TKG-Sicherheitskatalog im Zusammenspiel mit NIS2, KRITIS und ISO 27001: eine CISO-Roadmap
Kernaussage
Telekommunikationsunternehmen sind sicherheitsrechtlich mehrfach betroffen: durch das sektorspezifische TK-Regime des Telekommunikationsgesetzes (TKG, Teil 10, §§ 165 ff.) mit dem Katalog von Sicherheitsanforderungen der Bundesnetzagentur (BNetzA) nach § 167; durch das NIS2-/BSIG-Regime, weil Telekommunikation zum Sektor "digitale Infrastruktur" zählt; und durch die physische All-Gefahren-Resilienz des KRITIS-Rechts.
Für den CISO heißt das: nicht drei getrennte Projekte, sondern ein gemeinsames Managementsystem, das die Pflichten konsolidiert. ISO/IEC 27001 liefert den methodischen Unterbau ("Wie"), TKG und BNetzA-Katalog definieren die verbindlichen Pflichten ("Was/Wozu"). Wer trennt statt verbindet, baut doppelte Strukturen, Nachweise und Kosten auf.
Problem in der Praxis
In der Praxis werden die Regime nacheinander entdeckt: Erst lebt das TKG-Sicherheitskonzept für die BNetzA, dann kommt das NIS2-Umsetzungsgesetz, dann fragt jemand nach KRITIS. Jede Welle erzeugt ihr eigenes Dokument, ihre eigene Meldelogik und ihren eigenen Ansprechpartner.
Das führt zu Reibungen. Begriffe werden vermischt: Die NIS2-Kategorien "besonders wichtige" und "wichtige Einrichtungen" sind seit dem NIS2-Umsetzungsgesetz teilweise direkt im TKG verankert, dürfen aber nicht mit dem allgemeinen BSIG-Auffangregime zusammengeworfen werden. Zuständigkeiten werden verwechselt: Im TK-Sektor ist die BNetzA die sektorale Sicherheitsaufsicht; das BSI ist nur über das Einvernehmen beim Katalog (gemeinsam mit der oder dem BfDI) und als Meldeadressat eingebunden. Spätestens bei einem Vorfall oder einer BNetzA-Prüfung zeigt sich, ob ein integriertes Steuerungsmodell vorliegt oder nur ein Stapel paralleler Artefakte.
CISO-Einordnung
Sinnvoll ist ein Schichtenmodell statt konkurrierender Regelwerke:
- Sektorspezifische TK-Sicherheit: TKG §§ 165 ff. mit dem BNetzA-Katalog nach § 167. Aufsicht: BNetzA.
- Cyber-/IT-Sicherheit nach NIS2: über das BSIG-Regime, für TK weitgehend in das TKG verzahnt. Das TKG wirkt insoweit als sektorspezifisches Sonderregime.
- Physische Resilienz: über das KRITIS-Recht (All-Gefahren-Ansatz), getrennt von der reinen IT-Sicherheit.
Das TKG ist seit der Novelle 2021 (in Kraft im Wesentlichen seit 01.12.2021) der zentrale Anker; die Sicherheitspflichten stehen in Teil 10: § 165 (technische/organisatorische Schutzmaßnahmen), § 166 (Sicherheitsbeauftragter und Sicherheitskonzept), § 167 (Katalog von Sicherheitsanforderungen) und § 168 (Meldung eines Sicherheitsvorfalls); sie lösen die früheren § 109/§ 109a TKG a.F. ab. Da §§ 165 und 167 zuletzt durch das NIS2-Umsetzungsgesetz (Ende 2025) geändert wurden, sind Paragraphenzuordnung und Wortlaut am geltenden Gesetzestext und am festgestellten BNetzA-Katalog zu verifizieren.
ISO/IEC 27001 ist kein weiteres Pflichtregime, sondern die Umsetzungsbasis: Risikomanagement, Rollen, Maßnahmensteuerung und Nachweisführung des ISMS bedienen alle Schichten zugleich. Ein vorhandenes ISMS ersetzt aber keine Pflicht und ist kein Zertifizierungsschema für den Katalog.
