CybersicherheitStellungnahmen zum NIS2-Umsetzungsgesetz

Der von der Bundesregierung vorgelegte Gesetzentwurf zur Umsetzung der NIS2-Richtlinie der EU, der zugleich der „Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ dienen soll, ist bei einer öffentlichen Anhörung des Innenausschusses auf Kritik gestoßen. Ziel der NIS2-Richtlinie ist laut Bundesregierung die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Die Sachverständigen waren sich einig, dass eine Umsetzung der NIS2-Richtlinie zügig erfolgen müsse. Insbesondere die Ausnahmeregelungen für staatliche Verwaltungen stießen jedoch auf Widerspruch. Gleichzeitig wurde eine bessere Verzahnung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes mit dem KRITIS-Dachgesetz sowie eine Klarstellung der Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) gefordert.

Fehlende Harmonisierung

Ein weiterer Kritikpunkt betraf die unterschiedliche Umsetzungen der NIS2-Richtlinie in den Mitgliedstaaten. Effektive Reaktionen auf Cyberangriffe würden so erschwert, sagte Boris Eisengräber, Leiter Cyber Security des Software-Unternehmens Schwarz Digits. Ein effektives Cybersicherheitsniveau könne nicht allein durch das BSI oder die jeweiligen Sicherheitsfunktionen in Unternehmen gewährleistet werden. Dies sei vielmehr eine gesamtgesellschaftliche Aufgabe. Der Ausschluss staatlicher Stellen und Behörden im Gesetz sei daher der falsche Weg und schwäche die staatliche Vorbildfunktion und das einheitliche Cybersicherheitsniveau. Sven Herpig, Lead Cybersecurity Policy and Resilience interface beim Verein Tech analysis and policy ideas for Europe, sprach von einer  fragmentierte IT-Sicherheitsregulierung, die nun neben einer fragmentierten IT-Sicherheitsarchitektur und einer fragmentierten Cybersicherheitsstrategie in Deutschland stehe.

BSI nicht genügend gestärkt

Ein weiterer Hauptkritikpunkt betrifft die künftige Rolle des Bundesamts für Sicherheit in der Informationstechnik. Die im Koalitionsvertrag festgeschriebene unabhängigere Aufstellung des BSI werde mit dem Gesetzentwurf nicht angegangen, die Rolle der Behörde im nationalen Verwaltungsgefüge bleibe unklar – und das, obwohl das BSI nicht nur in seiner Rolle als Zentralstelle für Cybersicherheit einen massiven weiteren Ausbau erfahren solle, sondern mit NIS2 auch zahlreiche weitere Befugnisse erhalten werde, moniert etwa Dennis-Kenji Kipker von der Universität Bremen.

BSI-Präsidentin Claudia Plattner verwies auf die anhaltend hohe Bedrohungslage im Cyberraum – insbesondere für Kritische Infrastrukturen, Bundesverwaltungen und politische Institutionen. „Cybersicherheit ist inzwischen nationale Sicherheit. Und die braucht das Gesetz dringend“, sagte Plattner. Gleichwohl gebe es Nachbesserungsbedarf. So müssten aus Plattners Sicht IT-Sicherheitsvorgaben für alle Bereiche der Bundesverwaltung gleichermaßen gelten. Die aktuell formulierten Ausnahmen für Bundesbehörden könne man sich nicht leisten. Plattner sprach sich zudem dafür aus, einen starken Chief Information Security Officer (CISO Bund) als zentralen Koordinator beim BSI anzusiedeln.