Cybervize - Cybersecurity Beratung

Kritische Komponenten und erhöhtes Gefährdungspotenzial im TKG

Telekommunikation (TKG)CISOSicherheitsbeauftragte nach TKGNetzbetreiberLeiter Einkauf/LieferantenmanagementGeschäftsleitung

Kernaussage

Das TKG-Sicherheitsregime kennt zwei Schärfegrade. Jeder Betreiber öffentlicher Telekommunikationsnetze und jeder Anbieter öffentlich zugänglicher Telekommunikationsdienste muss technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik treffen. Wer zusätzlich als Betreiber oder Anbieter mit erhöhtem Gefährdungspotenzial eingestuft wird, unterliegt verschärften Pflichten, insbesondere verpflichtenden Systemen zur Angriffserkennung und der Zertifizierungspflicht für kritische Komponenten.

Die Steuerungsfrage für den CISO ist daher nicht nur die Erfüllung des Katalogs, sondern die eigene Gefährdungsklasse und die Frage, welche Komponenten als kritisch gelten. Daraus folgen Beschaffung, Vorlaufzeiten und Lieferantenrisiken, die nicht kurzfristig korrigierbar sind.

Problem in der Praxis

In vielen TK-Organisationen gilt die Frage nach kritischen Komponenten als reines Beschaffungs- oder Technikthema. Der Einkauf wählt nach Funktion, Preis und Roadmap, und erst später fällt auf, dass eine Komponente als kritisch gilt und vor erstmaligem Einsatz zertifiziert sein muss. Dann fehlt die Zeit, und die Inbetriebnahme verzögert sich.

Ein zweites Muster ist die unklare Selbsteinstufung: Wer nicht aktiv klärt, ob er nach den Katalogkriterien der Bundesnetzagentur ein erhöhtes Gefährdungspotenzial hat, nimmt verschärfte Pflichten womöglich erst nach einer Prüfung durch die Aufsicht ernst. Auch der Lieferkettenbezug wird unterschätzt: Eine kritische Komponente ist keine reine Hardware, sondern eine Lieferbeziehung mit Hersteller, Updates, Fernwartung und Vertrauenswürdigkeit über den Lebenszyklus.

CISO-Einordnung

Das TKG ist im Wesentlichen seit dem 1. Dezember 2021 in Kraft (TKG vom 23. Juni 2021); die Betreiberpflichten stehen in Teil 10, Paragrafen 165 ff. Drei Bausteine bilden ein zusammenhängendes System:

  • Paragraf 165 TKG: technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik als Grundpflicht aller Betreiber und Anbieter; derselbe Paragraf regelt zudem die verschärften Vorgaben, insbesondere verpflichtende Systeme zur Angriffserkennung bei erhöhtem Gefährdungspotenzial sowie die Zertifizierung kritischer Komponenten vor erstmaligem Einsatz.
  • Paragraf 167 TKG: Die Bundesnetzagentur legt im Einvernehmen mit BSI und der oder dem Bundesbeauftragten für den Datenschutz per Allgemeinverfügung einen Katalog von Sicherheitsanforderungen fest. Er bestimmt die kritischen Funktionen (realisiert durch kritische Komponenten) und die Kriterien für ein erhöhtes Gefährdungspotenzial.
  • Paragraf 166 TKG: Sicherheitskonzept und Sicherheitsbeauftragter; das Konzept legt dar, wie die Anforderungen aus Paragraf 165 und dem Katalog nach Paragraf 167 erfüllt werden.

Vorsicht bei Paragrafenbezeichnungen: Die Vorgängernormen (früher Paragraf 109 und 109a TKG alter Fassung) wurden 2021 neu nummeriert, und das Regime wurde durch das NIS-2-Umsetzungsgesetz Ende 2025 weiter verändert. Verbindlich ist stets nur der aktuell geltende Gesetzestext und die aktuell festgestellte Katalogfassung.

Umsetzungsperspektive

Der CISO sollte das Thema in vier Arbeitsströmen führen:

  • Einstufung: dokumentiert klären, ob die Organisation nach den Katalogkriterien ein erhöhtes Gefährdungspotenzial hat. Das ist die Weiche für fast alle weiteren Pflichten.
  • Komponenteninventar: die kritischen Funktionen des Katalogs auf real eingesetzte Komponenten abbilden; daraus ergibt sich, was zertifizierungspflichtig ist.
  • Zertifizierung und Beschaffung: die Zertifizierungsprüfung als Gate vor Beschaffung und erstmaligem Einsatz verankern, mit ausreichenden Vorlaufzeiten.
  • Lieferkette: kritische Komponenten als Lieferbeziehung über den Lebenszyklus steuern (Hersteller, Garantie- und Nachweispflichten, Updates, Fernwartung, Austauschplan).

Als Bezugspunkt für das "Wie" dient ein ISMS nach ISO/IEC 27001; es ist nur Referenz, die Pflicht ergibt sich aus TKG und Katalog.

