nach deren Kritikalität bzw. Gefährdungspotenzialen vorgenommen. 

1. Unternehmen mit weniger als 10 Beschäftigten bzw. weniger als 2 Mio. EUR Jahresumsatz bzw. -Bilanzsumme haben danach ein normales Gefährdungspotential.
2. Anbieter mit bis zu 50 Beschäftigen bzw. bis zu 10 Mio. EUR Jahresumsatz/-Bilanzsummer gelten als Anbieter mit gehobenem Gefährdungspotenzial.
3. Ein erhöhtes Gefährdungspotenzial haben Anbieter über diesen Schwellenwerten sowie, größenunabhängig Betreiber von öffentlichen Mobilfunknetzen der 5. Generation sowie Betreiber kritischer Einrichtungen gemäß der Richtline (EU) 2022/2557 (Richtlinie über die Resilienz kritischer Einrichtungen).

Die Anknüpfung an die Unternehmensgröße folgt der NIS2-Richtlinie, welche alle Telekommunikationsunternehmen als wichtige und Unternehmen oberhalb der in c) genannten Größenwerte als wesentliche Einrichtungen definiert.

Bei der Ausformulierung von Einzelheiten der technischen Vorkehrungen und sonstigen Maßnahmen im Katalog und im Anhang wird auf diese Eingruppierung regelmäßig zurückgegriffen, indem unter a) ein Grundstandard an Anforderungen festgelegt wird, der dann unter b) und c) entsprechend dem steigenden Gefährdungspotenzial um zusätzliche Anforderungen ergänzt wird.

Einen eigenen Abschnitt (etwa 30 Seiten) widmet der Katalog besonderen Anforderungen für 5G-Mobilfunknetze, die schon nach altem Recht besonderen Bedingungen unterlagen.

Anders als der noch aktuelle Katalog enthält der Entwurf keine konkreten Vorgaben für die Abfassung des Sicherheitskonzepts nach § 166 Abs. 1 Nr. 3 TKG. Insbesondere für Anbieter ohne eigenes Netz sowie kleinere Netzbetreiber ohne erhöhtes Gefährdungspotenzial könnte darin eine Arbeitserleichterung liegen.

Möglichkeit zur Stellungnahme

Der Entwurf ist nunmehr Gegenstand einer Konsultation mit Stellungnahmefrist bis 19.12.2025. Diese richtet sich an Hersteller sowie Verbände von Netzbetreibern und Diensteanbietern, nicht jedoch an einzelne TK-Unternehmen. Dies entspricht der Regelung von § 167 TKG, auch wenn befremdet, dass einzelne Hersteller Gelegenheit zur Stellungnahme erhalten, die vom Katalog betroffenen TK-Unternehmen jedoch nicht. Letzteren ist daher einerseits zu raten, etwaige Anmerkungen und Bedenken in den Branchenverbänden vorzubringen und auf eine Kommentierung durch diese hinzuwirken. Andererseits gehen wir davon aus, dass auch direkte Kommentare von Netzbetreibern angenommen und nicht ignoriert werden. Wir unterstützen hier bei Bedarf gerne.

Umsetzung

Nach Auswertung der Konsultation sowie Notifizierung bei der EU-Kommission gemäß Richtline (EU) 2015/1535 (Richtlinie über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft) wird der Katalog seitens der BNetzA als Allgemeinverfügung erlassen und veröffentlicht. Die Anforderungen sind dann von den betroffenen Unternehmen binnen Jahresfrist umzusetzen (§ 167 Abs. 2 TKG).