Umsetzungsperspektive
Eine knappe CISO-Roadmap folgt der Logik der TKG-Pflichten und nutzt das ISMS als Maschinenraum:
-
Betroffenheit und Scope klären. Feststellen, ob das Unternehmen Betreiber/Anbieter im Sinne des TKG ist, nach den Kriterien des Katalogs (§ 167) erhöhtes Gefährdungspotenzial aufweist und zugleich als "besonders wichtige" oder "wichtige Einrichtung" gilt. Daraus folgt die Pflichtentiefe.
-
Beauftragte und Verantwortung verankern. § 166 TKG verlangt einen Sicherheitsbeauftragten und einen in der EU ansässigen Ansprechpartner. Die Geschäftsleitung trägt seit der NIS2-Verzahnung ausdrücklich Verantwortung und Schulungspflichten. Diese Rollen gehören ins ISMS-Rollenmodell, nicht daneben.
-
Sicherheitskonzept aufsetzen und pflegen. Das Konzept nach § 166 beschreibt Netze und Dienste, Gefährdungen und Maßnahmen zur Erfüllung des § 165 und des Katalogs nach § 167; es ist der BNetzA vorzulegen und bei geänderten Bedingungen anzupassen. Methodisch deckt es sich mit der Risiko- und Maßnahmenlogik eines ISMS.
-
Maßnahmen nach Stand der Technik umsetzen. § 165 verlangt Schutz des Fernmeldegeheimnisses und personenbezogener Daten, Risikobeherrschung, bei erhöhtem Gefährdungspotenzial verpflichtende Angriffserkennung sowie Zertifizierung kritischer Komponenten vor Einsatz. Die gestaffelten Detailanforderungen ergeben sich aus dem gültigen BNetzA-Katalog.
-
Meldekette einrichten. § 168 TKG adressiert erhebliche Sicherheitsvorfälle an BNetzA und BSI; die Fristen sind an der NIS2-Logik orientiert (kurzfristige Erstmeldung, folgende Detail- und Abschlussmeldung) und im Detail dem geltenden TKG zu entnehmen. Wichtig sind eine einheitliche Vorfalldefinition und ein abgestimmter Workflow.
-
Nachweis sichern. Aus dem ISMS-Regelbetrieb sollten Nachweise als Nebenprodukt entstehen, auf die sich BNetzA-Prüfungen und NIS2-Nachweispflichten gleichermaßen stützen.
Typische Fehler
- TKG, NIS2 und KRITIS als getrennte Projekte mit eigenen Dokumentenwelten führen statt als Schichten eines Managementsystems.
- BSI und BNetzA verwechseln und die sektorale Aufsicht der BNetzA unterschätzen.
- Das Sicherheitskonzept als einmaliges Vorlagedokument behandeln statt als gepflegtes Steuerungsartefakt.
- ISO/IEC 27001 als Pflichtersatz missverstehen statt als Umsetzungsbasis.
- Den Versionsstand des BNetzA-Katalogs nicht nachhalten und mit veralteten Anforderungen planen.
- Kritische Komponenten ohne Blick auf Zertifizierungs- und Untersagungsmechanismen (Verzahnung mit dem BSIG) beschaffen.
Risiken und Trade-offs
Ein integriertes Modell spart Aufwand, kann aber sektorale Besonderheiten verwischen: Die BNetzA-Pflichten haben eine eigene Aufsichts- und Meldelogik, die nicht in einem generischen NIS2-Prozess untergehen darf. Umgekehrt erzeugt eine vollständige Trennung der Regime Doppelarbeit, widersprüchliche Nachweise und Meldekonfusion. Der Trade-off liegt zwischen Konsolidierung und sauberer Differenzierung der Vorfalldefinitionen und Aufsichtskanäle.
Zeitliches Risiko: TKG-Rechtsstand und BNetzA-Katalog sind in Bewegung. Wer auf einen überholten Stand plant, riskiert Nacharbeit; verbindliche Detailentscheidungen sind stets gegen das aktuelle TKG und die festgestellte Katalogfassung zu spiegeln.
