192. Bundestagssitzung Erste Beratung zur NIS-2-Umsetzung

Anbieter zum Thema

Governikus GmbH & Co. KG

mgm technology partners GmbH

cyberintelligence.institute GmbH

In weniger als einer Woche, am 17. Oktober, fällt die Frist zur Umsetzung der europäischen NIS-2-Richtlinie in nationales Recht. Der Bundestag befasste sich mit dem Thema im Rahmen seiner 192. Sitzung am 11. Oktober 2024.

Mit einer Novellierung des BSI-Gesetzes soll die NIS-2-Richtlinie in Deutschland umgesetzt werden, die Zielsetzung dahinter fasste Johann Saathoff, Parlamentarischer Staatssekretär des Bundesministeriums des Innern und für Heimat (BMI), in der 192. Bundestagssitzung des Jahres 2024 zusammen. Mit dem Gesetz stärke man die Cybersicherheit in der Wirtschaft und in der gesamten Bundesverwaltung. Die neuen Sicherheitsvorgaben und Meldepflichten gälten nunmehr für rund 29.000 statt vormals 4.500 Unternehmen und Organisationen. „Die Vorgaben der Richtlinie setzen wir mit der Novelle des BSI-Gesetzes um. Wir übernehmen den Katalog der Mindestanforderungen für die Cybersicherheit aus der NIS-2-Richtlinie in das BSI-Gesetz. Hierzu zählen unter anderem Risikoanalyse-Konzepte, Maßnahmen zur Aufrechterhaltung des Betriebes, Backup-Management und Konzepte zum Einsatz von Verschlüsselung.“

NIS-2

Bin ich betroffen? Und falls ja, wie sehr?

Die bestehende Meldepflicht werde auf das dreistufige System der NIS-2-Richtlinie ausgebaut. „Und wir erweitern die Befugnisse des BSI zur Aufsicht und Durchsetzung, wie von der NIS-2-Richtlinie vorgegeben.“ All dies sei im Rahmen der sich bietenden Umsetzungsspielräume bürokratiearm und digital ausgestaltet worden. Saathoff betonte auch, dass die gesetzlichen Rahmenbedingungen auch regelmäßig an die jeweilige Bedrohungslage angepasst werden müssten. Er forderte für die Zukunft eine enge Zusammenarbeit von Bund und Ländern, einen kooperativen Föderalismus, und hält gar eine Änderung des Grundgesetzes für notwendig. „Cyberresilienz ist kein Zustand, sondern ein Prozess“, merkte er an.

Marc Henrichmann (CDU/CSU) wirft dem Gesetzentwurf und der Cybersicherheitsstrategie allgemein Schwächen vor. Er bemängelte beispielsweise, dass bisherige Empfehlungen des BSI nun zu einem Gesetz erhoben würden. „Man fragt sich, wie das Ganze beim BMJ durch die Rechtmäßigkeitsprüfung gelangt ist.“ Gleichsam geht Henrichmann angesichts der aktuellen Cyber-Security-Herausforderungen die Umsetzung des Gesetzentwurfs in den Bundesbehörden nicht weit genug. Während sich Bundeskanzleramt und Ministerien zu Anpassungen des Schutzniveaus verpflichteten, würden nachgeordnete Behörden und die Bundesverwaltung insgesamt weiterhin nur die Mindestanforderungen aus der UP Bund (Umsetzungsplan Bund 2017) erfüllen. „Das Gesetz in dieser Form ist ein ‚Schweizer Käse‘“, konstatierte Henrichmann. Fraktionskollegin Petra Nicolaisen sprach gar von lächerlichen Befugnissen und einem zahnlosen Tiger.

Auch hinsichtlich der Möglichkeiten des BSI äußerte Henrichmann Zweifel: Während 800 Planstellen unbesetzt seien, stünden dem Bundesamt für Sicherheit in der Informationstechnik im kommenden Jahr 21 Millionen Euro weniger zur Verfügung. Weitestgehende Einigkeit bestand bei allen angehörten Bundestagsmitgliedern darin, dass ein höheres Schutz- und Sicherheitsniveau erreicht werden müsse, vor allem mit Blick auf die aktuelle Bedrohungslage: Angriffe auf kritische Infrastrukturen, Ransomware-Attacken und Diebstahl geistigen Eigentums, hybride Kriegsführung – allesamt valide und angeführte Beispiele für die Bedrohungen des deutschen Wirtschaftsraums: „Wir schaffen mehr Cybersicherheit nur, wenn sich die Unternehmen darauf konzentrieren können“, unterstrich Manuel Höferlin von der FDP.

IT-Sicherheit

Leitfaden zur NIS-2-Compliance bis Oktober

EU-Richtlinie

NIS-2: Checkliste für die öffentliche Verwaltung

(ID:50200853)