Typische Fehler

  1. Kritische Komponenten werden erst bei der Inbetriebnahme als zertifizierungspflichtig erkannt, nicht im Beschaffungsprozess.
  2. Die Einstufung als Betreiber mit erhöhtem Gefährdungspotenzial wird abgewartet statt aktiv geklärt.
  3. Das Komponenteninventar bildet nur Hardware ab, nicht Lieferbeziehungen, Updates und Fernwartungszugänge.
  4. Der Lieferkettenaspekt wird auf eine einmalige Lieferantenprüfung reduziert statt als Lebenszyklusthema geführt.
  5. Das Sicherheitskonzept bleibt abstrakt, ohne die Zuordnung kritischer Funktionen zu Komponenten nachzuweisen.

Risiken und Trade-offs

Die Zertifizierungspflicht erhöht Vorlaufzeiten und schränkt die Lieferantenauswahl ein. Diversifizierung steht gegen den Aufwand mehrfacher Zertifizierungen, eine zu enge Lieferantenbasis gegen Klumpenrisiko und Herstellerabhängigkeit. Ein zweiter Trade-off liegt zwischen Geschwindigkeit und Nachweisbarkeit: Schnelle Inbetriebnahmen ohne sauberen Zertifizierungs- und Dokumentationspfad retten Liefertermine, erzeugen aber regulatorisches Risiko und Nacharbeit.

Hinzu kommt, dass die Rechtslage in Bewegung ist: Das Regime wurde Ende 2025 durch das NIS-2-Umsetzungsgesetz verändert, und eine Neufassung des Katalogs befand sich zuletzt in Konsultation. Konkrete Versionsstände, Risikoklassifizierungen und Fristen sind vor verbindlichen Entscheidungen am aktuellen Stand zu prüfen.

Entscheidungspunkte

  • Hat unsere Organisation nach den Katalogkriterien ein erhöhtes Gefährdungspotenzial, und ist das dokumentiert?
  • Welche eingesetzten Komponenten realisieren kritische Funktionen im Sinne des Katalogs?
  • An welcher Stelle im Beschaffungsprozess verankern wir das Zertifizierungs-Gate?
  • Wie diversifizieren wir Lieferanten, ohne den Zertifizierungs- und Integrationsaufwand unbeherrschbar zu machen?
  • Welchen Austausch- oder Notfallplan haben wir, falls eine kritische Komponente untersagt wird?

Praktische Empfehlungen

  1. Gefährdungseinstufung aktiv klären und nachvollziehbar festhalten, statt eine Prüfung durch die Aufsicht abzuwarten.
  2. Ein gepflegtes Inventar kritischer Funktionen und zugeordneter Komponenten führen (Hersteller, Firmware, Fernwartung).
  3. Die Zertifizierungsprüfung als verbindliches Gate vor Beschaffung und erstmaligem Einsatz setzen, mit Vorlaufzeiten.
  4. Kritische Komponenten als Lieferbeziehung über den Lebenszyklus steuern, inklusive Garantie-, Nachweis- und Austauschszenarien.
  5. Verbindliche Details, Versionsstände und Fristen am aktuell geltenden TKG und am aktuell festgestellten Katalog prüfen.

Relevante Normreferenzen

  • TKG, Teil 10, Paragrafen 165 bis 168: Rechtsgrundlage der TK-Sicherheitspflichten, der Zertifizierungspflicht und des Katalogs. Amtliches Werk, frei zitierbar mit Quellenangabe.
  • Katalog von Sicherheitsanforderungen der Bundesnetzagentur (Paragraf 167 TKG): konkretisiert kritische Funktionen, kritische Komponenten und Einstufungskriterien. Amtliche Allgemeinverfügung, frei zitierbar; Versionsstand zu prüfen.
  • BSIG: Regelungen zu kritischen Komponenten (Garantieerklärung, Zertifizierung, mögliche Untersagung), eingeführt durch das IT-Sicherheitsgesetz 2.0; genaue Paragrafen und Verzahnung mit dem TKG zu prüfen.
  • ISO/IEC 27001: Referenz für den ISMS-Rahmen (reference-only, kein Volltext, keine Control-Listen).

Häufige Fragen

Wer hat ein erhöhtes Gefährdungspotenzial?+

Betreiber und Anbieter, die nach den Katalogkriterien der Bundesnetzagentur so eingestuft werden; sie unterliegen verschärften Pflichten, etwa verpflichtenden Systemen zur Angriffserkennung.

Was ist eine kritische Komponente?+

Eine Komponente, die eine im Katalog als kritisch festgelegte Funktion realisiert. Sie muss vor erstmaligem Einsatz zertifiziert sein.

Wo steht die Zertifizierungspflicht?+

Im TKG, im Umfeld des Paragrafen 165, verzahnt mit den BSIG-Regelungen zu kritischen Komponenten (u. a. Garantieerklärung, mögliche Untersagung). Genaue Paragrafen sind zu prüfen.

Welche Rolle spielt die Lieferkette?+

Eine kritische Komponente ist eine Lieferbeziehung über den Lebenszyklus: Hersteller, Updates, Fernwartung und Austauschszenarien gehören zur Steuerung. Konkrete Anforderungen sind am aktuellen Stand zu prüfen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Telekommunikation (TKG) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: tkg-005.