Cybervize - Cybersecurity Beratung

TK-Sicherheit nach dem TKG: Überblick und die Rolle der BNetzA

Telekommunikation (TKG)CISOSicherheitsbeauftragterGeschäftsleitungCompliance-Verantwortliche

Kernaussage

Wer ein öffentliches Telekommunikationsnetz betreibt oder einen öffentlich zugänglichen Telekommunikationsdienst anbietet, unterliegt einem sektorspezifischen Sicherheitsregime. Es steht im Telekommunikationsgesetz (TKG vom 23.06.2021, im Wesentlichen seit 01.12.2021 in Kraft), in Teil 10 "Öffentliche Sicherheit und Notfallvorsorge", in den Vorschriften ab Paragraf 165. Aufsicht führt die Bundesnetzagentur (BNetzA), die zugleich den verbindlichen "Katalog von Sicherheitsanforderungen" festlegt.

Das TKG-Regime ist regulatorische Pflicht (Was und Wozu), kein Zertifizierungsschema. Ein ISMS liefert das Wie der Umsetzung, ersetzt aber weder Gesetzestext noch Katalog.

Problem in der Praxis

In vielen TK-Organisationen ist unklar, welches Regelwerk greift. Der Sektor ist mehrfach betroffen: durch das TKG-Regime, durch NIS2 beziehungsweise das BSIG (Sektor "digitale Infrastruktur") und durch die KRITIS-Resilienzregeln. Seit dem NIS2-Umsetzungsgesetz vom 02.12.2025 (NIS2UmsuCG, BGBl. 2025 I Nr. 301, in Kraft am 06.12.2025) sind Teile der NIS2-Pflichten unmittelbar in das TKG hineingezogen worden; geändert wurden insbesondere die Paragrafen 165 und 167. Begriffe und Zuständigkeiten werden dadurch leicht vermischt.

Hinzu kommt ein Paragraphenstand-Problem: Ältere Sicherheitskonzepte verweisen noch auf die Vorgängernormen Paragraf 109 und 109a TKG (alte Fassung). Die Novelle 2021 hat diese Materie in die Paragrafen 165 bis 168 überführt und neu nummeriert; veraltete Verweise erzeugen unnötige Reibung.

CISO-Einordnung

Das TKG-Regime lässt sich entlang von vier Vorschriften denken (Paragraphenzuordnung am Gesetzestext verifiziert; einzelne Absatzdetails am aktuellen Stand gegenzulesen):

  • Paragraf 165: technische und organisatorische Schutzmaßnahmen nach dem Stand der Technik (Fernmeldegeheimnis, personenbezogene Daten, Schutz gegen Störungen, Risikobeherrschung), Systeme zur Angriffserkennung und Zertifizierung kritischer Komponenten vor erstmaligem Einsatz.
  • Paragraf 166: Sicherheitsbeauftragter, EU-Ansprechpartner sowie Erstellung und Vorlage eines Sicherheitskonzepts bei der BNetzA.
  • Paragraf 167: der "Katalog von Sicherheitsanforderungen", den die BNetzA festlegt.
  • Paragraf 168: Meldung eines erheblichen Sicherheitsvorfalls.

Die BNetzA ist nicht nur Aufsicht, sondern auch Normgeber auf nachgelagerter Ebene. Das BSI ist eingebunden, weil der Katalog im Einvernehmen mit BSI und der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ergeht und weil das BSI zugleich Meldeadressat ist.

Umsetzungsperspektive

Der Katalog nach Paragraf 167 wird durch Allgemeinverfügung festgelegt. Er beschreibt unter anderem die erforderlichen technischen Vorkehrungen (gestaffelt nach Gefährdungspotenzial), die kritischen Funktionen und Komponenten sowie Kriterien zur Identifikation von Betreibern mit erhöhtem Gefährdungspotenzial. Verpflichtete haben die Vorgaben grundsätzlich spätestens ein Jahr nach Inkrafttreten des Katalogs zu erfüllen, sofern dieser nichts anderes bestimmt.

Wichtig für die Planung ist der Versionsstand: Der aktuell gültige Katalogstand und der Status einer für 2025/2026 erwarteten Neufassung sind am Amtsblatt der BNetzA beziehungsweise am Katalog-PDF zu prüfen und nicht als feststehend zu übernehmen. Das Sicherheitskonzept nach Paragraf 166 sollte Netze, Dienste, Gefährdungen und Schutzmaßnahmen so darstellen, dass die Erfüllung der Anforderungen nach Paragraf 165 und dem Katalog nachvollziehbar belegt ist. Ein ISMS nach ISO/IEC 27001 kann den Unterbau liefern, bleibt aber Mittel zum Zweck.

