In Sachen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist das letzte Wort noch nicht gesprochen: bei einer Expertenanhörung im Innenausschuss des Bundestages erntete der Gesetzesentwurf der Bundesregierung erhebliche Kritik. Mit dem Ende der Ampel-Koalition droht dem Gesetz zudem das völlige Aus.
Bis zum 17. Oktober 2024 hatten die EU-Mitgliedsländer Zeit, die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) in nationales Recht umzusetzen. Doch nur Belgien und Kroatien haben die Frist eingehalten. In Deutschland fand am 04. November 2024 zumindest die erste Anhörung zum NIS2UmsuCG im Innenausschuss statt. Rund 105 Minuten wurde die BT-Drucksache 20/13184 unter Vorsitz von Petra Pau (Die Linke) mit mehreren Sachverständigen diskutiert. Die Sachverständigen waren sich einig, dass eine Umsetzung der NIS-2-Richtlinie zügig erfolgen müsse. Insbesondere die Ausnahmeregelungen für staatliche Verwaltungen stießen jedoch auf Widerspruch. Gleichzeitig wurde eine bessere Verzahnung des NIS2UmsuCG mit dem KRITIS-Dachgesetz sowie eine Klarstellung der Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gefordert. Aber auch sonst gab es reichlich Kritik. Unterschiedliche Umsetzungen der NIS-2 in den Mitgliedstaaten würden EU-weit agierende Unternehmen vor Herausforderungen stellen, merkte etwa Boris Eisengräber, Leiter Cyber Security des Software-Unternehmens Schwarz Digits an; effektive Reaktionen auf Cyberangriffe würden so erschwert. Auf dieses Risiko weisen Vertreter der Domain Name Industry schon seit Monaten hin. So warnte etwa Nic.at-Geschäftsführer Richard Wein schon anlässlich des Domain pulse davor, dass grenzüberschreitend arbeitende Registries und Registrare am Ende 27 unterschiedlichen Anforderungskatalogen gegenüberstehen könnten.
Nach Einschätzung von Prof. Dr. Dennis-Kenji Kipker von der Universität Bremen enthält der Gesetzesentwurf noch zu viele Schwächen und Unklarheiten, teilweise auch Maßgaben, »die der Erhöhung des allgemeinen Cybersicherheitsniveaus nicht förderlich sind«. Hauptkritikpunkte beträfen dabei die nach wie vor im nationalen Verwaltungsgefüge unklare Rolle des BSI, die nicht angetastet worden sei. Und das, obwohl das BSI nicht nur in seiner Rolle als Zentralstelle für Cybersicherheit einen massiven weiteren Ausbau erfahren solle, sondern mit der NIS-2 auch zahlreiche weitere Befugnisse erhalten werde. Im Hinblick auf den Datenschutz enthält der Entwurf laut Kipker weitere erhebliche und nennenswerte Schwächen, »die teils sogar unionsrechtswidrig sein dürften«. Aus Sicht der deutschen Wirtschaft sei zudem die Kommunikation und Unterstützung für regulierte Einrichtungen verbesserungswürdig, so Felix Kuhlenkamp vom IT-Branchenverband Bitkom. In anderen Ländern würden die betroffenen Unternehmen von der Regierung aktiv informiert; in Deutschland hingegen müssten 30.000 Unternehmen selbst herausfinden, »ob sie von NIS-2 betroffen sind«. Derweil sei die Bedrohungslage im Cyberraum anhaltend hoch, sagte BSI-Präsidentin Claudia Plattner. Ein sehr hohes Risiko gebe es für kritische Infrastrukturen, Bundesverwaltungen und politische Institutionen. Plattner sagt:
Cybersicherheit ist inzwischen nationale Sicherheit. Und die braucht das Gesetz dringend.
Aller Dringlichkeit zum Trotz ist jedoch rund um das NIS2UmsuCG vergangene Woche mit dem Ende der Ampel-Koalition neue Unsicherheit entstanden. Bundeskanzler Olaf Scholz hat zwar betont, dass er in den verbleibenden Sitzungswochen des Bundestags bis Weihnachten alle Gesetzentwürfe zur Abstimmung stellen wolle, die aus seiner Sicht „keinerlei Aufschub“ duldeten. Dazu zählen für Scholz steuerliche Entlastungen, Ausgaben für die Sicherheit und eine Stabilisierung der Rente; dass das NIS2UmsuCG dazu zählt, darf man aber bezweifeln. Bei Neuwahlen im Februar 2025 könnte es bis weit in das kommende Jahr hinein dauern, bis das Schicksal des NIS2UmsuCG geklärt ist.