Kommentar zum NIS2-Gesetz: Jetzt haftet endlich der Chef für Cybersicherheit
Das Gesetz ist ein Schritt in die richtige Richtung, meint KRITIS-Experte Manuel Atug, obwohl der Gesetzgeber mit vielen Ausnahmen Potenzial verschenkt.
- Manuel Atug
Wir haben nach Cyber gerufen und Cyber bekommen: Die EU ist seit einigen Jahren aufgewacht und die Maschinerie des Gesetzesapparates ist in Gang gekommen. Jetzt kommt ein Cybergesetz nach dem anderen raus und versucht Einzelteile zu regulieren. Kürzlich der AI Act und parallel zur NIS2 das Kritis-Dachgesetz. Viele mehr wie DORA für die Finanzbranche und der Cyber Solidarity Act, der Mitgliedsstaaten gegen besonders weitreichende Angriffe absichern soll, sind ebenfalls in Arbeit oder bereits abgeschlossen. Die Bundesregierung muss NIS2 nun bis zum 17. Oktober 2024 in deutsches Recht umsetzen. Hierzulande betitelt man das kommende NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) gern als Cybersicherheitsstärkungsgesetz. Der Aufschrei in der Wirtschaft ist groß, denn das neue Gesetz wird etwa 5000 bis 6000 Betreiber kritischer Anlagen (KRITIS) sowie etwa 30.000 wichtige und besonders wichtige Einrichtungen in Deutschland betreffen.
Hier gilt es, einiges nachzurüsten: Im Rahmen des Risikomanagements sind ein Informationssicherheitsmanagementsystem (ISMS), ein Business Continuity Management (BCM) und ein Krisenmanagement aufzusetzen. Das ist zu begrüßen. Dazu kommen Life Cycle Management, Kryptografie, das Bewältigen von Sicherheitsvorfällen, Awareness und Cyberhygiene sowie physische Sicherheit und Sicherheit des Personals. Darüber hinaus werden noch sichere Authentifizierung, sichere Kommunikation und Dienstleistersteuerung gefordert, also die Sicherheit in der Lieferkette. Auch hier wird – wie zuvor von kritischen Infrastrukturen nach BSI-Gesetz § 8 a, b – die Einhaltung des "Stands der Technik" erwartet; was das genau heißt, bestimmt das Gesetz jedoch nicht.
Die Meldepflichten, die auf betroffene Einrichtungen zukommen, sind gut gemeint und haben kurze Fristen. Allerdings sind sie komplex und werden einen koordinierten EU-weiten Angriff nicht abwehren können. Immerhin müssen sich alle intensiver mit Vorfallbehandlung und zugehörigen Meldungen beschäftigen.
Cybersicherheit wird endlich Chefsache
Lang genug haben die Unternehmen gerufen, dass sie wissen müssten, wer die Täter sind und dass sie ein Lagebild benötigen. Jetzt werden sie verpflichtet, den entsprechenden Input dafür zu liefern. Für die Sicherheit verantwortlich sind laut der Richtlinie Geschäftsführer und Behördenleiter. Sollten Einrichtungen ihren Verpflichtungen nicht nachkommen, so kann ihnen das BSI einen Beauftragten zum Überwachen der Pflichten aufzwingen. Lustig wird das allemal nicht und Cybersicherheit sollte wirklich ernst genommen werden. Denn besonders die Sanktionen haben es in sich: Geldbußen von bis zu zehn Millionen Euro oder einem Höchstbetrag von zwei Prozent des globalen Jahresumsatzes bei besonders wichtigen Einrichtungen und von bis zu sieben Millionen Euro oder 1,4 Prozent des globalen Jahresumsatzes bei wichtigen Einrichtungen.
Wird die NIS2-Richtlinie im Oktober in deutsches Recht umgesetzt, sind rund 30.000 Unternehmen betroffen. Der Digital Operational Resilience Act (DORA) reguliert die Finanzbranche noch strenger – und gibt einen Vorgeschmack auf das Kommende.
Cybersicherheit soll also Chefsache werden, und das ist gut so! Es könnte nun der Eindruck entstehen, wir könnten die Hände in den Schoß legen und sagen: Gut gemacht, wir haben fertig. Aber leider weit gefehlt. Insbesondere hat der Gesetzgeber das NIS2UmsuCG leider nicht mit dem Kritis-Dachgesetz synchronisiert, das ab Oktober 2024 für betroffene Einrichtungen Resilienz in der physischen Sicherheit fordern wird. Fairerweise muss man sagen, dass das BMI im neueren Referentenentwurf einen großen Sprung hin zur Angleichung an das NIS2UmsuCG vorgenommen hat, aber es ist eben noch nicht am Ziel. Asynchrone Anforderungen zwischen den verschiedenen Richtlinien führen nur zu Verwirrung und Verantwortungsdiffusion, damit wird keinem geholfen.
Eher Flickenteppich als Fundament
Außerdem muss man leider feststellen, dass im NIS2UmsuCG – wie auch im KritisDG – sehr viele Ausnahmen gelten. Für die Finanzbranche ergibt das noch Sinn, da hier mit DORA eine sektorspezifische Umsetzung von NIS2 unter der Kontrolle der Aufsichtsbehörde Bafin existiert. Auch bei der Telekommunikation sind entsprechende Ausnahmen wegen Telekommunikationsgesetz, Telemediengesetz und der Aufsichtsbehörde Bundesnetzagentur gegeben. Aber viele weitere Ausnahmen sind nicht ohne Weiteres nachvollziehbar. So sind etwa die Gesellschaft für Telematik explizit und einige weitere Einrichtungen auf Basis der Sozialgesetzbücher ausgenommen. Sind sie nicht kritisch für die Cybersicherheit in Deutschland?