Entscheidungspunkte
- Ist das Unternehmen Betreiber/Anbieter im Sinne des TKG und Einrichtung mit erhöhtem Gefährdungspotenzial?
- Gemeinsames ISMS für TKG, NIS2 und KRITIS oder bewusst getrennte Teilsysteme?
- Wie definieren wir einen einheitlichen "erheblichen Sicherheitsvorfall" und eine konsolidierte Meldekette an BNetzA und BSI?
- Welche Funktionen sind kritisch, und wie steuern wir die Zertifizierung der realisierenden Komponenten vor Einsatz?
- Wer überwacht laufend den Versionsstand von TKG und BNetzA-Katalog und triggert Anpassungen?
Praktische Empfehlungen
- Erstellen Sie eine Betroffenheitsmatrix, die jede Pflicht einem Regime (TKG / NIS2-BSIG / KRITIS) und einer Aufsicht (BNetzA / BSI) zuordnet.
- Führen Sie Sicherheitsbeauftragten, EU-Ansprechpartner und Geschäftsleitungsverantwortung im ISMS-Rollenmodell zusammen.
- Pflegen Sie das Sicherheitskonzept nach § 166 als lebendes Dokument, gespeist aus dem ISMS-Risiko- und Maßnahmenregister.
- Bauen Sie eine einheitliche Vorfall- und Meldelogik mit klaren Eskalationsstufen und definierten Adressaten (BNetzA und BSI) auf.
- Nutzen Sie ISO/IEC 27001 als methodisches Rückgrat, ohne es mit der regulatorischen Pflichterfüllung gleichzusetzen, und halten Sie Katalog- und Gesetzesstand aktiv nach.
Relevante Normreferenzen
- Telekommunikationsgesetz (TKG 2021), Teil 10, insbesondere §§ 165 bis 168; amtliches, gemeinfreies Werk, zitierfähig mit Quellenangabe (gesetze-im-internet.de/tkg_2021). Paragraphennummerierung und Wortlaut am aktuellen Stand verifizieren (Änderungen u. a. durch das NIS2-Umsetzungsgesetz).
- BNetzA-Katalog von Sicherheitsanforderungen nach § 167 TKG; amtliche Allgemeinverfügung, frei nutzbar mit Quellenangabe (bundesnetzagentur.de). Aktuell festgestellte Fassung heranziehen; eine Neufassung wird an die TKG-/NIS2-Änderungen angepasst.
- ISO/IEC 27001: Referenz für den ISMS-Unterbau zur Umsetzung der TKG-Pflichten (reference-only, keine Volltexte oder Control-Listen).
Häufige Fragen
Reicht eine ISO/IEC-27001-Zertifizierung, um die TKG-Pflichten zu erfüllen?+
Nein. ISO/IEC 27001 liefert den methodischen Unterbau, ersetzt aber weder TKG noch BNetzA-Katalog; die regulatorischen Pflichten bestehen unabhängig davon.
Wer ist im TK-Sektor zuständig, BNetzA oder BSI?+
Die BNetzA ist die sektorale Sicherheitsaufsicht. Das BSI ist über das Einvernehmen beim Katalog (§ 167) und als Meldeadressat (§ 168) eingebunden.
Was bedeutet die Doppelbetroffenheit konkret?+
TK ist sektorspezifisch über das TKG, zugleich über NIS2/BSIG und über das KRITIS-Recht erfasst. Statt getrennter Projekte empfiehlt sich ein gemeinsames Managementsystem mit klarer Regime- und Aufsichtszuordnung.
Welche Rolle spielen kritische Komponenten?+
Der Katalog nach § 167 legt kritische Funktionen und Komponenten fest; kritische Komponenten müssen vor Einsatz zertifiziert sein. Der Mechanismus ist mit dem BSIG verzahnt (Garantieerklärung, mögliche Untersagung); Details am geltenden Recht prüfen.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen Telekommunikation (TKG) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: tkg-006.
