Cybersicherheit mit Augenmaß: Der Wirtschaftsrat zur NIS-2-Umsetzung in Deutschland

Am 4. Juli fand in Berlin die Verbändeanhörung des Bundesinnenministeriums (BMI) zum aktuellen Entwurf des NIS2-Umsetzungsgesetzes (NIS2UmsuCG) statt. Auch der Wirtschaftsrat war mit seiner Bundesfachkommission Cybersicherheit vor Ort und brachte seine Positionen und Verbesserungsvorschläge ein. Der aktuelle Entwurf des Gesetzes zur Umsetzung der EU-NIS-2-Richtlinie ist ein zentrales Element für die zukünftige Cybersicherheitsarchitektur in Deutschland – mit direkten Auswirkungen auf tausende Unternehmen, die öffentliche Verwaltung und die kritische Infrastruktur.

Tempo lobenswert – aber kein Freifahrtschein für Unschärfe

Zunächst ist die Geschwindigkeit, mit der das BMI den Gesetzgebungsprozess vorantreibt, ausdrücklich zu begrüßen. Die zügige Umsetzung der europäischen Vorgaben ist erforderlich, um auf die zunehmenden Bedrohungslagen im Cyberraum angemessen reagieren zu können. Der Wirtschaftsrat erkennt dabei an, dass viele inhaltliche Vorgaben unmittelbar aus der europäischen Richtlinie resultieren und somit national nur begrenzt veränderbar sind.

Doch genau deshalb ist eine präzise und widerspruchsfreie Ausgestaltung auf nationaler Ebene umso wichtiger. Denn die praktische Umsetzung wird nicht in Brüssel, sondern in deutschen Unternehmen und Behörden erfolgen – mit all den Konsequenzen für Arbeitsaufwände, Compliance und Sicherheit.

Klare Begriffe, keine Doppelregulierung

Positiv hervorzuheben ist die Entscheidung, das NIS2UmsuCG und das geplante KRITIS-Dachgesetz nicht synchron zu verhandeln. Eine zeitgleiche Bearbeitung hätte unweigerlich zu Verzögerungen geführt. Gleichwohl muss sichergestellt sein, dass beide Regelwerke inhaltlich kohärent bleiben – in Begrifflichkeiten, Geltungsbereichen und Verpflichtungsniveaus. Abweichungen in Definitionen oder Pflichten würden insbesondere für Unternehmen, die unter beide Gesetze fallen, zu unnötigem Mehraufwand führen und im schlimmsten Fall die Wirksamkeit beider Regelungen untergraben.

Schwellwertregelung: Gute Idee, schlecht abgesichert

Mit Blick auf § 28 des Gesetzentwurfs, in dem Ausnahmen für sogenannte „vernachlässigbare Tätigkeiten“ geregelt sind, unterstützt der Wirtschaftsrat grundsätzlich die Zielsetzung, kleinere oder marginal betroffene Unternehmen von übermäßiger Regulierung zu entlasten. Die aktuelle Formulierung bleibt jedoch zu vage und wirft Fragen zur europarechtlichen Konformität auf. Es besteht die reale Gefahr, dass deutsche Ausnahmeregelungen später vor dem Europäischen Gerichtshof keinen Bestand haben – und die betroffenen Unternehmen dann doppelt betroffen sind.

Hier braucht es entweder eine verbindlichere und konkretere Definition oder eine Rücknahme dieser Regelung zugunsten klarer, rechtssicherer Kriterien. Zugleich stellt sich die Frage, weshalb in diesem Punkt Flexibilität möglich erscheint, nicht jedoch bei praxisrelevanten Aspekten wie Umsetzungs- oder Meldefristen.

Kritikpunkt Bundesverwaltung: Kein zweierlei Maß bei der Cybersicherheit

Ein besonders kritischer Punkt betrifft die Cybersicherheit innerhalb der Bundesverwaltung. Die im aktuellen Entwurf vorgesehenen Regelungen zur Umsetzung des IT-Grundschutzes in nachgeordneten Behörden – insbesondere der Satz in § 30, laut der weiten Teile der Bundesverwaltung ausgenommen sein sollen – sind aus Sicht des Wirtschaftsrates nicht akzeptabel. Dass Einrichtungen mit möglicherweise höheren Schutzbedarfen als Bundesministerien weniger Schutzanforderungen erfüllen sollen, ist ein gefährliches strukturelles Defizit.

Hinzu kommt: Die Vorstellung, dass durch weniger Sicherheitsverpflichtungen Kosten gespart werden könnten, ist nicht nur trügerisch, sondern potenziell hochriskant. Angesichts zunehmender Cyberangriffe ist klar: Die Kosten eines erfolgreichen Angriffs übersteigen regelmäßig die Ausgaben für vorbeugenden Schutz um ein Vielfaches.

Die Kritik des Bundesrechnungshofes, die am selben Tag wie die Anhörung veröffentlicht wurde, unterstreicht diese Problematik mit aller Deutlichkeit. Es darf keine Kompromisse geben, wenn es um die Integrität staatlicher IT-Infrastrukturen geht.

Detektionsrechte: Wirtschaft für mehr Befugnisse – der Staat zögert

Erstaunlich und bedauerlich zugleich ist, dass der Gesetzesentwurf weiterhin eine Beschränkung bei der Detektion von Schwachstellen und Angriffen vorsieht. Der § 15 bleibt hinter den Erwartungen zurück: Das Recht auf Detektion wird weiterhin auf die vom NIS2UmsuCG betroffenen Institutionen begrenzt und auf „bekannte“ Schwachstellen beschränkt.

Gerade hier zeigt sich ein ungewöhnliches Bild: Während der Staat üblicherweise auf weitgehende Eingriffsrechte pocht, ist es diesmal die Wirtschaft, die mehr Befugnisse fordert – aus Gründen der praktischen Wirksamkeit und realen Sicherheit. Ein umfassenderes Detektionsrecht – unabhängig von der betroffenen Unternehmensklasse – wäre einfacher umzusetzen und würde in der Praxis erheblich zur Stärkung der Cyberresilienz beitragen.

Der Wirtschaftsrat fordert daher:

1. Die Ausweitung des Detektionsrechts auf alle Unternehmen – nicht nur auf Be-treiber kritischer Infrastrukturen und besonders wichtiger Einrichtungen. Sicher-heit darf nicht selektiv sein.
2. Die Streichung der Einschränkung auf „bekannte“ Schwachstellen. Effektive Cybersicherheit muss auch die Erkennung neuer, bisher unbekannter Risiken umfassen.

Ein Gesetz, das Cybersicherheit in der Fläche stärken soll, darf sich nicht auf Teilbereiche beschränken oder auf halbem Wege stehen bleiben. Die Bedrohungslage im digitalen Raum kennt keine juristischen Grenzen – weder zwischen Unternehmen und Verwaltung noch zwischen Ministerien und nachgeordneten Behörden.

Deutschland braucht eine schlüssige, ganzheitliche Cybersicherheitsarchitektur. Ein fragmentierter Flickenteppich gefährdet nicht nur einzelne Organisationen, sondern untergräbt das Vertrauen in die digitale Widerstandsfähigkeit unseres gesamten Landes.

Der Wirtschaftsrat wird sich weiterhin mit Nachdruck in den Gesetzgebungsprozess einbringen – konstruktiv, kritisch und stets im Interesse einer leistungsfähigen, innovationsfreundlichen und vor allem sicheren digitalen Ordnung.