| §§16a BSIG-E hat Aufmerksamkeit erzeugt. Zu Recht. Aber wer sich nur über staatliche Eingriffe Gedanken macht, hat das eigentliche Bild noch nicht gesehen: 2026 ist das Jahr, in dem Domain-Verwaltung zur Chefsache wird – ob Geschäftsführer wollen oder nicht. |
Am 27. Februar 2026 hat das Bundesministerium des Innern einen Referentenentwurf veröffentlicht, der in Fachkreisen für Aufsehen gesorgt hat.
§§16a BSIG-E gibt dem BSI das Recht, Registraren und TLD-Registrys per Anordnung aufzugeben, die Nameserver-Einträge einer Domain zu ändern, zu ergänzen oder vollständig zu löschen. Widerspruch und Anfechtungsklage haben keine aufschiebende Wirkung.
Kein Rechtsschutz. Sofortvollzug.
Und unter bestimmten Umständen darf dein Registrar dich nicht einmal darüber informieren, dass es passiert.
Das ist beunruhigend genug. Aber wenn du jetzt denkst, das sei das eigentliche Problem – dann lies weiter.
Was §§16a wirklich bedeutet und was er nicht unterscheidet
Die Anordnungsbefugnis des BSI trifft Registrare direkt und unmittelbar: keine Möglichkeit, zunächst rechtlich dagegen vorzugehen, keine Zeit für Rückfragen. Die Domain ist weg, bis ein Gericht das Gegenteil feststellt.
Das Offenbarungsverbot aus §§41a BPolG-E macht die Sache noch heikler: Registrare können verpflichtet werden, ihre Kunden nicht über laufende Behördenmaßnahmen zu informieren. Deine Domain ist offline. Du weißt es nicht. Dein Registrar darf es dir nicht sagen.
Der eco-Verband hat in seiner Stellungnahme vom 10. März 2026 einen fundamentalen Konstruktionsfehler benannt: Der Entwurf unterscheidet nicht zwischen Domains, die gezielt für Angriffe registriert wurden, und solchen, die nachträglich kompromittiert wurden. Wer Opfer eines Hacks ist und dessen Domain für einen Angriff missbraucht wird, kann genauso von einer BSI-Anordnung getroffen werden wie derjenige, der die Domain von Anfang an für kriminelle Zwecke registriert hat.
Kompromittiert zu sein bedeutet in diesem Kontext: doppeltes Pech.
Hinzu kommt ein technischer Konstruktionsfehler: DNS-Eingriffe können nicht auf einzelne URLs oder Pfade begrenzt werden. Bei Shared-Hosting, Franchise-Strukturen oder Multi-Mandanten-Architekturen werden unbeteiligte Dritte mitgetroffen. eco spricht von „massiven Kollateralschäden“.
Der Referentenentwurf befindet sich noch in der Verbändebeteiligung, und die Kritik ist substanziell. Aber er zeigt klar die Richtung: Das BSI entwickelt sich vom passiven Aufseher zum aktiven DNS-Gatekeeper.
Die relevante Frage ist nicht: Wird das passieren?
Die relevante Frage ist: Was wäre, wenn es morgen passiert und ihr habt keinen Notfallplan?
Die eigentliche Neuigkeit: Domain-Verwaltung ist Vorstandspflicht
Während §§16a die öffentliche Debatte dominiert, gilt seit dem 6. Dezember 2025 ein Gesetz, das für Geschäftsführer deutlich konkreter ist.
Das NIS-2-Umsetzungsgesetz verpflichtet Geschäftsführerinnen und Geschäftsführer in §§38 BSIG persönlich, IT-Risikomanagementmaßnahmen zu billigen und deren Umsetzung zu überwachen. Domain-Risiken sind Teil des IT-Risikos. Diese Pflicht kann nicht delegiert werden.
Nicht an den IT-Leiter. Nicht an den CISO. Nicht an den externen Dienstleister.
Die persönliche Haftung bleibt beim Vorstand – unabhängig davon, wer operativ zuständig ist.
Wer jetzt sagt: „Wir haben einen Registrar, der sich darum kümmert“ – gut. Dann kommt die Anschlussfrage, die in §§30 Nr. 4 BSIG steht: Habt ihr geprüft, ob dieser Registrar selbst NIS-2-konform ist?
