Cybersicherheitsgesetz: RĂĽge vom Bundesrechnungshof
Der Bundesrechnungshof hat einen Bericht zum NIS-2-Umsetzungsgesetz veröffentlicht. Darin kritisiert er die Arbeit der Regierung und fordert Nachbesserungen.
Weil die Bundesregierung bekannte Defizite bei der Umsetzung der Netzwerk- und Informationssicherheitsrichtlinie (NIS-2) der Europäischen Union nicht verbessert, sieht der Bundesrechnungshof die Informations- und Cybersicherheit in Deutschland gefährdet. Das geht aus einem Bericht des Rechnungshofs hervor, der am Dienstag dem Haushaltsausschuss und dem Innenausschuss des Bundestags übermittelt wurde. Darüber berichtete zuerst Tagesspiegel Background Cybersecurity.
Auch nach mehrfachen Ressortabstimmungen bleibe der vom Bundesinnenministerium erarbeitete und Ende Juli vom Bundeskabinett verabschiedete Gesetzentwurf in zentralen Punkten hinter den selbst gesteckten Zielen zurück, bemängeln die Rechnungsprüfer. "Wichtige Regelungen sollen nicht für die gesamte Bundesverwaltung in einheitlicher Weise verbindlich sein. Die Folge wäre ein 'Flickenteppich', der die Informations- und Cybersicherheit aller Beteiligten gefährden kann", schreiben sie in dem Bericht.
Nachbesserungen angemahnt
Der Bundesrechnungshof fordert daher, den Gesetzesentwurf im parlamentarischen Verfahren nachzubessern. Ausnahmen von den zentralen Vorgaben zur Informations- und Cybersicherheit sollten begrenzt werden und die Koordinatorin oder der Koordinator für Informationssicherheit sollte angemessene Aufgaben und Befugnisse erhalten, so zwei Kernforderungen. Auch seien die Bedarfe der Bundesbehörden an zusätzlichen Haushaltsmitteln kritisch zu hinterfragen, heißt es in dem Bericht.
Kern des Umsetzungsgesetzes sind umfangreiche Neuregelungen für die Cybersicherheit bei Betreibern kritischer Infrastrukturen und Anlagen (KRITIS). Künftig sollen deutlich mehr öffentliche Stellen und mehr Unternehmen unter die Vorgaben zur Cybersicherheit fallen. Eine Vielzahl an bisherigen Vorschriften verschärft oder zumindest der Adressatenkreis deutlich erweitert. Erstmals nimmt das Gesetz auch Firmen in der Lieferkette in die Pflicht.
Eigentlich sollte das NIS-2-Umsetzungsgesetz bereits im Oktober in Kraft treten, doch daraus wird wohl nichts. Am 27. September berät zunächst der Bundesrat über den Gesetzentwurf, auch wenn er diesem nicht zustimmen muss. In der zweiten Oktoberwoche könnte sich dann der Bundestag mit dem NIS-2-Umsetzungsgesetz befassen.
(akn)