Typische Fehler

  1. Verweise auf die alten Paragrafen 109/109a TKG werden nicht auf die Paragrafen 165 bis 168 aktualisiert.
  2. Das TKG-Regime wird mit dem allgemeinen BSIG-/NIS2-Regime vermischt, statt die Sonderstellung des TKG und die Aufsicht der BNetzA zu trennen.
  3. Es wird mit einem veralteten oder nicht final festgestellten Katalogstand gearbeitet.
  4. Das Sicherheitskonzept wird als einmaliges Dokument behandelt statt als gepflegter Nachweis gegenüber der BNetzA.
  5. Kritische Komponenten werden eingesetzt, ohne den Zertifizierungs- und Einvernehmensmechanismus mitzudenken.

Risiken und Trade-offs

Das TKG-Regime ist verbindliches Recht mit Aufsicht und Sanktionspotenzial. Wer zu schmal interpretiert, riskiert Beanstandungen, Auflagen und bei kritischen Komponenten bis hin zur Untersagung des Einsatzes. Wer jede konzeptionelle Aufzählung des Katalogs als wortgenaue Pflicht liest, überinvestiert möglicherweise an Stellen, die der gültige Katalog anders gewichtet.

Ein zweiter Trade-off ist die Mehrfachregulierung: TK-Organisationen können zugleich vom TKG, vom BSIG/NIS2 und vom KRITIS-Dachgesetz erfasst sein. Eine integrierte Governance, die das TKG als Sonderregime führt und die übrigen Regime daran andockt, ist meist tragfähiger als parallele Silos.

Entscheidungspunkte

  • Welcher Katalogstand ist verbindlich, und ist eine Neufassung bereits festgestellt oder noch im Verfahren?
  • Werden wir als Betreiber mit erhöhtem Gefährdungspotenzial eingestuft, und welche verschärften Pflichten folgen daraus?
  • Welche Komponenten realisieren kritische Funktionen, und ist der Zertifizierungsmechanismus eingeplant?
  • Wie verzahnen wir die Meldepflicht nach Paragraf 168 mit etwaigen Pflichten aus NIS2/BSIG?
  • Wer trägt die Rolle des Sicherheitsbeauftragten, und ist ein EU-Ansprechpartner benannt?

Praktische Empfehlungen

  1. Prüfen Sie den aktuellen Paragraphenstand und den gültigen Katalogstand direkt an den amtlichen Quellen, bevor Sie verbindliche Aussagen treffen.
  2. Aktualisieren Sie interne Dokumente von den alten Paragrafen 109/109a auf die Paragrafen 165 bis 168 TKG.
  3. Führen Sie das Sicherheitskonzept nach Paragraf 166 als lebenden Nachweis, der Maßnahmen auf Paragraf 165 und den Katalog abbildet.
  4. Klären Sie frühzeitig die Einstufung als erhöhtes Gefährdungspotenzial und den Umgang mit kritischen Komponenten.
  5. Verzahnen Sie TKG, NIS2/BSIG und KRITIS in einer gemeinsamen Governance statt in parallelen Silos.

Relevante Normreferenzen

  • Telekommunikationsgesetz (TKG, Fassung vom 23.06.2021), Teil 10, insbesondere Paragrafen 165 bis 168; geändert durch das NIS2UmsuCG (BGBl. 2025 I Nr. 301). Amtliches, gemeinfreies Werk; frei zitierbar mit Quellenangabe (gesetze-im-internet.de/tkg_2021).
  • BNetzA "Katalog von Sicherheitsanforderungen" nach Paragraf 167 TKG (Allgemeinverfügung). Amtliches Werk; frei nutzbar mit Quellenangabe (bundesnetzagentur.de). Versions- und Feststellungsstand ist zu prüfen.
  • ISO/IEC 27001: Referenz für den ISMS-Unterbau (reference-only; keine Control-Listen oder Volltexte).

Häufige Fragen

Wo stehen die Sicherheitspflichten der TK-Betreiber im TKG?+

In Teil 10, ab Paragraf 165 (bis 168). Die frühere Verortung in Paragraf 109 und 109a (alte Fassung) ist mit der Novelle 2021 abgelöst worden.

Welche Rolle hat die BNetzA?+

Sie führt die sektorale TK-Sicherheitsaufsicht und legt den verbindlichen Katalog von Sicherheitsanforderungen fest, im Einvernehmen mit BSI und BfDI.

An wen sind Sicherheitsvorfälle zu melden?+

Erhebliche Sicherheitsvorfälle sind nach Paragraf 168 TKG an BNetzA und BSI zu melden. Die genaue Fristenstufung ist am aktuellen Gesetzestext zu prüfen.

Ist das TKG-Regime dasselbe wie NIS2/BSIG?+

Nein. Das TKG ist das sektorspezifische Sonderregime für TK mit der BNetzA als Aufsicht; seit 2025 sind NIS2-Pflichten teilweise direkt im TKG verankert.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Telekommunikation (TKG) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: tkg-001.