Der Sicherheitskatalog nach Paragraf 167 TKG
Kernaussage
Der Katalog von Sicherheitsanforderungen nach Paragraf 167 TKG ist kein freiwilliger Leitfaden, sondern die verbindliche Konkretisierung der Sicherheitspflichten im Telekommunikationssektor. Paragraf 165 TKG formuliert die abstrakte Pflicht zu Schutzmaßnahmen nach dem Stand der Technik; der Katalog übersetzt sie in prüfbare Anforderungen.
Für das Management zählt das Zustandekommen: Die Bundesnetzagentur erstellt den Katalog nicht allein, sondern im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), festgelegt durch Allgemeinverfügung. Dieses Einvernehmen bindet Netzsicherheit, IT-Sicherheit und Datenschutz in einen gemeinsam getragenen Rahmen, der für Betreiber unmittelbar gilt.
Problem in der Praxis
Viele Anbieter behandeln das TKG-Sicherheitsregime als reine Dokumentenpflicht: Sicherheitskonzept einreichen, Sicherheitsbeauftragten benennen, abgehakt. Der Katalog wird dabei oft übersehen oder als unverbindliche Empfehlung missverstanden.
Daraus entstehen zwei Fehlbilder. Im ersten gilt das Gesetz als ausreichend, obwohl es nur die Rahmenpflicht enthält und der prüfbare Detailgrad erst im Katalog steht. Im zweiten gilt der Katalog als statisch, obwohl er fortgeschrieben wird; wer auf einer veralteten Fassung plant, baut gegen einen Maßstab, der nicht mehr gilt. Hinzu kommt die Mehrfachbetroffenheit durch das parallele NIS2-/BSIG-Regime, dessen TK-Pflichten inzwischen teils direkt im TKG verankert sind.
CISO-Einordnung
Der Katalog ist das Bindeglied zwischen abstrakter Gesetzespflicht und konkreter Umsetzung und beantwortet vier Steuerungsfragen.
- Wer setzt die Anforderungen? Die Bundesnetzagentur als sektorale TK-Sicherheitsaufsicht, im Einvernehmen mit BSI und BfDI; keine der drei Stellen kann überstimmt werden.
- Was wird verlangt? Konzeptionell die erforderlichen technischen Vorkehrungen, abgestuft nach Gefährdungspotenzial; die Festlegung kritischer Funktionen, die durch kritische Komponenten realisiert werden; sowie Kriterien zur Identifikation von Betreibern mit erhöhtem Gefährdungspotenzial.
- Für wen gilt es? Für Betreiber öffentlicher TK-Netze und Anbieter öffentlich zugänglicher TK-Dienste; bei erhöhtem Gefährdungspotenzial gelten verschärfte Pflichten.
- Bis wann? Spätestens ein Jahr nach Inkrafttreten des Katalogs, sofern dieser nichts anderes bestimmt.
Der Katalog ist regulatorische Pflicht, kein Zertifizierungsschema; die Erfüllung kann über ein ISMS strukturiert werden, das hier nur als methodische Referenz dient.
Umsetzungsperspektive
Der CISO sollte das TKG-Regime als zusammenhängendes System lesen, in dem der Katalog die operative Mitte bildet.
- Rahmenpflicht: Paragraf 165 TKG verlangt Schutzmaßnahmen nach dem Stand der Technik für Fernmeldegeheimnis und personenbezogene Daten sowie zur Beherrschung von Risiken und Störungen.
- Organisationspflicht: Paragraf 166 TKG verlangt einen Sicherheitsbeauftragten und ein Sicherheitskonzept, das Netze und Dienste, mögliche Gefährdungen und die Schutzmaßnahmen nach Paragraf 165 und dem Katalog nach Paragraf 167 darstellt.
- Reaktion: Paragraf 168 TKG regelt die Meldung erheblicher Sicherheitsvorfälle an Bundesnetzagentur und BSI.
Das Sicherheitskonzept ist damit der Nachweisort: Der Katalog liefert die Prüfkriterien, das Konzept die Zuordnung der Maßnahmen. Der geltende Detailgrad hängt von der jeweils festgestellten Katalogfassung ab; neben einer geltenden Fassung ist eine Überarbeitung in Arbeit (unter anderem abgestufte Risikoklassifizierung, stärkere Vorgaben zu Governance und Lieferketten). Versionsnummern, Daten und finaler Stand sind vor verbindlicher Planung an der aktuellen Veröffentlichung der Bundesnetzagentur zu prüfen.
Typische Fehler
- Den Katalog mit dem Gesetzestext gleichsetzen und annehmen, das TKG allein liefere den prüfbaren Maßstab.
