Kommunale Behörden sollen vom Anwendungsbereich der EU-Richtlinie zur Erhöhung der Cybersicherheit (»NIS 2«) ausgeschlossen sein. Das schlägt jedenfalls der IT-Planungsrat vor; eine verbindliche Regelung gibt es aber noch nicht.
Am 16. Januar 2023 ist die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (NIS 2-Richtlinie) in Kraft getreten. Sie modernisierte den bestehenden Rechtsrahmen, um mit der zunehmenden Digitalisierung und einer sich entwickelnden Bedrohungslandschaft für Cybersicherheit Schritt zu halten. Dazu gehört zum Beispiel die Einrichtung eines Computer Security Incident Response Team (CSIRT) und einer nationalen Behörde für Netzwerk- und Informationssysteme (NIS). Wichtige Anbieter digitaler Dienste wie etwa Suchmaschinen, Cloud-Computing-Dienste oder Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen. Im Zuge der Umsetzung der Richtlinie in nationales Recht, die bis zum 17. Oktober 2024 abgeschlossen sein muss, mehren sich nun die Diskussionen um deren Auslegung und verbleibende Spielräume des nationalen Gesetzgebers. So hat sich etwa der IT-Planungsrat, das zentrale politische Steuerungsgremium bei der Digitalisierung der öffentlichen Verwaltung in Deutschland, zu Wort gemeldet, um Ausnahmen für die Kommunen zu erreichen.
Besondere öffentliche Beachtung findet aktuell ein Vorschlag für ein Konzept zur Identifizierung von Einrichtungen im Sinne von Art. 2 Abs. 2 f) ii) der NIS 2 in einem Beschluss des IT-Planungsrats aus dem September 2023. Die Regelung erfordert ein risikobasiertes Identifizierungskonzept, das Dienste der öffentlichen Verwaltung auf regionaler Ebene ermittelt, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte. Einrichtungen, die nicht unter diese Regelung fallen, müssten daher nur ein verringertes Maß an Cybersicherheit erreichen – und das wären nicht wenige. Unter das Merkmal »regionale Ebene« soll nach Ansicht des IT-Planungsrats jede Einrichtung der öffentlichen Verwaltung fallen, die nicht entweder der Zentralregierung oder der lokalen Ebene zuzuordnen ist. Die Abgrenzung insbesondere zur Kommunalverwaltung sei aber diffizil. Der IT-Planungsrat empfiehlt, auf das kommunale Selbstverwaltungsrecht (Art. 28 Abs. 2 GG) als Abgrenzungskriterium abzustellen. Damit würden beispielsweise die Kreisverwaltungsbehörden / Landratsämter in Bayern und Baden-Württemberg aufgrund der Organisationshoheit des Landrats nicht der »regionalen Ebene«, sondern der »lokalen Ebene« zugeordnet werden; die Rede ist bundesweit von rund 11.000 Kommunen, die ausgenommen wären. Allerdings handelt es sich lediglich um einen Vorschlag; zudem sind eigene landesrechtliche Regelungen nicht ausgeschlossen, was allerdings das Risiko eines Flickenteppichs erhöht. Für Manuel Atug, Gründer der Arbeitsgruppe Kritische Infrastrukturen (AG KRITIS), ein Unding:
Durch das massive Ausklammern der öffentlichen Verwaltung und die vielen Ausnahmen verkommt das Cybersicherheitsstärkungsgesetz eher zu einem Cybersicherheitsschwächungsgesetz. Schade, Chance wieder einmal vertan.
Die Domain Name Industry muss diese Diskussionen im Blick behalten und versuchen, die nationalen Regelungen insbesondere mit Bezug zu Artikel 28 (»Datenbank der Domänennamen-Registrierungsdaten«) der NIS 2 zu vereinheitlichen. Andernfalls droht auch hier ein europäischer Flickenteppich an nationalen Regelungen – zum Nachteil der Kunden.