DNS-Diensteanbieter und Registrare sind nach §§28 BSIG „besonders wichtige Einrichtungen“ – unabhängig von ihrer Größe. Wer als Domaininhaber einen Registrar nutzt, der seine NIS-2-Pflichten nicht erfüllt, verletzt selbst die Lieferkettenanforderungen aus §§30 Nr. 4. Die Kaskade sieht dann so aus:
| Registrar nicht NIS-2-konform → Domaininhaber verletzt Lieferkettenpflicht → Geschäftsführer hat Risikomanagement nicht ordnungsgemäß überwacht → persönliche Haftung + Bußgeld → D&O-Versicherung prüft den Vorsatz-Ausschluss. |
Das maximale Bußgeld: 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Das ist keine Theorie. Das ist die geltende Gesetzeslage, ohne Übergangsfrist.
Die regulatorische Konvergenz: Eine Domain, viele Regulierungen
Was 2026 grundsätzlich neu ist: Domains sind nicht mehr nur ein technisches oder administratives Thema. Sie sind der Knotenpunkt, an dem mehrere Regulierungen gleichzeitig greifen und sich im Schadensfall kumulieren.
| Regulierung | Was sie von der Domain verlangt | Max. Bußgeld |
|---|---|---|
| NIS-2 §§30 BSIG | DNS-Sicherheit nach Stand der Technik | 10 Mio. EUR / 2 % Umsatz |
| NIS-2 §§38 BSIG | Persönliche GF-Haftung für Risikomanagement | Persönliche Haftung |
| Cyberabwehr §§16a BSIG-E | Domain-Dekonnektierung durch BSI, Sofortvollzug | Operativer Totalschaden, kein Rechtsschutz |
| Cyberabwehr §§50 BSIG-E | Datenzugang 72 h / Negativauskunft 24 h | Bis 20 Mio. EUR |
| EU AI Act Art. 50 (ab 02.08.2026) | KI-Kennzeichnungspflicht für Websites | 15 Mio. EUR / 3 % Umsatz |
| EU Cyber Resilience Act (ab 11.09.2026) | DNSSEC-Integrität für Update-Domains | Kategorie-abhängig |
| DSGVO | Datenschutzkonforme Verarbeitung via Website | 20 Mio. EUR / 4 % Umsatz |
Das Entscheidende: Diese Regulierungen kumulieren. Ein einziger Sicherheitsvorfall – ein DNS-Hijacking, eine kompromittierte Domain, ein fehlgeschlagenes TLS-Zertifikat – kann mehrere Verstöße gleichzeitig auslösen.
Und wenn NIS-2 §§32 greift, muss der Vorfall dem BSI innerhalb von 24 Stunden erstgemeldet, nach 72 Stunden aktualisiert und nach einem Monat mit einem vollständigen Abschlussbericht dokumentiert werden. Domain-Hijacking ist ein erheblicher Sicherheitsvorfall im Sinne dieser Meldepflicht.
Gibt es dafür ein Playbook in eurem Unternehmen?
Was „Stand der Technik“ ab 2026 konkret bedeutet
NIS-2 §§30 verlangt Risikomanagement nach „Stand der Technik“. Das BSI hat diesen Standard in IT-Grundschutz APP.3.6 und CS-155 definiert. Was daraus folgt, ist keine Empfehlung – es ist die Messlatte, an der Compliance-Verstöße bewertet werden.
DMARC p=reject ist der geforderte Standard. Wer noch auf p=none steht, hat keine E-Mail-Authentifizierung – er hat ein Monitoring ohne Konsequenz. Google, Yahoo und Microsoft erzwingen DMARC-Enforcement für die Zustellung. NIS-2 §§30 Nr. 7 tut dasselbe für die Compliance.
DNSSEC ist Voraussetzung für DANE und DANE ist nach BSI TR-03108 Teil des sicheren E-Mail-Transports. Wer DNSSEC nicht aktiv betreibt und wartet, baut Sicherheitsarchitektur auf einem ungesicherten Fundament.
