Bundeskabinett verabschiedet Regierungsentwurf von NIS2UmsuCG - neue Erkenntnisse in Sachen Cybersecurity Compliance

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 24.07.2024

Rechtsgebiete: WirtschaftsrechtComplianceIT-RechtIT-SicherheitsrechtTelekommunikationsrecht|3360 Aufrufe

Heute Mittag hat das Bundeskabinett den Regierungsentwurf für das deutsche NIS2UmsuCG beschlossen. Was hat sich geändert, was ist gleich geblieben, was haben wir zu erwarten? Fünf Antworten auf fünf Fragen in Sachen NIS2.

Wie bewerten Sie den aktuellen Entwurf?

Der neue Entwurf kann nur als bestmöglicher Kompromiss zwischen Rechtssicherheit, politischer Realität und technischer Realisierbarkeit gesehen werden. Viele der in den letzten Monaten geäußerten Kritikpunkte konnten auch in der abschließenden Entwurfsfassung nicht angemessen berücksichtigt werden. Dazu gehört die hohe Komplexität des Anwendungsbereichs, aber auch die Konkretisierung von dem, was betroffene Unternehmen nun technisch in der Cyberabwehr zu leisten haben werden. Nach wie vor ist überdies die Rolle des BSI in der deutschen Cybersicherheitsarchitektur unklar. Bis zuletzt bestand hier Hoffnung, dass mit einer rechtlichen Umstrukturierung auch eine systematische Umstrukturierung in der nationalen Cybersicherheitsagentur einhergehen würde, diese Erwartung wurde nun aber letztlich enttäuscht. Das zeigt sich allein schon daran, dass man die rechtlichen Vorgaben, wie die neue Stelle des CISO Bund (Koordinator für Informationssicherheit) einfach gestrichen hat, anstelle sie detaillierter auszugestalten. Viel kritisiert wurde auch, dass einerseits neue Cybersecurity Pflichten für zigtausende Privatunternehmen mit Erfüllungsaufwänden in Milliardenhöhe geschaffen werden, andererseits der öffentliche Bereich in Bund, Ländern und Kommunen umfassend von den Regelungen ausgenommen wird und hier Cybersicherheit deshalb eher die Ausnahme als der Regelfall ist. Ein fatales und falsches Signal, wenn wir allein an die zahllosen erfolgreichen Cyberangriffe auf öffentliche Einrichtungen und Parteien in den letzten Wochen und Monaten denken. Informierten Kreisen nach sollen diese Einschränkungen vor allem budgetäre Gründe gehabt haben, die aus dem Finanzressort kommen.

Was bedeutet NIS2UmsuCG für Unternehmen in Deutschland und wie sind diese auf die neuen Anforderungen vorbereitet?

Cybersicherheit wird mit NIS2 nun endgültig zur Chefsache: Gleichgültig, ob ich Vorstandsvorsitzender einer Kritischen Infrastruktur oder eines Großkonzerns oder Geschäftsführer eines mittelständischen Zulieferers aus der Automobilindustrie bin, gelten für mich neue Cybersicherheitsanforderungen. Gerade auch die chemische Industrie und damit das gesamte produzierende Gewerbe in Deutschland muss sich auf mehr Cybersicherheit einstellen, ebenso aber auch der Maschinenbau. Geschäftsleiter können Cybersicherheit künftig nicht mehr beliebig auslagern oder gar wegdelegieren, sondern müssen über eigenes Know-how verfügen. Und das kann eben auch bedeuten, sich selbst fortzubilden. Es gibt viele Betriebe, die schieben das Thema auch mit NIS2 noch auf die lange Bank, weil der Rechtsakt aber auch die Sicherheit der Lieferkette adressiert, werden zahllose Unternehmen allein schon als Zulieferer vertraglich zu mehr Cybersicherheit verpflichtet werden, selbst wenn sie selbst nicht in den Anwendungsbereich des Rechtsakts fallen sollten. Im Worst Case kann es den Geschäftsleitern von besonders kritischen Unternehmungen sogar untersagt werden, ihre Geschäftstätigkeit wegen Unzuverlässigkeit fortzuführen. Hier besteht bei vielen Betrieben noch erheblich Luft nach oben, denn Cybersicherheit ist in zahllosen Bereichen der deutschen Industrie nach wie vor Neuland: Wir haben in den letzten zehn Jahren viel in Digitalisierung und Vernetzung investiert, aber zu wenig in die Sicherheit und Nachhaltigkeit.

