Der VDIV und die Bundesarbeitsgemeinschaft Immobilienwirtschaft Deutschland (BID)begrüßen die grundsätzliche Zielrichtung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, warnen jedoch vor erheblichen Belastungen für Klimaschutz- und Quartiersprojekte. Der Gesetzentwurf überträgt die Vorgaben der EU-NIS-2-Richtlinie in nationales Recht und sieht strenge Sicherheitsanforderungen, erweiterte Meldepflichten und höhere Sanktionen vor. Ziel ist ein einheitlich hohes Cybersicherheitsniveau in Wirtschaft und Verwaltung.
Der aktuelle Entwurf jedoch führt zu unverhältnismäßigen Auswirkungen auf die Wohnungs- und Immobilienwirtschaft. Viele Unternehmen fallen allein aufgrund ihrer Immobilienwerte in Schwellenkategorien, obwohl ihre Kerntätigkeit nicht der kritischen Infrastruktur zuzuordnen ist. Zudem existiert in Gebäuden eine Vielzahl kleiner Energie- und Versorgungseinrichtungen wie Photovoltaikmodule oder Mieter-Ladepunkte, die keinen relevanten Einfluss auf die allgemeine Versorgungssicherheit haben.
Drei zentrale Klarstellungen sollen daher erfolgen: Erstens sollen Nebentätigkeiten wie die lokale Stromerzeugung durch Dach-Photovoltaik und ausschließlich mieterseitig genutzte Ladepunkte nicht erfasst werden. Zweitens sollen kleine Gebäude- und Nahwärmenetze klar von versorgungskritischen Fernwärmenetzen abgegrenzt werden. Zur Orientierung solle die FFVAV herangezogen werden, nicht das Gebäudeenergiegesetz. Drittens sollen bei verbundenen Unternehmen nur die für den Betrieb sicherheitsrelevanter Einrichtungen notwendigen IT-Systeme bewertet werden, nicht allgemeine Verwaltungssoftware.
Parallel hat der Innenausschuss des Bundestags den Entwurf zum NIS2UmsuCG in modifizierter Fassung gebilligt. Der Anwendungsbereich wird erweitert, neue Einrichtungskategorien werden eingeführt und das bisherige einstufige Meldeverfahren durch ein dreistufiges Melderegime ersetzt. Das Bundesamt für Sicherheit in der Informationstechnik soll zusätzliche Aufsichtsbefugnisse erhalten.
„Für die Immobilienwirtschaft steigt damit der Abstimmungsbedarf erheblich. Sollten dezentrale Energieanlagen oder Quartierswärmelösungen unter die strengeren NIS-2-Regelungen fallen, drohen zusätzliche Kosten, Meldepflichten und komplexe IT-Sicherheitsanforderungen. Wir müssen daher Cyberschutz und Klimaschutz kohärent ausbalancieren und Rechtsklarheit schaffen“, erklärt Martin Kaßler, Geschäftsführer des VDIV Deutschland.