Kommunen und Landkreise bleiben auch mit der neuen Richtlinie im Cyberraum verwundbar, da das Gesetz sie nicht als relevante öffentliche Verwaltung sieht. Am Ende müsste der Bund den circa 11.500 Kommunen die Cybersicherheit bezahlen, wenn er diese einfordert. Und das will er offenbar nicht. So wurde vorab im IT-Planungsrat per Beschluss empfohlen, die Kommunen und Landkreise nicht (!) in NIS2 aufzunehmen – so sieht der Digitalisierungsgrad der öffentlichen Verwaltung also aus. Durch das massive Ausklammern der öffentlichen Verwaltung und die vielen Ausnahmen verkommt das Cybersicherheitsstärkungsgesetz eher zu einem Cybersicherheitsschwächungsgesetz. Schade, Chance wieder einmal vertan.
Auch alle Einrichtungen, die für die nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung tätig sind oder Dienste erbringen, sind ausgenommen. Das schließt Einrichtungen zur Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten ein. Des Weiteren können das Bundesministerium des Innern und für Heimat, das Bundeskanzleramt, das Bundesministerium der Justiz, das Bundesministerium für Verteidigung sowie die Ministerien für Inneres und Justiz der Länder besonders wichtige oder wichtige Einrichtungen von den NIS2-Verpflichtungen befreien lassen; eine weitere Ausnahmeregelung, die der Cybersicherheit nicht förderlich ist.
Überprüfung besonders wichtiger Einrichtungen fehlt
Die Sektorenlisten wurden immerhin so erweitert, dass endlich auch Forschungseinrichtungen und Produktion, Herstellung und Handel mit chemischen Stoffen Einzug finden. Allerdings scheint der bisherige KRITIS-Sektor Ernährung noch nicht richtig adressiert worden zu sein. Der Weisheit letzter Schluss wird allerdings erst klar, wenn die dem Gesetz zugehörigen Verordnungen erstellt und verabschiedet sind. Das BSI-Gesetz regelt zwar in § 2 die Sektoren und in § 8 a die Anforderung zur Cybersicherheit, aber die genauen Definitionen von kritischen Dienstleistungen und zugehörigen Anlagen sowie den Schwellenwerten für eine KRITIS-Zugehörigkeit fehlen. Die finden sich erst in der zugehörigen BSI-Kritisverordnung.
Auch die Nachweiserbringung, also das Prüfen der Einhaltung der Sicherheitsanforderungen durch externe Dritte, ist lediglich für KRITIS-Betreiber verbindlich und wird von alle zwei Jahre auf alle drei Jahre verlängert. Warum nicht zumindest die besonders wichtigen Einrichtungen auch eine Nachweispflicht durch externe Dritte haben, erschließt sich einem fachkundigen Experten dabei nicht.
Immerhin müssen die KRITIS-Betreiber derzeit nicht nur eine Prüfung vornehmen lassen, sondern ihre Mängelliste über das BSI an die Aufsichtsbehörde übermitteln. Die kann dann den Umsetzungsplan prüfen oder anpassen lassen. So kennt die zuständige Aufsichtsbehörde dann nicht nur die vorliegenden Mängel, sie kann auch gemeinsam mit den jeweiligen Betreibern der kritischen Infrastrukturen die Behebung abstimmen. Dadurch erhält sie Einsicht in die essenziellen Problemlagen des jeweiligen Sektors. Das hätte sicherlich auch der Erhöhung der Cybersicherheit in den besonders wichtigen Einrichtungen nicht geschadet. Die tatsächliche Wirkung des Gesetzes will der deutsche Bundestag überprüfen; eine Evaluierung soll vier Jahre nach der Verabschiedung erfolgen.
Die Mehrheit wird die Frist verschlafen
Die Umsetzungsfrist zum 17. Oktober ist sehr kurz, da das Gesetz noch immer nur im Status eines Referentenentwurfs vorliegt. Trotzdem wird die Richtlinie ab Oktober 2024 verbindlich sein, auch wenn eine Anhörung der betroffenen Verbände noch aussteht. Fraglich ist, ob das überhaupt noch etwas bewirken kann oder zu einer reinen Formalität verkommt. Änderungen müssten mit allen betroffenen Ressorts – und idealerweise auch mit dem KritisDG – abgestimmt werden. Da kommen Erinnerungen an das IT-Sicherheitsgesetz 2.0 (ITSIG20) auf, wo teilweise Rückmeldefristen von weniger als 24 Stunden gesetzt wurden.
Alles in allem ist das NIS2UmsuCG ein Schritt in die richtige Richtung und betroffene Einrichtungen können jetzt schon diverse Maßnahmen initiieren. Die Mehrheit wird aber sicherlich wieder verschlafen und bei der Verabschiedung des Gesetzes aufschreien und Fristverlängerungen fordern. So haben wir es im ITSIG20 mit den circa 2000 KRITIS-Umgebungen erlebt und jetzt, bei über 30.000 Einrichtungen, wird das sicherlich nicht anders laufen. Gut beraten ist, wer die Maßnahmen möglichst jetzt schon bewertet und umsetzt. Denn Cybersicherheit lässt sich weder mal eben schnell noch mit Glitzer-Hypes wie KI erledigen. Cybersicherheit muss in alle Unternehmensprozesse integriert und täglich gelebt werden: So was geht nicht über Nacht und auch nicht ohne das Aufbauen von Know-how bei der Geschäftsführung und den Angestellten. (pst)