Wie bewerten Sie die Rolle des BSI nach dem neuen Entwurf?

Das BSI ist schon jetzt nationale Cybersicherheitsbehörde in Deutschland, erhält mit NIS2 aber zahllose neue Befugnisse hin in Richtung einer nationalen Gefahrenabwehrbehörde für alle möglichen Bedrohungen aus dem digitalen Raum. Beim BSI fließen deshalb alle Fäden und Informationskanäle zusammen und das BSI hat nicht nur die Aufgabe, diese Informationen in die richtigen Kanäle zu lenken und zu informieren, sondern muss auch aktiv bei der Behebung von Sicherheitsvorfällen unterstützen und die Öffentlichkeit sensibilisieren. Auch ist es die Schnittstelle zum Informationsaustausch zur europäischen Cybersicherheitsbehörde ENISA. Wo einerseits die Befugnisse rasant wachsen, entstehen andererseits aber auch neue Verantwortlichkeiten. Auch hier bleibt der Gesetzgeber weit hinter den Erwartungen und der Kritik aus der Zivilgesellschaft zurück, indem er das BSI nicht politisch unabhängiger ausgerichtet hat, wie in den letzten Jahren immer wieder vielfach gefordert wurde.

Wie wird der Entwurf und die damit verbundenen Neuerungen die IT-Sicherheit faktisch verändern?

Faktisch werden wir davon ausgehen können, dass sich das allgemeine IT-Sicherheitsniveau in Deutschland in den kommenden Jahren erhöht. Mit welchem Ausmaß, kann man gegenwärtig noch nicht vorhersagen. So gibt es beispielsweise auch in Deutschland zahllose Betriebe, die immer noch nicht die DS-GVO umgesetzt haben, die schon seit 2018 wirksam ist. Es wird sehr stark auch auf die Durchsetzung und Kontrollen durch das BSI und der weiteren zuständigen Behörden wie der Bundesnetzagentur ankommen. Die neu betroffenen Betriebe werden mit den abstrakten rechtlichen Anforderungen aber ganz unterschiedlich umgehen werden, und das ist eine große Herausforderung zwischen technischer Notwendigkeit, Know-how und wirtschaftlicher Realisierbarkeit. Nicht jeder Betrieb in Deutschland wird deshalb in der Lage sein, das gesetzlich geforderte Cybersicherheitsniveau 1:1 umzusetzen. Perspektivisch können wir davon ausgehen, dass die vollständige Umsetzung von NIS2 definitiv 2-3 Jahre in Anspruch nehmen wird.

Wäre mit einer bereits umgesetzten NIS2-Richtlinie z.B. ein Vorfall wie vergangenen Freitag (Stichwort: Crowdstrike Falcon) anders abgelaufen?

Da es sich bei NIS2 um eine europäische Regulierung handelt, die nicht weltweit gilt, wären die Folgen des Black IT Friday vielleicht milder gewesen, aber nicht ausgeblieben. Das Problem ist, dass Regelungen wie NIS2 die Cybersicherheit bei den betroffenen Unternehmen, aber weniger bei den Herstellern adressieren. Und indem hier vieles in die Cloud oder an Drittanbieter outgesourced wurde, bestehen teils nur begrenzte Handlungsspielräume von IT-Sicherheitsbeauftragten und Systemadministratoren. Crowdstrike Falcon entsprach nämlich bislang dem gesetzlich geforderten „Stand der Technik“ auch nach NIS2. Hier kommt es künftig auf weitere EU-Rechtsakte an, die die Sicherheitsprodukte selbst adressieren, so den Cyber Resilience Act (CRA).

Link zum Kabinettsentwurf: https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/CI1/nis2-regierungsentwurf.pdf?__blob=publicationFile&v=1