Seite 2: Eher Flickenteppich als Fundament

Inhaltsverzeichnis

Außerdem muss man leider feststellen, dass im NIS2UmsuCG – wie auch im KritisDG – sehr viele Ausnahmen gelten. Für die Finanzbranche ergibt das noch Sinn, da hier mit DORA eine sektorspezifische Umsetzung von NIS2 unter der Kontrolle der Aufsichtsbehörde Bafin existiert. Auch bei der Telekommunikation sind entsprechende Ausnahmen wegen Telekommunikationsgesetz, Telemediengesetz und der Aufsichtsbehörde Bundesnetzagentur gegeben. Aber viele weitere Ausnahmen sind nicht ohne Weiteres nachvollziehbar. So sind etwa die Gesellschaft für Telematik explizit und einige weitere Einrichtungen auf Basis der Sozialgesetzbücher ausgenommen. Sind sie nicht kritisch für die Cybersicherheit in Deutschland?

Kommunen und Landkreise bleiben auch mit der neuen Richtlinie im Cyberraum verwundbar, da das Gesetz sie nicht als relevante öffentliche Verwaltung sieht. Am Ende müsste der Bund den circa 11.500 Kommunen die Cybersicherheit bezahlen, wenn er diese einfordert. Und das will er offenbar nicht. So wurde vorab im IT-Planungsrat per Beschluss empfohlen, die Kommunen und Landkreise nicht (!) in NIS2 aufzunehmen – so sieht der Digitalisierungsgrad der öffentlichen Verwaltung also aus. Durch das massive Ausklammern der öffentlichen Verwaltung und die vielen Ausnahmen verkommt das Cybersicherheitsstärkungsgesetz eher zu einem Cybersicherheitsschwächungsgesetz. Schade, Chance wieder einmal vertan.

Auch alle Einrichtungen, die für die nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung tätig sind oder Dienste erbringen, sind ausgenommen. Das schließt Einrichtungen zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten ein. Des Weiteren können das Bundesministerium des Innern und für Heimat, das Bundeskanzleramt, das Bundesministerium der Justiz, das Bundesministerium für Verteidigung sowie die Ministerien für Inneres und Justiz der Länder besonders wichtige oder wichtige Einrichtungen von den NIS2-Verpflichtungen befreien lassen; eine weitere Ausnahmeregelung, die der Cybersicherheit nicht förderlich ist.

Überprüfung besonders wichtiger Einrichtungen fehlt

Die Sektorenlisten wurden immerhin so erweitert, dass endlich auch Forschungseinrichtungen und Produktion, Herstellung und Handel mit chemischen Stoffen Einzug finden. Allerdings scheint der bisherige KRITIS-Sektor Ernährung noch nicht richtig adressiert worden zu sein. Der Weisheit letzter Schluss wird allerdings erst klar, wenn die dem Gesetz zugehörigen Verordnungen erstellt und verabschiedet sind. Das BSI-Gesetz regelt zwar in § 2 die Sektoren und in § 8 a die Anforderung zur Cybersicherheit, aber die genauen Definitionen von kritischen Dienstleistungen und zugehörigen Anlagen sowie den Schwellenwerten für eine KRITIS-Zugehörigkeit fehlen. Die finden sich erst in der zugehörigen BSI-Kritisverordnung.

Auch die Nachweiserbringung, also das Prüfen der Einhaltung der Sicherheitsanforderungen durch externe Dritte, ist lediglich für KRITIS-Betreiber verbindlich und wird von alle zwei Jahre auf alle drei Jahre verlängert. Warum nicht zumindest die besonders wichtigen Einrichtungen auch eine Nachweispflicht durch externe Dritte haben, erschließt sich einem fachkundigen Experten dabei nicht.

Immerhin müssen die KRITIS-Betreiber derzeit nicht nur eine Prüfung vornehmen lassen, sondern ihre Mängelliste über das BSI an die Aufsichtsbehörde übermitteln. Die kann dann den Umsetzungsplan prüfen oder anpassen lassen. So kennt die zuständige Aufsichtsbehörde dann nicht nur die vorliegenden Mängel, sie kann auch gemeinsam mit den jeweiligen Betreibern der kritischen Infrastrukturen die Behebung abstimmen. Dadurch erhält sie Einsicht in die essenziellen Problemlagen des jeweiligen Sektors. Das hätte sicherlich auch der Erhöhung der Cybersicherheit in den besonders wichtigen Einrichtungen nicht geschadet. Die tatsächliche Wirkung des Gesetzes will der deutsche Bundestag überprüfen; eine Evaluierung soll vier Jahre nach der Verabschiedung erfolgen.