TLS-Zertifikate werden kürzer. Seit dem 15. März 2026 beträgt die maximale Laufzeit 200 Tage. Bis 2029 sinkt sie auf 47 Tage. Wer heute noch manuell erneuert, hat kein Prozess-Problem. Er hat keinen Prozess.
DENIC Risk Assessment Phase II startet am 14. April 2026: Domains mit fehlerhaften oder unvollständigen Registrierungsdaten kommen in Quaranäne. Keine Warnung. Keine Übergangsfrist. Und §§50 BSIG-E macht vollständige, korrekte Registrierungsdaten zur Compliance-Pflicht: Jede Behördenanfrage muss innerhalb von 72 Stunden beantwortet werden. Wer fehlerhafte Daten hat, beantwortet sie falsch – oder gar nicht.
Was das für euer Domain Management bedeutet
Domain-Verwaltung war lange eine Aufgabe, die sich zwischen IT-Support und Buchhaltung eingeklemmt hat. Jemand erneuert Domains, wenn sie ablaufen. Jemand aktualisiert DNS-Einträge, wenn Marketing eine neue Kampagne schaltet. Und wenn nichts brennt, fragt niemand nach.
Das Bild hat sich verändert.
Was die Regulierung verlangt – persönliche GF-Haftung, Lieferketten-Prüfpflicht, Meldepflichten in 24 Stunden, technischer Stand nach BSI-Grundschutz – lässt sich nicht mit reaktiver DNS-Administration erfüllen. Was hier verlangt wird, ist eine Unternehmensfunktion. Keine Nebentätigkeit.
Wir nennen das Corporate Domain Management und es steht auf drei interdisziplinären Säulen:
- • Strategie & Organisation — Wer ist in eurem Unternehmen verantwortlich? Wie wird das Domain-Portfolio strukturiert, priorisiert, verteidigt? Welche Domains sind geschäftskritisch, welche sind Altlasten, welche fehlen? Das sind keine IT-Fragen. Das sind Governance-Fragen.
- • Operations & Infrastruktur — DNSSEC, DMARC, TLS-Automatisierung, Registrierungsdaten-Qualität, API-gestützte Prozesse. Was heute nach BSI-Standard Pflicht ist, muss betrieben, überwacht und dokumentiert werden – kontinuierlich, nicht beim nächsten Audit.
- • Sicherheit & Compliance — Incident-Response für Domain-Vorfälle, NIS-2-konforme Lieferkettendokumentation, Vorbereitung auf §§16a-Szenarien, dokumentierte Meldewege für BSI-Vorfälle. Das ist keine Checkliste. Das ist ein Betriebsmodell.
Wie tief ihr dabei Unterstützung braucht, bestimmt ihr.
Das Werkzeug. Wer die Kontrolle behalten und das Werkzeug selbst bedienen will, nutzt nicmanager als leistungsstarke Plattform – mit allen Funktionen, die Corporate Domain Management heute erfordert.
Die verlängerte Werkbank. Wer operative Entlastung und gezielte Fachberatung braucht, ohne die Kontrolle abzugeben, arbeitet mit uns als verlängerte Werkbank – wir springen ein, wo Kapazität oder Expertise fehlt.
Deine Domain-Abteilung. Wer Domain Management komplett auslagern will, bekommt mit uns eine externe Domain-Abteilung – wir übernehmen das vollständige operative und strategische Domain Management als Managed Service.
Das Ziel ist in allen drei Fällen dasselbe: Ihr könnt heute belegen, dass ihr Domain-Governance ernstnehmt – gegenüber dem Vorstand, dem BSI und dem nächsten Audit.
Quellen: BMI, Referentenentwurf „Gesetz zur Stärkung der Cybersicherheit“, 27.02.2026 | eco, Stellungnahme zum Cyberabwehr-Referentenentwurf, 10.03.2026 | NIS-2-Umsetzungsgesetz (NIS2UmsuCG), in Kraft getreten 06.12.2025: BSIG §§28, §30, §32, §33, §38 | CA/Browser Forum Ballot SC-081 | DENIC Risk Assessment Phase II, April 2026 | EU AI Act Art. 50 | EU Cyber Resilience Act
