Am 27. Februar 2026 hat das Bundesministerium des Innern den Referentenentwurf für ein „Gesetz zur Stärkung der Cybersicherheit“ veröffentlicht. Was auf den ersten Blick wie ein reines Sicherheitsgesetz wirkt, greift tief in die tägliche Realität von Unternehmen, Domain-Inhabern und akkreditierten Registraren wie uns ein.
Was das Gesetz vorsieht
Der Entwurf ändert drei Gesetze gleichzeitig: das BPolG, das BKAG und das BSIG. Für die Domain-Infrastruktur ist vor allem der neue §16a BSIG relevant. Er gibt dem BSI das Recht, gegenüber Registraren und TLD-Registries anzuordnen, Nameserver-Einträge zu ändern, zu ergänzen oder vollständig zu löschen – inklusive der sogenannten Dekonnektierung, also der sofortigen Unerreichbarkeit einer Domain. Widerspruch und Anfechtungsklage entfalten keine aufschiebende Wirkung. Die Maßnahme gilt, bis das Gegenteil gerichtlich festgestellt ist.
Parallel schreibt §50 BSIG vor, dass Registrare berechtigten Behörden binnen 72 Stunden Zugang zu Domain-Registrierungsdaten gewähren müssen. Liegt die Information nicht vor, ist das binnen 24 Stunden mitzuteilen.
Was das für euch als Domain-Inhaber bedeutet
Eine Domain kann ohne vorherige Anhörung, ohne Benachrichtigung und – durch das Offenbarungsverbot aus §41a BPolG – sogar ohne dass euer Registrar euch informieren darf, abgeschaltet werden. Betroffen sein können legitime Domains, die kompromittiert wurden und für Angriffe missbraucht werden, ohne dass der Domain-Inhaber davon weiß.
Genau hier liegt das zentrale Problem, das auch eco (Verband der Internetwirtschaft e.V.) in seiner Stellungnahme vom 10. März 2026 scharf kritisiert: Der Entwurf unterscheidet nicht zwischen Domains, die gezielt für Angriffe registriert wurden, und solchen, die nachträglich kompromittiert wurden. Bei letzteren drohen, so eco, „massive Kollateralschäden“ – insbesondere bei Mandanten- oder Mehrnutzermodellen, bei denen eine Domain von mehreren Akteuren genutzt wird.
Was das für uns als Registrar bedeutet
Als akkreditierter Registrar sind wir direkt adressiert. Wir müssen BSI-Anordnungen sofort umsetzen – ohne die Möglichkeit, zunächst rechtlich dagegen vorzugehen. Gleichzeitig können wir unter bestimmten Umständen nicht einmal unsere eigenen Kunden über laufende Maßnahmen informieren.
Das schafft eine neue Verantwortungsdimension: Prozesse, Dokumentation und Reaktionszeiten müssen jetzt definiert sein – nicht erst, wenn die erste Anordnung eingeht.
Wie wir bei nicmanager darauf reagieren
Wir nehmen diese Entwicklung ernst und bauen entsprechende interne Strukturen auf: klare Eskalationspfade für behördliche Anordnungen, revisionssichere Dokumentation und – soweit rechtlich zulässig – maximale Transparenz gegenüber unseren Kunden. Unser Ziel ist es, als der Registrar zu gelten, der in einem regulierten Umfeld verlässlich, schnell und rechtskonform handelt.
Der Referentenentwurf ist noch in der Verbändebeteiligung. Wir verfolgen das Verfahren aktiv und werden unsere Kunden auf dem Laufenden halten.
Quellen:
BMI, Referentenentwurf "Gesetz zur Stärkung der Cybersicherheit", 27.02.2026: bmi.bund.de
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/CI1/cyberabwehr.html#:~:text=Der%20Referentenentwurf%20sieht%20als%20Mantelgesetz,von%20Cyberangriffen%20verbessert%20werden%20sollen.
