NIS-2-Umsetzungsgesetz: Das sagen die Verbände
Die Bundesregierung hätte nur noch bis Oktober 2024 Zeit, die NIS-2-Richtlinie der EU umzusetzen, über die wir hier bereits berichtet haben. Zum aktualisierten Gesetzentwurf wurden nun die betroffenen Verbände und Branchen konsultiert, deren Urteil gemischt ausfällt.
Die NIS-2-Richtlinie war ein wichtiges Vorhaben in der vergangen EU-Legislaturperiode, um die Cybersicherheit und Resilienz innerhalb der Europäischen Union zu erhöhen und für einheitliche Mindeststandards zwischen den Staaten zu sorgen. Es geht dabei vor allem um die Entwicklung und Umsetzung von Sicherheitsmaßnahmen, die Erfüllung von Registrierungs-, Melde- und Informationspflichten sowie um Schulungen für Mitarbeitende. Die Richtlinie ist seit Januar 2023 in Kraft und das deutsche Gesetz zu ihrer Umsetzung wird bereits seit letztem Jahr diskutiert. Im aktuellen, dritten Referentenentwurf bleiben allerdings noch einige Punkte offen.
Neuer Entwurf mit überschaubaren Änderungen
Der neue Gesetzentwurf aus dem Bundesinnenministerium (BMI) vom 7. Mai versucht nun vor allem die Auslegungsarbeit zu erleichtern, indem Begriffsdefinitionen konkretisiert und mit weiteren tangierenden Gesetzgebungsvorhaben harmonisiert werden, hinsichtlich „besonders wichtiger“ und „wichtiger“ Einrichtungen. Zudem wird klargestellt, dass sämtliche IT-Systeme von als kritisch eingestuften Einrichtungen künftig unter den Anwendungsbereich des Gesetzes fallen. Staatliche Einrichtungen wie das Auswärtige Amts bleiben aber von den Vorgaben weitgehend ausgeschlossen. Auch im Bereich des Risikomanagements gibt es keine signifikanten Änderungen.
Hinzu kommen kleinere Änderungen und Anpassungen, darunter Anhebungen von Fristen für Meldepflichten bei Vorfällen, Konkretisierungen beim Schwachstellenaustausch oder Änderungen bei Bußgeldern. Außerdem soll das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“ am 1. Oktober 2024, also in weniger als vier Monaten, in Kraft treten.
Lob und Kritik von den Verbänden
Zu diesem neuen Entwurf hat mittlerweile eine offizielle Anhörung der Verbände stattgefunden, unter anderem mit dem Bitkom, VATM und BDI. Grundsätzlich begrüßen die Verbände die angestrebte Harmonisierung des Cybersicherheitsniveaus – besonders angesichts der akuten Cyberbedrohungslage – sowie die Fortschritte im neuen Gesetzentwurf. Allerdings sehen sie in einigen Punkten auch noch Verbesserungsbedarf.
So kritisiert der Bitkom in seiner Stellungnahme vor allem, dass die Abstimmung mit dem KRITIS-Dachgesetz fehlt und weiterhin Rechtsunsicherheiten für die Wirtschaft, speziell für kleine und mittlere Unternehmen (KMU) bestehen, die ihre Betroffenheit oft nicht selbst abschätzen könnten. Bemängelt wird auch, dass kommunale Verwaltungen von den Vorgaben des Gesetzes ausgenommen bleiben, obwohl viele ihrer Dienstleistungen zentral für das tägliche Leben sind. Durch die aktuellen Pläne blieben Verwaltungen und staatliche Einrichtungen eine Schwachstelle für die Cybersicherheit.
„Es ist aus unserer Sicht nicht nachvollziehbar, dass die Hauptlast der Umsetzung der Cybersicherheitsmaßnahmen erneut auf die Privatwirtschaft abgewälzt wird, während wesentliche Teile der öffentlichen Verwaltung ausgenommen bleiben.“ (Bitkom)
Bitkom und BDI für Einbezug der öffentlichen Verwaltung
Ähnlich äußert sich der Bundesverband der Deutschen Industrie (BDI), der ebenfalls für die Stärkung der Cyberresilienz von Staat und Wirtschaft eintritt, jedoch die Aufnahme der öffentlichen Verwaltungen der Länder und Kommunen in den Anwendungsbereich des Gesetzes vermisst. Weitere Kritikpunkte betreffen z.B. die fehlende Vertrauenswürdigkeitsüberprüfung von Mitarbeitenden in sicherheitssensiblen Bereichen, keine Anpassungen bei den Vorgaben zu Kritischen Komponenten und die Einführung neuer bürokratischer Pflichten.
Der BDI befürchtet zudem, dass durch unterschiedliche Regelungen innerhalb und außerhalb der EU erhebliche Mehraufwände und ungleiche Standortvoraussetzungen für die Unternehmen entstehen. Positiv wird hingegen aufgenommen, dass die Kategorie „Unternehmen im besonderen öffentlichen Interesse“ aus dem Gesetzentwurf gestrichen wurde und die Nachweispflichten für alle betroffenen Einrichtungen erst drei Jahren nach Inkrafttreten des Gesetzes greifen sollen.