- Auf einer veralteten Katalogfassung planen und Änderungen durch neue Allgemeinverfügungen oder Novellen übersehen.
- Das Einvernehmen von BSI und BfDI ignorieren und Datenschutz- oder IT-Sicherheitsaspekte als nachrangig behandeln.
- Die Einstufung als Betreiber mit erhöhtem Gefährdungspotenzial und die Einjahresfrist zu spät adressieren.
- TKG-Pflichten und parallele NIS2-/BSIG-Pflichten samt Meldewegen vermischen.
Risiken und Trade-offs
Der erste Trade-off liegt zwischen Planungssicherheit und Aktualität: Wer zu früh auf einen Entwurfsstand setzt, riskiert Fehlinvestitionen; wer zu lange wartet, verliert die Einjahresfrist und gerichtsfeste Vorbereitung.
Der zweite betrifft die Tiefe: Eine rein katalogkonforme Umsetzung erfüllt formal die Pflicht, kann aber an der realen Bedrohungslage vorbeigehen, weil der Katalog nur Mindestanforderungen setzt; eine zu breite Umsetzung bindet unangemessene Ressourcen.
Der dritte ist die Mehrfachregulierung: TKG, BSIG/NIS2 und gegebenenfalls KRITIS-Resilienzrecht können denselben Betreiber gleichzeitig treffen und ohne klare Zuordnung Lücken oder Doppelaufwände erzeugen.
Entscheidungspunkte
- Fallen wir nach den Katalogkriterien unter erhöhtes Gefährdungspotenzial, und welche verschärften Pflichten folgen daraus?
- Welche Funktionen sind nach dem Katalog kritisch und durch kritische Komponenten realisiert?
- Auf welche Katalogfassung planen wir verbindlich, und wie verfolgen wir den Stand der Überarbeitung?
- Wie verzahnen wir TKG-Pflichten mit parallelen NIS2-/BSIG-Pflichten und Meldewegen, ohne Zuständigkeiten zu vermischen?
Praktische Empfehlungen
- Lesen Sie Gesetz und Katalog gemeinsam: Paragraf 165 als Rahmen, Paragraf 167 als Maßstab, Paragraf 166 als Nachweisort, Paragraf 168 als Reaktionspflicht.
- Verifizieren Sie regelmäßig die aktuell festgestellte Katalogfassung bei der Bundesnetzagentur und beobachten Sie laufende Konsultationen.
- Prüfen Sie frühzeitig die mögliche Einstufung mit erhöhtem Gefährdungspotenzial und verankern Sie die Einjahresfrist als Meilenstein.
- Mappen Sie kritische Funktionen und Komponenten und klären Sie Zertifizierungs- und Nachweisanforderungen vor dem erstmaligen Einsatz.
- Trennen Sie TKG-Aufsicht der Bundesnetzagentur und parallele NIS2-/BSIG-Pflichten samt Meldewegen sauber in der Governance.
Relevante Normreferenzen
- TKG (Telekommunikationsgesetz 2021), insbesondere Paragraf 167 (Katalog von Sicherheitsanforderungen) sowie Paragrafen 165, 166 und 168: amtliches Werk, frei zitierbar mit Quellenangabe. Die genaue Paragrafenzuordnung (früher Paragraf 109 und Paragraf 109a TKG alter Fassung) und der aktuelle Stand sind am geltenden Gesetzestext zu verifizieren.
- BNetzA-Katalog von Sicherheitsanforderungen: amtliche Allgemeinverfügung der Bundesnetzagentur, frei zitierbar mit Quellenangabe; verbindliche Details nur aus der aktuell festgestellten Fassung.
- ISO/IEC 27001: nur als methodische Referenz für ein ISMS, ohne Volltext und ohne Control-Listen.
Häufige Fragen
Wer erstellt den Sicherheitskatalog nach Paragraf 167 TKG?+
Die Bundesnetzagentur, im Einvernehmen mit dem BSI und der oder dem BfDI, festgelegt durch Allgemeinverfügung.
Ist der Katalog für Betreiber verbindlich?+
Ja. Er konkretisiert die gesetzlichen Sicherheitspflichten und ist einzuhalten, in der Regel spätestens ein Jahr nach Inkrafttreten der jeweiligen Fassung.
Was regelt der Katalog inhaltlich?+
Konzeptionell die abgestuften technischen Vorkehrungen, die kritischen Funktionen und Komponenten sowie die Kriterien für erhöhtes Gefährdungspotenzial.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Telekommunikation (TKG) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: tkg-002.
