Bundestag muss Cybersicherheitsgesetz überarbeiten
Die NIS-2-Richtlinie: Ein Überblick über den Umsetzungsstand in Deutschland
Im Dezember 2022 verabschiedete die Europäische Union die NIS-2-Richtlinie, offiziell bezeichnet als „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau“. Diese neue Regelung soll die Cybersicherheit in den EU-Mitgliedstaaten erheblich verbessern und fordert von den Mitgliedsländern, bestimmte Maßnahmen zu ergreifen. In Deutschland jedoch wird die Umsetzung der Richtlinie bereits seit über zwei Jahren vorangetrieben, und es ist fraglich, ob diese bis zum dritten Jahrestag im Winter vollständig umgesetzt werden kann.
Die vorherige Bundesregierung hatte bereits ein Gesetz zur Umsetzung der NIS-2-Richtlinie initiiert, das unter dem Titel „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ bekannt wurde. Experten äußerten Bedenken bezüglich dieses Entwurfs, die jedoch aufgrund des Wechsels in der Regierung nicht zur Verabschiedung führten. Die Frist zur Umsetzung der EU-Vorgaben endete im Oktober 2024, und die EU-Kommission hatte daraufhin ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet, mit der Aufforderung, die Richtlinie innerhalb von zwei Monaten umzusetzen — auch dieser Zeitraum ist mittlerweile abgelaufen.
Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, äußerte die Hoffnung, dass eine vollständige Umsetzung bis Anfang 2026 erreicht werden kann, sofern die politische Situation stabil bleibt. Vor kurzem hat das Bundeskabinett einen neuen Gesetzesentwurf beschlossen, der jedoch erhebliche Mängel aufweist, die im Rahmen der parlamentarischen Beratung behoben werden müssen.
Die Herausforderungen durch Cyberbedrohungen
Die NIS-2-Richtlinie trägt dem steigenden Bedrohungspotenzial durch Cyberangriffe Rechnung und erweitert den Anwendungsbereich erheblich. Während die erste NIS-Richtlinie nur etwa 8.000 Einrichtungen berücksichtigte, sollen künftig nahezu 30.000 Unternehmen unter die neue Regulierung fallen. Dieses umfassende Regelwerk soll nicht nur spezifische Sektoren adressieren, sondern einen umfassenden Schutz der Wirtschaft fördern. So werden wesentliche und wichtige Einrichtungen definiert, wobei erstere strengeren Anforderungen unterliegen und in der Regel entscheidender für die Aufrechterhaltung der öffentlichen Sicherheit sind.
Die Richtlinie zielt darauf ab, die Kooperation zwischen den EU-Ländern zu verbessern und sicherzustellen, dass nationale Cybersicherheitsbehörden mit ausreichenden Ressourcen ausgestattet sind. Darüber hinaus soll die Zusammenarbeit zwischen den Ländern gestärkt werden, um auf die wachsenden Herausforderungen im Bereich Cybersicherheit angemessen zu reagieren.
Ein bedeutender Schritt in dieser Richtung ist die Unterstützung durch das BSI, das Unternehmen aktiv berät und Orientierungshilfen zur Umsetzung der neuen Vorschriften bereitstellt. Dieses Engagement ist von entscheidender Bedeutung, um den betroffenen Organisationen zu helfen, die gesetzlichen Anforderungen frühzeitig zu erkennen und sich darauf vorzubereiten.
Diskrepanzen zwischen Unternehmen und Staat
Die Umsetzung der NIS-2-Richtlinie stellt nicht nur die Regierung, sondern auch die Wirtschaft vor Herausforderungen. Während die Bundesregierung zögert, müssen Unternehmen ihre Anforderungen bereits erfüllen. Das BSI hilft hier mit umfassenden Ressourcen, die jedoch nicht über die Diskrepanz hinwegsehen können, dass Unternehmen verpflichtet sind, umfangreiche Sicherheitsmaßnahmen zu ergreifen, während die Bundesverwaltung lediglich Mindeststandards erfüllen muss.
Dieser Umstand hat zu einer Diskussion über die Gerechtigkeit der Anforderungen geführt, die Unternehmen und dem Staat auferlegt werden. Die Bundesbehörden müssen sich in der Regel nur an die von ihnen selbst erarbeiteten Standards halten, während Unternehmen mit konkreten Melde- und Registrierungsfristen konfrontiert werden. Ob dies in Anbetracht begrenzter Haushaltsmittel oder der bisherigen Vernachlässigung von IT-Sicherheit in der öffentlichen Verwaltung geschuldet ist, bleibt unklar. Grundsätzlich sollte jedoch ein einheitliches Sicherheitsniveau angestrebt werden, um die allgemeine Cybersicherheit zu gewährleisten.
Die Einführung neuer Rollen innerhalb der Bundesverwaltung, einschließlich des Informationssicherheitsbeauftragten, könnte dazu beitragen, diese Differenzen zu überbrücken. Die Koordination dieser neuen Positionen wird jedoch entscheidend sein, um sicherzustellen, dass alle Ebenen der Verwaltung effizient zusammenarbeiten.
Ein unklarer Rahmen für die Cybersicherheit
In den aktuellen Entwürfen der NIS-2-Umsetzung werden die Begriffe zur Cybersicherheit nicht konsistent verwendet. Die Richtlinie der EU strebt ein einheitliches Verständnis von Konzepten wie „Informationssicherheit“ und „Cybersicherheit“ an, während der deutsche Gesetzesentwurf hiervon abweicht. Dies könnte zu Verwirrung unter den betroffenen Akteuren führen und die Umsetzung der Richtlinie erschweren.
Ein weiteres Problem ist die unklare Definition von „kritischen Anlagen“ und deren Abgrenzung zu „kritischen Infrastrukturen“. Dies trägt zur Verwirrung um den Geltungsbereich der neuen Regularien bei und senkt möglicherweise die Effektivität der Maßnahmen zur Cybersicherheit.
Zusätzlich gibt es besorgniserregende Passagen im Gesetzesentwurf, die Unternehmen einen Ausweg aus der Regulierung bieten, wenn eine Tätigkeit als „vernachlässigbar“ klassifiziert wird. Diese Unklarheiten könnten dazu führen, dass viele Unternehmen ihrer Verantwortung entkommen und das angestrebte Ziel einer Mindestharmonisierung durch die NIS-2-Richtlinie gefährdet wird.
Fazit: Herausforderungen und Chancen in der Cybersicherheit
Die kommenden Wochen werden entscheidend für die zukünftige Entwicklung der Cybersicherheit in Deutschland sein. Ob alle relevanten Einrichtung ihre Resilienz steigern oder ob die bestehenden Verpflichtungen abgeschwächt werden, bleibt abzuwarten. Der Gesetzesentwurf stellt zentrale Fragen nicht ausreichend klar und zeigt Defizite in der Systematisierung und Struktur, die dringend angegangen werden müssen.
Die Notwendigkeit, in Cybersicherheit zu investieren, ist nicht wegzuleugnen, da Cyberangriffe auch erhebliche Kosten verursachen können. Eine klare und umfassende Strategie zur Umsetzung der NIS-2-Richtlinie könnte Deutschland helfen, eine starke Position im Bereich der Cybersicherheit zu etablieren.