Das nationale Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie wird die Cybersicherheit in der deutschen Wirtschaft stärken. Es ist notwendig, Ausnahmeregelungen zu präzisieren oder ganz abzulehnen. Unternehmen benötigen klare Richtlinien zur Erbringung von Nachweisen für ihre Maßnahmen.
Heute hat das Bundeskabinett das nationale Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie verabschiedet. Marc Fliehe, Leiter des Fachbereichs Digitalisierung und Bildung beim TÜV-Verband, äußerte sich dazu wie folgt:
„Deutschland sieht sich zunehmend hybriden Angriffen und Cyberattacken gegenüber; Unternehmen sowie kritische Infrastrukturen und politische Institutionen sind häufig betroffen. Die Implementierung der NIS-2-Richtlinie in nationales Recht stellt einen bedeutenden Fortschritt dar, um die Cybersicherheit in Deutschland zu erhöhen. Dieses Gesetz ist längst überfällig und muss angesichts der aktuellen Bedrohungen im Cyberraum schnell umgesetzt werden. Der vorliegende Entwurf bietet eine solide Basis – nun bedarf es des politischen Willens, offene Fragen im parlamentarischen Prozess zügig und konstruktiv zu klären.“
Der TÜV-Verband sieht es als Aufgabe des Bundestags an, den Gesetzentwurf an entscheidenden Stellen nachzubessern, um dessen praktische Wirksamkeit zu steigern. Besonders wichtig sind dabei folgende Aspekte:
1. Klare Definition oder Streichung von Ausnahmeregelungen
Der TÜV-Verband äußert Bedenken hinsichtlich einer neu eingeführten Ausnahme für „vernachlässigbare“ Geschäftstätigkeiten: Der Begriff bleibt unklar und wird im Gesetz nicht näher erläutert. Es bleibt fraglich, welche Kriterien eine Tätigkeit als vernachlässigbar einstufen würden. „Ohne eindeutige Vorgaben besteht die Gefahr uneinheitlicher Interpretationen sowie rechtlicher Unsicherheiten für Unternehmen“, erklärt Fliehe weiter. Zudem könnte diese nationale Regelung dazu führen, dass regulierungspflichtige Tätigkeiten ausgeschlossen werden könnten – obwohl sie laut NIS-2-Richtlinie erfasst sein sollten.
2. Überarbeitung der Nachweispflichten
Laut NIS-2-Richtlinie müssen „besonders wichtige Einrichtungen“ regelmäßig Nachweise erbringen; dies wird jedoch aus Sicht des TÜV-Verbands im deutschen Gesetz nicht ausreichend berücksichtigt: „In der Praxis kommt es oft nur zu stichprobenartigen Einzelfallprüfungen – was nicht dem Ziel dieser Richtlinie entspricht und sicherheitstechnisch bedenklich ist“, so Fliehe weiter.“Die Behörden müssen in der Lage sein, die Umsetzung von Sicherheitsmaßnahmen effektiv zu überprüfen.“
Zudem bewertet der TÜV-Verband die Verlängerung von Nachweisfristen für Betreiber kritischer Infrastrukturen von zwei auf drei Jahre äußerst negativ: „Betreiber kritischer Infrastrukturen sehen sich regelmäßig gezielten Cyberangriffen ausgesetzt; eine Verlängerung dieses Zyklus wäre daher kontraproduktiv.“
3. Vertrauen durch unabhängige Zertifizierungen schaffen
Nur durch die Einbindung unabhängiger Dritter kann laut dem TÜV-Verband das notwendige Vertrauen in die Erfüllung von Cybersicherheitsanforderungen gewährleistet werden: Daher schlägt er vor, dass Zertifizierungen durch akkreditierte und unabhängige Konformitätsbewertungsstellen verbindlich im Prozess zur Nachweiserbringung (§ 39 BSIG-E) vorgesehen werden sollten.
4. Klarheit bei Lieferkettenabsicherung schaffen
Anlässlich weit gefasster Formulierungen zur Absicherung von Lieferketten ist es erforderlich, den Unternehmen Hilfestellungen anzubieten sowie Orientierungshilfen bereitzustellen bezüglich Tiefe ihrer Maßnahmen zur Sicherstellung dieser Absicherung.
Beispielsweise erscheint das Konzept „Security by Design“ vage formuliert und benötigt mehr Details.
Eine solche Orientierungshilfe könnte sowohl Mindestmaßnahmen definieren als auch Spielräume bei Interpretationen reduzieren; dies würde somit helfen klarere Vorgaben zu schaffen.
Hintergrundinformationen: Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) betrifft etwa 30 000 Unternehmen innerhalb Deutschlands.
Es verpflichtet diese unter anderem dazu Risikoanalysen sowie Sicherheitskonzepte einzuführen,
Maßnahmen gegen IT-Sicherheitsvorfälle umzusetzen,
Zugangskontrollen einzuführen,
Datenverschlüsselungen vorzunehmen,
Multi-Faktor-Authentifizierung anzuwenden,
Mitarbeiterschulungsprogramme aufzulegen
Notfallpläne bereitzustellen
und Maßnahmen zum Schutz ihrer Lieferkette umzusetzen.
Diese Anforderungen müssen stets dem Stand aktueller Technik entsprechen , wobei Unterschiede je nach Unternehmensgröße , Branche & Kritikalität bestehen können .
Pressekontakt:
Maurice Shahd
Pressesprecher
TÜV-Verband e.V.
Friedrichstraße 136 | 10117 Berlin
030 760095 -320,presse@tuev-verband.de
www.tuev-verband.de | www.linkedin.com/company/tuevverband |
www.x.com/tuevverband