VATM sieht Probleme durch Verzögerung
Diese beiden Punkte werden auch vom VATM gelobt. Speziell die Streichung der erwähnten Kategorie und der Fokus auf Kritische Anlagen sowie wichtige und besonders wichtige Einrichtungen stärke die europaweite Harmonisierung der Cybersicherheitsregulierung und beende den deutschen Sonderweg des IT-Sicherheitsgesetzes 2.0. Problematisch sei allerdings die Verzögerung der Umsetzung in Deutschland, wodurch zum einen die Frist bis Oktober 2024 nicht eingehalten werden könne und zum anderen dann unterschiedliche Zeitvorgaben zu anderen EU-Staaten gelten könnten, die in der Umsetzung deutlich weiter sind. Dies mache es für grenzüberschreitend tätige Unternehmen unnötig kompliziert.
Zudem wird weiterhin angemahnt, die Umsetzung der NIS-2-Richtlinie eng mit dem KRITIS-Dachgesetz abzustimmen, da sonst uneinheitliche Definitionen und Begrifflichkeiten Auslegungsprobleme verursachen könnten. Die Cybersicherheitsverpflichtungen sollten außerdem „gestrafft“ werden, um sich überschneidende oder widersprüchliche Verpflichtungen und unnötige Belastungen oder Kosten für Unternehmen zu vermeiden.
Viele Branchen und Unternehmen betroffen
Zu einer ähnlichen Bewertung des Gesetzentwurfs kommt darüber hinaus die AG KRITIS, die unabhängig von Unternehmen oder Wirtschaftsverbänden agiert:
„Der Gesetzesentwurf bringt einige Klarheiten und tiefgreifende Regulierungen im KRITIS-Umfeld mit sich. Gleichzeitig bewirken unnötige Komplexität und Ausschlüsse eine zerklüftete Regelung insgesamt, aber insbesondere auch der KRITIS-Sektoren. Im Ergebnis ergibt sich die Einstufung einer konkreten Einrichtung als auch der daraus abzuleitenden erforderlichen Tätigkeiten leider erst nach ausführlicher und individueller Betroffenheitsanalyse.“
Wie umfassend das NIS2UmsuCG angelegt und wie breit sein Anwendungsbereich ist, zeigen die Stellungnahmen vieler weiterer Verbände, wie die folgende Auswahl verdeutlicht:
- Deutsche Industrie und Handelskammer
- Bundesverband Glasfaseranschluss
- Bundesverband erneuerbarer Energie
- Bundesverband der Energie- und Wasserwirtschaft
- Bundesverband Windenergie
- Gesellschaft für Informatik
- TÜV-Verband
- Verband der Chemischen Industrie
- Bundesverband der Arzneimittelhersteller
Übergreifende Kritikpunkte …
Aus den Stellungnahmen der Verbände und aus der Anhörung kristallisieren sich dabei einige übergreifende Kritikpunkte am aktuellen Gesetzentwurf heraus: Die Gefahr einer möglichen Doppelregulierung (z.B. mit Blick auf das BSI-Gesetz und das Telekommunikationsgesetz) sei weiterhin nicht ausgeräumt. Zudem wird eine bessere Koordinierung auf EU-Ebene gefordert besonders für international tätige Unternehmen. Und es werden die Harmonisierung mit dem KRITIS-Dachgesetz sowie die Schaffung eines effizienteren, bürokratiearmen Meldewesens als notwendig erachtet.
Auch die Finanzierung des Gesetzes kann noch zum Streitpunkt werden. Denn obwohl der Referentenentwurf vom Mai erstmals Angaben zu Haushaltsausgaben und Erfüllungsaufwänden für die Verwaltung enthält, bleibt die Gesamtbelastung des Bundeshaushalts unklar – mit dem Hinweis, dass über die Details im Rahmen künftiger Haushaltsverhandlungen entschieden werden soll.
Hinzu kommen fehlende Umsetzungsfristen, besonders für kleine und mittlere Unternehmen (KMU), und bei Schadenersatzansprüchen gegen Geschäftsleitungen, die sogenannte Managerhaftung, bleibt die kritisierte Unabdingbarkeit bestehen, was zu steigende Versicherungskosten für die Unternehmen führen könnte.
Immerhin soll das Meldewesen laut BMI klarer und leichter gestaltet werden. Im Idealfall wie von vielen Verbänden gefordert mit einheitlichen und voll digitalisierten Prozessen sowohl für das NIS2UmsuCG als auch das KRITIS-Dachgesetz.
… und ein enger Zeitplan
Inwiefern all diese Kritikpunkte und Verbesserungsvorschläge noch Eingang in den nächsten Gesetzentwurf finden werden, der Anfang Juli vorliegen und auch die Rückmeldungen der Länder berücksichtigen soll, muss sich zeigen.
Ein Inkrafttreten im Oktober ist mittlerweile aber sehr unwahrscheinlich, da zuvor die finale Abstimmung in der Bundesregierung und dann die Beratung durch den Bundesrat und Bundestag erfolgen muss, bevor das Gesetz verabschiedet werden kann. Sollte der endgültige Kabinettsentwurf im Spätsommer 2024 tatsächlich vorliegen, ist mit einem Inkrafttreten im Frühjahr 2025 zu rechnen.