Die Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS) hat einen überarbeiteten Referentenentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) veröffentlicht. Für die Domain Name Industry ergeben sich keine Änderungen.
Im Frühjahr 2018 hat sich die AG KRITIS erstmals zusammengefunden, um Ideen und Anregungen zur Erhöhung der Resilienz und Sicherheit kritischer Dienstleistungen von Betreibern kritischer Infrastrukturen im Sinne des Gemeinwohls zu entwickeln. Die Arbeitsgruppe besteht aus über 40 Fachleuten und Experten, die sich mit kritischen Infrastrukturen gemäß der Legaldefinition in § 2 Abs, 10 BSI-Gesetz beruflich beschäftigen, zum Beispiel durch Planung, Aufbau, Betrieb sowie Beratung, Forschung oder Prüfung der beteiligten Systeme und Anlagen. Ihr Ziel ist es, die Versorgungssicherheit der deutschen Bevölkerung zu erhöhen, indem man die Bewältigungskapazitäten des Staates zur Bewältigung von Großschadenslagen, die durch Cyberangriffe hervorgerufen wurden, ergänzen und erweitern wollen; die Arbeitsgruppe ist dabei nach eigenen Angaben unabhängig von Staat, Verwaltung oder wirtschaftlichen Interessen. Im Fall der NIS-2 setzt sich die AG KRITIS aktiv dafür ein, im Sinne der zivilgesellschaftlichen Transparenz öffentlich gewordenen Referentenentwürfe zur Verfügung zu stellen. Aktuell hat man nun den Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung mit dem Bearbeitungsstand 02. Juni 2025 veröffentlicht.
Die wohl wichtigste Änderung findet sich in § 28, der in Abs. 1 besonders wichtige Einrichtungen und in Abs. 2 wichtige Einrichtungen definiert und dabei auf die Geschäftstätigkeit abstellt. Im neu formulierten Abs. 3 heißt es nun: „Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. Eine nur geringfügige Nebentätigkeit in einem der genannten Geschäftsbereiche soll also nicht dazu führen, dass der Status einer (besonders) wichtigen Einrichtung begründet wird. Eine kleine Änderung gab es auch im Bereich der Unterrichtungspflichten nach § 35; demnach müssen im Fall eines erheblichen Sicherheitsvorfalls auf Anweisung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) die Empfänger der Dienste von betroffenen Einrichtungen und nicht – wie zuvor – nur von KRITIS-Betreibern unverzüglich informiert werden. Manuel Atug, Gründer und Sprecher der AG KRITIS, zeigte sich dennoch unzufrieden. Die wesentlichen Kritiken der AG KRITIS aus der schriftlichen Stellungnahme zum Referentenentwurf des NIS2UmsuCG vom 02. Oktober 2024 hätten unveränderte Gültigkeit. Darin bemängelt die AG KRITIS unter anderem die Aufhebung der Einschränkungen auf konkrete erhebliche Gefahren für die Anordnung von Maßnahmen gegenüber Anbietern von Telekommunikationsdiensten, den Wegfall von jährlichen statistischen Meldevorschriften der Geheimdienste für unterdrückte Informationsweitergabe an das BSI sowie den Wegfall der Berücksichtigung der Zivilgesellschaft vor dem Erlassen von Rechtsverordnungen.
Auch wenn es sich lediglich um einen überarbeiteten Referentenentwurf handelt, darf man davon ausgehen, dass es zu keinen grundlegenden Änderungen mehr kommt. Die Zeit drängt: Die EU-Kommission hat bereits ein Vertragsverletzungsverfahren gegen die Bundesrepublik Deutschland wegen der fehlenden Umsetzung der NIS-2 eingeleitet. Wäre der neu formierten schwarz-roten Regierung an einer radikalen Überarbeitung gelegen gewesen, wäre diese wohl längst erfolgt.