Neue Cybersicherheitsrichtlinie: Einheitlicher Schutz für Unternehmen in der EU
Wir
möchten Sie über die jüngsten Entwicklungen in Bezug auf die Network and
Information Systems 2.0 Directive (NIS-2-Richtlinie) informieren. Diese
Richtlinie wurde von der Europäischen Union (EU) als Gesetzgebung mit dem Ziel
eingeführt, die Cyber-Resilienz zu stärken, das Bewusstsein für Cybersicherheit
zu erhöhen und ein gemeinsames Sicherheitsniveau in den EU-Mitgliedsstaaten zu
erreichen. Am 16. Januar 2023 trat die NIS-2-Richtlinie in Kraft und erweiterte
die bisherige NIS-Richtlinie. Die EU-Mitgliedsstaaten sind nun verpflichtet,
die vorgegebenen Cybersicherheitsmaßnahmen bis zum 17. Oktober 2024 umzusetzen.
In Deutschland wird dies durch das NIS-2-Umsetzungs- und
Cybersicherheitsstärkungsgesetz gewährleistet.
Der Wirtschaftsrat unterstützt das Ziel, die unterschiedlichen Sicherheitsniveaus in den EU-Mitgliedstaaten zu vereinheitlichen. Einheitliche Sicherheitsanforderungen erleichtern es Unternehmen, die EU-weit tätig sind, die entsprechenden Maßnahmen kohärent umzusetzen. Im Idealfall tragen sie zu einer geringeren Fragmentierung des digitalen Binnenmarktes bei und verringern Wettbewerbsverzerrungen.
Der Wirtschaftsrat fordert die Bundesregierung auf, die Forderungen von Verbänden und Unternehmen bei der Umsetzung in nationales Recht zu berücksichtigen. Es sollten Überschneidungen und ungewollte Wechselwirkungen mit anderen regulatorischen Vorgaben vermieden werden, um den Erfüllungsaufwand für Unternehmen möglichst gering zu halten. Insbesondere kleine und mittelständische Unternehmen (KMU) sehen sich aufgrund unklarer Vorgaben im derzeit kursierenden Entwurf des Umsetzungsgesetzes mit übermäßigen Anforderungen und Risiken konfrontiert.
Um die volle Wirkung der NIS-2-Richtlinie entfalten zu können, ist es wichtig, dass ihre Umsetzung in eine konsistente und ganzheitliche Strategie zur Verbesserung der Cybersicherheit in Deutschland eingebettet wird. Risikoadäquate Anforderungen an Einrichtungen und Unternehmen, eine kontinuierliche Effizienzsteigerung der Prozesse sowie eine verstärkte Kooperation zwischen Staat und Wirtschaft sind entscheidende Bausteine für den Ausbau des Cyberschutzes am Industriestandort Deutschland.
Bevor die NIS-2-Richtlinie in nationales Recht umgesetzt wird, ist eine angemessene Einbindung von Verbänden, Unternehmen und Vertretern der Zivilgesellschaft angesetzt. Die Beteiligungsprozesse und die derzeit noch unklaren Punkte zur Umsetzung in Deutschland sollen planmäßig bis Mitte 2023 vor der parlamentarischen Sommerpause (8. Juli 2023) geklärt und ein Kabinettsbeschluss der Bundesregierung getroffen sein. Der Abschluss des parlamentarischen Prozesses ist bis Ende Herbst (30. November 2023) vorgesehen. Nach der geplanten Verkündung im März 2024 steht den betroffenen Einrichtungen dann noch ein verhältnismäßig knapper Zeitraum von sechs Monaten für die Umsetzung der im Umsetzungsgesetz enthaltenen Verpflichtungen zur Verfügung.
Die Bundesarbeitsgruppe Cybersicherheit hat sich in den vergangenen Wochen mit Vertretern von Ministerien und Behörden (Bundesinnenministerium und Bundesamt für Sicherheit in der Informationstechnik) intensiv zur Positionierung des Wirtschaftsrates zum Umsetzungsgesetz beraten. Aktuell laufen die Gespräche mit den Berichterstattern der Bundestagsfraktionen der entsprechenden Parteien. Das Positionspapier wird zeitnah veröffentlicht werden.
Unser gemeinsames Ziel ist eine fristgerechte, umfassende und nachhaltige Umsetzung der NIS-2-Richtlinie. Verbände, Unternehmen und Vertreter der Zivilgesellschaft möchten aktiv mitgestalten und zum Wohl aller Beteiligten beitragen!