Das Bundeskabinett hat heute das nationale Umsetzungsgesetz der europäischen NIS-2-Richtlinie beschlossen. Dazu sagt Marc Fliehe, Fachbereichsleiter Digitalisierung und Bildung beim TÜV-Verband:

" Deutschland ist Ziel hybrider Angriffe und Cyberattacken auf Unternehmen, kritische Infrastrukturen und politische Institutionen gehören zur Tagesordnung. Die Umsetzung der NIS-2-Richtlinie in nationales Recht ist ein wichtiger Schritt, um die Cybersicherheit in der deutschen Wirtschaft zu verbessern. Das Gesetz ist längst überfällig und muss angesichts der Bedrohungslage im Cyberraum zügig beschlossen werden. Mit dem aktuellen Entwurf liegt eine solide Grundlage vor - jetzt braucht es den politischen Willen, offene Punkte im parlamentarischen Verfahren konstruktiv und schnell zu klären."

Aus Sicht des TÜV-Verbands ist es nun Aufgabe des Bundestags, den Gesetzesentwurf an entscheidenden Stellen zu schärfen, um die Wirksamkeit in der Praxis zu erhöhen. Besonders relevant sind dabei folgende Punkte:

1. Ausnahmeregelungen klar definieren oder streichen

Aus Sicht des TÜV-Verbands wirft die neu eingeführte Ausnahme für "vernachlässigbare" Geschäftstätigkeiten erhebliche Fragen auf. Der Begriff ist unbestimmt und wird im Gesetz nicht näher definiert. Es bleibt unklar, nach welchen Kriterien eine Tätigkeit als vernachlässigbar gelten soll. "Ohne präzise Vorgaben besteht die Gefahr uneinheitlicher Auslegung und einer Rechtsunsicherheit für Unternehmen", sagt Fliehe. Zudem könnte diese nationale Sonderregelung zu einem faktischen Ausschluss regulierungspflichtiger Tätigkeiten führen, die laut NIS-2-Richtlinie eigentlich erfasst sein sollten. Der TÜV-Verband sieht daher die Gefahr, dass der deutsche Gesetzgeber mit dieser Öffnungsklausel vom europäischen Harmonisierungsziel abweicht und fordert eine eindeutige und EU-rechtskonforme Ausgestaltung dieser Ausnahme.

2. Nachweispflichten überarbeiten

In der NIS-2-Richtlinie ist eine regelmäßige Nachweispflicht für "besonders wichtige Einrichtungen" vorgesehen, die aus Sicht des TÜV-Verbands im deutschen Gesetz nicht ausreichend umgesetzt ist. "In der Praxis läuft es auf stichprobenartige Einzelfallprüfungen hinaus, was nicht der Intention der Richtlinie entspricht und sicherheitstechnisch bedenklich ist", sagt Fliehe. "Die Behörden müssen die Umsetzung der Sicherheitsmaßnahmen überprüfen und durchsetzen können."

In diesem Zusammenhang sieht der TÜV-Verband auch die Verlängerung der Nachweisfristen für die Betreiber kritischer Infrastrukturen von zwei auf drei Jahre sehr negativ. Fliehe: "Die Betreiber kritischer Infrastrukturen sind regelmäßig gezielten Cyberangriffen ausgesetzt. Eine Verlängerung des Nachweiszyklus ist vor diesem Hintergrund mehr als kontraproduktiv."

3. Vertrauen schaffen durch unabhängige Zertifizierungen

Nur bei Einbindung unabhängiger Dritter ist aus Sicht des TÜV-Verbands sichergestellt, dass das notwendige Vertrauen in die Umsetzung von Cybersicherheitsanforderungen geschaffen werden kann. Deshalb regt der TÜV-Verband an, Zertifizierungen durch akkreditierte und unabhängige Konformitätsbewertungsstellen verbindlich in dem Prozess der Nachweiserbringung (§ 39 BSIG-E) durch die Hersteller vorzusehen.

4. Absicherung der Lieferketten ausformulieren

Mit Blick auf die weitgefassten Formulierungen zur Absicherung der Lieferkette ist es erforderlich, den Unternehmen eine Handreichung und Orientierungshilfe zur Gestaltungstiefe der Maßnahmen zur Absicherung der Lieferkette an die Hand zu geben. In diesem Sinne ist beispielsweise die Forderung "Security by Design" recht vage und bedarf weiterer Detaillierungen. Eine Orientierungshilfe kann sowohl Mindestmaßnahmen aufzeigen als auch Interpretations- und Auslegungsspielräume reduzieren und leistet somit einen Beitrag zur Erhöhung der Klarheit und Handlungssicherheit der Verpflichteten.

Hintergrund: Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) gilt für rund 30.000 Unternehmen in Deutschland. Es verpflichtet die Unternehmen unter anderem zur Durchführung und Einführung von Risikoanalysen und Sicherheitskonzepten, Maßnahmen zur Vorbeugung und Reaktion auf IT-Sicherheitsvorfälle, Zugangskontrollen, Verschlüsselung, Multi-Faktor-Authentifizierung, Mitarbeiterschulungen, Notfallplänen sowie Maßnahmen für die Absicherung der Lieferkette. Diese Anforderungen müssen "dem Stand der Technik" entsprechen und unterscheiden sich je nach Größe, Branche und Kritikalität des Unternehmens.

Quelle: TÜV-Verband e. V. (ots)