NIS2-Umsetzungsgesetz startet endlich im parlamentarischen Verfahren
Fragen zur konkreten Umsetzung für Länder und Kommunen bleiben offen
NIS2-Umsetzungsgesetz startet endlich im parlamentarischen Verfahren
Fragen zur konkreten Umsetzung für Länder und Kommunen bleiben offen
Cybersicherheitsrichtlinie NIS2 der EU müsste bis Ende Oktober 2024 umgesetzt werden.
Ende Juli 2024 passierte das Umsetzungsgesetz zur europäischen NIS2-Richtlinie das Bundeskabinett, mehr als ein Jahr nach dem ersten Referentenentwurf. Die weltweit zunehmende Anzahl von Cybersicherheitsvorfällen verdeutlicht derweil die Dringlichkeit, das gesamtgesellschaftliche Sicherheitsniveau zu erhöhen. Sowohl die inhaltliche Relevanz als auch die von der EU gesetzte Frist zur Umsetzung in nationales Recht bis Oktober 2024 drängen das gesetzgeberische Verfahren zur Eile.
Ziele und Geltungsbereich des NIS2UmsuCG
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) zielt darauf ab, die Cyber-Sicherheitsvorgaben der europäischen NIS2-Richtlinie (Network and Information Security Directive) in Deutschland umzusetzen und somit das Sicherheitsniveau in den Sektoren der kritischen Infrastruktur zu erhöhen. Anders als das geplante Kritis-Dachgesetz, fokussiert sich das NIS2UmsuCG ausschließlich auf den Schutz vor virtuellen Bedrohungen. Etwa 30.000 Unternehmen werden künftig die dort gestellten Sicherheitsanforderungen erfüllen müssen. Diese Ausweitung reflektiert die zunehmende Bedeutung von Cybersicherheit in verschiedenen Bereichen von Wirtschaft und Gesellschaft.
Für den Geltungsbereich des Gesetzes werden Schwellenwerte definiert. „Besonders wichtig“ sind Unternehmen mit einer Größe ab 250 Mitarbeitern bzw. 50 Mio. Euro Jahresumsatz, die in den definierten Sektoren der kritischen Infrastruktur tätig sind. „Wichtige Einrichtungen“ werden definiert ab einer Größe von 50 Mitarbeitern und 10 Mio. Euro Jahresumsatz. Zudem werden Betreiber kritischer Anlagen gesondert reguliert – eine Kategorie in die Unternehmen fallen, wenn sie in einem Kritis-Sektor mindestens 500.000 Personen versorgen. Zu den definierten Sektoren zählen unter anderem die Bereiche Energie, Transport und Verkehr, Finanzen und Versicherungen, Gesundheit, Trinkwasser und Abwasser, IT und Telekommunikation, Ernährung, Entsorgung sowie Weltraum.
Auf Unternehmen warten starke Sicherheitsauflagen und kontinuierliche Anpassungen der Maßnahmen
Unternehmen und Organisationen müssen umfassende Sicherheitsmaßnahmen implementieren, darunter ein Risikomanagement zur Identifizierung und Bewertung von Sicherheitsrisiken, ebenso verpflichtend sind die dazugehörigen Schutzvorkehrungen. Technische und organisatorische Maßnahmen nach dem aktuellen Stand der Technik werden obligatorisch, um einen Mindeststandard in der IT-Sicherheit zu gewährleisten. Regelmäßige Schulungen für Mitarbeiter und Entscheider werden ebenfalls Pflicht, um ein Bewusstsein für Cyber-Sicherheitsrisiken zu schaffen und die Einhaltung von Sicherheitsrichtlinien zu gewährleisten.
Eine zentrale Neuerung ist die Verschärfung der Meldepflichten. Unternehmen und andere Organisationen im Geltungsbereich sind verpflichtet, schwerwiegende Sicherheitsvorfälle unverzüglich an die zuständigen Behörden zu melden. Dies umfasst nicht nur die Meldung von tatsächlichen Angriffen, sondern auch von potenziellen Bedrohungen. Das Gesetz sieht regelmäßige Überprüfungen und Anpassungen der Sicherheitsmaßnahmen vor, um sicherzustellen, dass diese stets an die aktuellen Bedrohungslagen und technologischen Entwicklungen angepasst sind.
Sanktionen und erweiterte Befugnisse der Behörden
Um die Einhaltung der Vorschriften sicherzustellen, werden die Sanktionen für Verstöße deutlich erhöht. Wer gegen die Vorgaben des NIS2UmsuCG verstößt, muss mit erheblichen Bußgeldern rechnen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere zuständige Behörden erhalten erweiterte Befugnisse zur Überwachung und Durchsetzung der gesetzlichen Vorgaben. Das BSI wird eine zentrale Rolle bei der Koordination und Unterstützung der betroffenen Unternehmen spielen, um eine einheitliche Umsetzung der Sicherheitsstandards sicherzustellen.
Ein weiteres zentrales Element des geplanten Gesetzespakets ist die Förderung der Zusammenarbeit und des Informationsaustauschs zwischen den verschiedenen Akteuren. Dies umfasst den Austausch von Informationen über Bedrohungen und Sicherheitsvorfälle sowie die gemeinsame Entwicklung von Best Practices. Die Zusammenarbeit soll dazu beitragen, die Resilienz gegen Cyber-Bedrohungen auf nationaler und europäischer Ebene zu stärken.
