Bitkom zum Trilog der NIS Richtlinie 2.0

Berlin, 7. Februar 2022

Anlässlich der laufenden Verhandlungen zur NIS Richtlinie 2.0, dem europäischen Pendant zum deutschen IT Sicherheitsgesetz 2.0, erklärt Susanne Dehmel, Mitglied der Bitkom Geschäftsleitung.

»In Brüssel laufen zurzeit die Verhandlungen für den neuen, harmonisierteren europäischen Regulierungsrahmen für Cybersicherheit. Das ist in Anbetracht der wachsenden Bedrohungslage im Cyberraum ausdrücklich zu begrüßen. Insbesondere der Schutz unserer kritischen Infrastrukturen macht zukunftssichere Regelungen essenziell für die europäische Wirtschaft und Gesellschaft.

Der gefundene Kompromiss für die neue Richtlinie ist unterstützenswert und verspricht eine ganzheitliche Stärkung der Cyber-Resilienz in der EU. Die ambitionierten Ziele lassen zum Teil aber die tatsächliche Umsetzbarkeit in der Praxis aus dem Blickfeld. Bitkom sieht deswegen noch Nachbesserungsbedarf im derzeitigen Trilog Verfahren – auch, damit die darauffolgende nationalen Umsetzung der Richtlinie in Form eines IT Sicherheitsgesetzes 3.0 gelingen kann und die Ziele in der Praxis erfüllbar bleiben. 

Die vorgesehene Ausweitung des Anwendungsbereichs auf kleinere Unternehmen der klassischen KRITIS Sektoren (Energie, Wasser, Ernährung, Gesundheit, Verkehr, Finanzwesen, Digitale Infrastruktur) sowie auf zusätzliche Sektoren wie #Abfallwirtschaft, Weltraum und Teile der Fertigungsindustrie ist nachvollziehbar und grundsätzlich zu begrüßen. Allerdings muss mit mehr Augenmaß vorgegangen werden. Die aktuell vorgesehene Size Cap Rule, nach der Unternehmen nach ihrer Größe und weniger nach der Kritikalität der von Ihnen erbrachten Versorgungsleistung in den Anwendungsbereich fallen, läuft dem bisherigen Verständnis kritischer Infrastrukturen in Deutschland zu wider und wird vor allem die mittelstandsgeprägte deutsche Wirtschaft vor Herausforderungen stellen. 

Flaschenhals für Cybersicherheit bleibt der Fachkräftemangel. Es braucht fachkundiges Personal in den Unternehmen und Behörden, die die Zeit und das Wissen haben, sicherheitssteigernde Maßnahmen vor Ort umzusetzen. Ein zusätzlicher bürokratischer Überbau mit Meldepflichten von nur 24 Stunden ist hierfür kaum zuträglich.  

Sorge bereitet im Kontext der Diskussionen um die NIS Richtlinie 2.0 zudem der Rückstau in der Umsetzung des IT Sicherheitsgesetzes 2.0 in Deutschland. Fast ein Jahr nach Verabschiedung des Gesetzesvorhaben fehlen weiterhin zentrale Regelungsbestandteile wie die Rechtsverordnung zu den ›Unternehmen im besonderen öffentlichen Interesse‹. Noch gravierender ist die Tatsache, dass weiterhin kein rechtssicherer und praktikabler Mechanismus existiert, um den Einsatz von kritischen Komponenten in kritischen Infrastrukturen zu regeln, insbesondere im Hinblick auf den 5G-Netzausbau.«

Die ausführliche Bitkom Stellungnahme zum Trilog Verfahren der #NIS #Richtlinie 2.0 kann #online eingesehen werden unter https://www.bitkom.org/sites/default/files/2022-01/03.01.22_bitkom_nis2_positionspapiertrilog.pdf …