Der Bundestag hat Ende vergangener Woche das Gesetzes zur Umsetzung der EU-Richtlinie NIS-2 verabschiedet. Nach Ansicht der Digitalverbands Bitkom wir das die Cybersicherheit in Deutschland stärken und mehr Rechtssicherheit für Unternehmen schaffen.
„Die Umsetzung der europäischen NIS-2-Richtlinie war überfällig. Cyberangriffe bedrohen Wirtschaft, Verwaltung und Gesellschaft. Den deutschen Unternehmen ist so zuletzt ein jährlicher Schaden von 202 Milliarden Euro entstanden“, sagt Bitkom-Präsident Ralf Wintergerst.
Ziel der NIS-2-Richtlinie ist die Stärkung von Resilienz und Cybersicherheit in den Mitgliedstaaten. Dafür wurde unter anderem die Definition kritischer Infrastruktur erweitert und damit eine Vielzahl von Unternehmen zu besonderen Sicherheitsvorkehrungen verpflichtet.
Gut findet der Verband, dass im nun verabschiedeten Gesetz nachgelagerte Bundesbehörden in den Anwendungsbereich von NIS-2 einbezogen werden. Besonders in sensiblen Bereichen der Bundesverwaltung könnten Sicherheitslücken nämlich erhebliche finanzielle Schäden verursachen und das Vertrauen in demokratische Institutionen beschädigen.
„Eine wirksame und glaubwürdige Cybersicherheitsarchitektur setzt voraus, dass der Staat selbst höchste Sicherheitsstandards einhält. Es ist nur konsequent und richtig, dass Bundesbehörden künftig denselben Anforderungen beim Risikomanagement unterliegen wie regulierte Unternehmen“, so Wintergerst.
Eher schädlich findet Bitkom die Neuregelungen zu sogenannten kritischen Komponenten. Vorgesehen ist, dass das Bundesinnenministerium in Abstimmung mit anderen Ressorts kritische Komponenten definiert und künftig auch eigenständig deren Einsatz untersagen kann.
„Unternehmen brauchen verlässliche Rahmenbedingungen, Verbote können erhebliche Auswirkungen auf die Geschäftstätigkeit haben. Vor solch wichtigen Entscheidungen müssen die Betroffenen unbedingt vorab konsultiert werden“, so Wintergerst. Die Definition von kritischen Komponenten sollte nach Ansicht des Bitkom auch künftig auf Grundlage technischer Kriterien durch die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen.
Um Deutschland vor Cyberangriffen zu schützen und einen ganzheitlichen Ansatz für digitale Sicherheit zu schaffen, sollten Unternehmen bei der praktischen Umsetzung der NIS-2-Anforderungen durch das BSI unterstützt werden. Zudem müsse nun auch das KRITIS-Dachgesetz an das NIS-2-Umsetzungsgesetz angepasst und zeitnah umgesetzt werden.
