Cookie-Einstellungen

WR-Intern
23.04.2024
Drucken

Schleppende Umsetzung von NIS-2 – Cybersicherheit in Gefahr

Maßnahmen zur Stärkung der Cybersicherheit
©Adobe Stock (Murrstock)

Deutschland wird die europäische NIS-2-Richtline, die Unternehmen verpflichtet, sich wirksam vor Cyberangriffen zu schützen, voraussichtlich in dieser Legislaturperiode nicht umsetzen können. Angesichts von Milliardenschäden der deutschen Wirtschaft in dies fatal. Dass NIS 2 für Kommunen nicht verbindlich wird, ist darüber hinaus unverständlich.

Im vergangenen Monat wurde Andreas Könen, der hochgeschätzte Abteilungsleiter für Cyber- und Informationssicherheit im Bundesministerium des Innern und für Heimat (BMI), kurzfristig in den Ruhestand versetzt, was in Fachkreisen für Spekulationen sorgte. Insbesondere die Umsetzung der NIS-2-Richtlinie (The Network and Information Security Directive) könnte hierbei einen konkreten Hintergrund darstellen. Indizien hierfür sind die erneute Ablehnung durch die Ampelmehrheit am 10. April 2024, den Innenausschuss des Deutschen Bundestags mit dem Thema „Umsetzung von NIS 2, insbesondere in Bezug auf die Absetzung von Herrn Könen“, zu befassen, sowie die wiederholte Streichung dieses Themas von der Tagesordnung des Ausschusses.

NIS 2 zielt darauf ab, Maßnahmen zur Stärkung der Cybersicherheit für eine breite Masse von Unternehmen in ganz Europa verbindlich zu machen. Allein in Deutschland werden etwa 30.000 Unternehmen von NIS 2 betroffen sein. Sie werden verpflichtet sein, ihre Maßnahmen zum Schutz vor Cyberangriffen zu verstärken, strengere Sicherheitsstandards zu etablieren und ihre IT-Systeme stets auf dem neuesten Stand zu halten. Angesichts der wachsenden wirtschaftlichen Schäden durch Cyberkriminalität ist dies dringend erforderlich. Laut einer Studie des Digital-Branchenverbands Bitkom sind der deutschen Wirtschaft im vergangenen Jahr durch Cyberkriminalität Schäden in Höhe von 206 Milliarden Euro entstanden.

Es war bereits fraglich, wie die deutsche Umsetzung der NIS-2-Richtlinie bis zu ihrem Inkrafttreten am 18. Oktober 2024 erreicht werden soll. Jetzt verdichten sich die Gerüchte, dass NIS 2 in dieser Legislaturperiode nicht mehr umgesetzt wird. Dies liegt weniger an der Arbeit des Innenministeriums als vielmehr daran, dass in anderen Ministerien keine Einigung in Sicht ist. Das Bundesfinanzministerium ist sich nicht über die Finanzierung einig, das Auswärtige Amt hat Bedenken wegen der Auslands-IT und das Justizministerium wegen der angestrebten Zentralstelle.

Die Unfähigkeit der Ampelregierung, eine EU-Richtlinie angemessen umzusetzen und ins deutsche Recht zu übertragen, ist nicht nur angesichts des Signals, das dies an die deutsche Wirtschaft sendet, eine Katastrophe, sondern nimmt auch vielen Unternehmern den Anreiz, sich weiterhin mit diesem Thema zu befassen. Angesichts einer Umfrage der ESET Deutschland GmbH, die zeigt, dass derzeit 61 Prozent der befragten Unternehmen über keine ausreichende Grundabsicherung verfügen und viele Unternehmen noch nicht einmal wissen, dass sie unter NIS 2 fallen werden, ist dies ein fatales Signal.

Generell ist es nach wie vor unverständlich, dass NIS 2 nicht auch auf Kommunen ausgeweitet wird. Das Eingeständnis des IT-Planungsrates, Kommunen generell nicht einzubeziehen, kann nur so verstanden werden, dass diese so weit von einer möglichen Erfüllung von NIS 2 entfernt sind, dass eine solche derzeit gar nicht möglich ist. Der Wirtschaftsrat fordert daher, die Entscheidung des IT-Planungsrates, die Kommunen nicht einzubeziehen, um einen konkreten Zeitplan zu ergänzen. Dieser soll festlegen, bis zu welchem Zeitpunkt die entsprechenden Vorgaben auch auf dieser Ebene erfüllt sein müssen.

Claudia Plattner MdB, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), fordert den Aufbau einer „Cyber-Nation Deutschland“, um den Herausforderungen der Cyberkriminalität gerecht zu werden. Eine wichtige Säule hierbei wäre es, dass sich die Politik endlich ernst zu nehmend mit dem Thema Cybersicherheit sowie der enormen Bedeutung für Deutschland auseinandersetzt und dem erkennbar auch Taten folgen lässt.