Finanzieller Rahmen entspricht nicht dem definierten Anspruch einer angemessenen Absicherung
Der finanziell definierte Rahmen des Gesetzes zeigt, dass vor allem die Bundesebene mit der Umsetzung befasst sein wird. Die Bundesverwaltung plant bis 2029 mit 772 Mio. Euro Kosten pro Jahr, während die Länder mit 85.000 Euro berücksichtigt werden. Kritiker, darunter der Cyber-Sicherheitsrat Deutschland e.V., bemängeln, dass Länder und Kommunen nicht ausreichend in der Planung von Sicherheitsmaßnahmen mitgedacht werden und darüber hinaus auch von zahlreichen Ausnahmeregelungen betroffen sind, die ein angemessenes Sicherheitsniveau vermissen lassen.
Vor dem Hintergrund der Haushaltslage zeichnet sich eine dramatische Mittelreduzierung ab. Im aktuellen Kabinettsentwurf wurden die Mittel insgesamt stark reduziert. So wurden die einmaligen Kosten für die Bundesverwaltung von 271 auf 64 Mio. Euro gesenkt. Für die geplanten Positionen des Chief Information Security Officers für den Bund (Ciso Bund) sowie die Informationssicherheitsbeauftragten (ISB) der Bundeseinrichtungen kommt es noch härter: Ihre Personal- und Finanzmittel wurden komplett gestrichen. Inwiefern die zu schaffenden Stellen damit mehr sein können als eine bloße Fassade, bleibt fraglich. Angesicht des verantwortungsvollen Aufgabenbereichs und der zu ergreifenden Maßnahmen ist eine solche Beschneidung unangemessen und trägt der Bedrohungslage im Cyberraum nicht genügend Rechnung.
Ausgestaltung in der Landesgesetzgebung steht größtenteils noch aus
Auch wenn die Finanzplanung nicht den Anschein erweckt, so sind die Bundesländer sind ebenfalls stark von der NIS2-Umsetzung betroffen, da die EU-Richtlinie eine Regulierung der regionalen öffentlichen Stellen fordert, deren Ausfall massive Auswirkungen auf Wirtschaft und Gesellschaft haben könnten. Die Bundesländer sind verpflichtet, ein Informationssicherheitsgesetz zu erlassen oder bestehende Gesetze zu novellieren.
Derzeit ist noch kein Trend absehbar, wie die Länder mit der Umsetzung verfahren und welche Auswirkungen sich daraus für kommunale Unternehmen und Verwaltungen ergeben werden. Sachsen beispielsweise hat bereits im Juni – und damit bereits vor der Gesetzgebung durch den Bund – die eigene Gesetzgebung bezogen auf die NIS2-Richtlinie novelliert. Künftig sind alle Behörden der sächsischen Staatsverwaltung „wichtige Einrichtungen“, zudem wird der sächsische ISB mit weitreichenden Befugnissen ausgestattet und der Notfallservice Sax.Cert ausgebaut.
Neben dem Erlass bzw. der Novellierung eines Gesetzes besteht zudem die Möglichkeit über Verwaltungsvorschriften und ähnliche Mittel den Anforderungen gerecht zu werden. Bundesländer, die diesen Weg gehen sind beispielsweise Baden-Württemberg, Niedersachsen, Hessen und das Saarland. Zudem gibt es Bundesländer wie Hamburg und Nordrhein-Westfalen, die angesichts der ausstehenden Bundesgesetzgebung noch keine Regelungen treffen.
Für kommunale Körperschaften zeichnet sich damit ein uneinheitliches Vorgehen ab. Inwiefern zusätzliche Schutzmaßnahmen ergriffen werden müssen und tatsächlich realisierbar sind, hängt zum einen von der Landesgesetzgebung ab – und zum anderen von den Spielräumen der jeweiligen Haushalte. Angesichts der angespannten finanziellen Situation vieler Kommunen scheint es unwahrscheinlich, dass eine wesentliche Erhöhung des Sicherheitsniveaus ohne Unterstützung der Länder und des Bundes erreicht werden kann. Es besteht die Gefahr, dass durch die unkoordinierte föderale Umsetzung ein einheitlich hohes Cybersicherheitslevel nicht erreicht werden wird.
Ausblick auf das gesetzgeberische Verfahren
Der Gesetzgebungsprozess ist bereits in Verzug und wird voraussichtlich auch im parlamentarischen Verfahren weiter tiefgehend und kontrovers behandelt. Die Grünen fordern beispielsweise die Schaffung eines mit entsprechenden Ressourcen ausgestatteten Ciso Bund sowie eine größere Unabhängigkeit des BSI. Zudem ist offen, ob die von Experten geforderte Verlängerung der Umsetzungsfristen realisiert wird, da diese erst im späteren Verlauf in den Verordnungen des Bundesinnenministeriums ausgestaltet werden. Verfassungsrechtlich ist zudem eine angemessene Zeit für das parlamentarische Verfahren geboten. Angesichts dieser Entwicklung ist absehbar, dass sich das Gesetzgebungsverfahren bis in das Jahr 2025 zieht und die Unsicherheit im von geopolitischen Spannungen geprägten Cyberraum vorerst bestehen bleibt.