Nationale Umsetzung der NIS-2-Richtlinie : Nachbesserungen am Gesetz zur Cybersicherheit angekündigt
Die Umsetzung der NIS-2-Richtlinie soll die Cybersicherheit stärken. Am dazu vorgelegten Gesetzentwurf muss auch aus Sicht der Koalition noch nachgearbeitet werden.
Innen-Staatssekretärin Daniela Ludwig (CSU) zeichnete am Donnerstag ein düsteres Szenario vor dem Bundestag. Da Deutschland eine große Wirtschaftsnation in Europa und eine strategische Drehscheibe der Nato sei, hätten die "Feinde unseres Wohlstandes und unserer Demokratie unseren Cyberraum im Visier", sagte sie bei der Einbringung des Gesetzentwurfes zur “Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung”.
Das Bundesamt für Sicherheit in der Informationstechnik soll mehr Befugnisse zur Aufsicht und Durchsetzung erhalten, um Unternehmen gezielter begleiten und die Einhaltung der Sicherheitsstandards überwachen zu können.
Die Bedrohungslage sei angespannt, die Cyberangriffe nähmen weiter zu - "von Kriminellen wie auch von ausländischen Nachrichtendiensten". Hacker erpressten Konzerne, Krankenhäuser und Kommunen. Sie könnten "ganze Infrastrukturen lahmlegen", sagte Ludwig.
Umfangreiche Meldepflichten bei Sicherheitsvorfällen geplant
Daher, so die Staatssekretärin, sei es höchste Zeit zu handeln. Mit der Umsetzung der NIS-2-Richtlinie werde ein deutlich höheres Sicherheitsniveau für die Wirtschaft und die Bundesverwaltung erreicht.
Die Richtlinie setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Außerdem wird der Anwendungsbereich ausgeweitet. Statt jetzt 4.500 Unternehmen seien es in Zukunft mehr als 30.000, die sich den Regelungen unterwerfen müssen.
Grüne nennen Entwurf "völlig entkernte Vorlage"
Die AfD kündigte schon mal ihre Zustimmung an. Gesetzliche Mindeststandards für den Schutz des Cyberraums seien unausweichlich, befand Steffen Janich (AfD). Zwar führe deren Implementierung bei den Unternehmen zu höheren Kosten und mehr Bürokratie. Wer dies ablehne, müsse sich aber fragen lassen, "ob ihm das Risiko einer Insolvenz seines Unternehmens wirklich lieber ist".
„Egal wie stark wir die Tresortür vorne noch verstärken: Wenn die Nebeneingangstür offenbleibt, haben wir in der IT-Sicherheit wenig gewonnen.“
Konstantin von Notz (Grüne) wies daraufhin, dass seine Fraktion schon in der vergangenen Legislaturperiode auf eine Umsetzung der Richtlinie gedrängt habe. Nach dem Bruch der Ampel sei man auf die Union zugekommen, die sich aber der staatspolitischen Verantwortung entzogen habe. Nun komme von der Bundesregierung eine "völlig entkernte Vorlage". Es gebe kein Schwachstellenmanagement und auch keine Aufnahme der öffentlichen Verwaltung in den KRITIS-Bereich, bemängelte er.
Worum es geht
📑 Die EU hat Ende 2022 die zweite "Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau" beschlossen. Die Umsetzung der Richtlinie in Deutschland dauert bereits über zwei Jahre an.
🤝 Die NIS-2-Richtlinie soll gegenüber ihrer Vorgängerin von 2016 mehr Einrichtungen erfassen. Geplant sind auch konkretere Vorgaben sowie eine stärker harmonisierte Umsetzung in den EU-Mitgliedsstaaten. Zudem soll erreicht werden, dass die Cybersicherheitsbehörden mehr Ressourcen erhalten.
Donata Vogtschmidt (Linke) kritisierte ebenfalls, dass "ausgerechnet der Staat selbst versucht, sich aus der Cybersicherheit zurückzuziehen". Einen IT-Grundschutz solle es laut Entwurf nur noch für das Bundeskanzleramt und die Bundesministerien geben - nicht aber für die übrige Bundesverwaltung, kritisierte sie.
Weitere Stärkung des Bundesamts für Sicherheit in der Informationstechnik geplant
So wie der Entwurf aktuell aussieht wird er aber wohl nicht bleiben. Sowohl die Unionsfraktion als auch die Sozialdemokraten sehen Nachbesserungsbedarf. Es müsse darüber gesprochen werden, "wie wir das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch mehr stärken können" und wie weit der Anwendungsbereich des Gesetzes gezogen werden soll, sagte Johannes Schätzl (SPD). "Egal wie stark wir die Tresortür vorne noch verstärken: Wenn die Nebeneingangstür offenbleibt, haben wir in der IT-Sicherheit wenig gewonnen", so der SPD-Abgeordnete.
Marc Henrichmann (CDU) befand, es reiche nicht aus, nur die Bundesministerien und das Bundeskanzleramt in die Regelung miteinzubeziehen. Auch die nachgeordneten Behörden des Bundes müssten erfasst werden. Schließlich sei das schwächste Glied einer Kette entscheidend dafür, "ob sie reißt und wie groß der Schaden wird".
Henrichmann geht es auch um eine Vorbildwirkung. "Wie will ich Mittelständlern und Unternehmen erklären, dass sie entsprechende Vorkehrungen treffen müssen, die für Bürokratie sorgen und Geld kosten, während der Bund sagt, er macht es nicht, weil es zu teuer ist", sagte der Unionsabgeordnete.
Mehr zum Thema lesen
Im Bundestag kommt es zu einer Kontroverse über die Umsetzung der EU-Cybersicherheitsrichtlinie NIS-2.
Cyberattacken und Sabotage: Immer öfter ist kritische Infrastruktur Ziel hybrider Angriffe. Doch wie lassen sich Seekabel, Pipelines und digitale Netze schützen?
Die kritische Infrastruktur ist im Fadenkreuz neuer Kriegsformen. Wie hybride Machtmittel zentrale Bereiche unseres Alltags bedrohen und was dagegen geplant ist.