NIS2 erzwingt IT-Sicherheit – aber ausgerechnet nicht bei kommunalen Behörden

Trotz zahlreicher Angriffe auf kommunale Behörden sollen diese nicht den Sicherheitsvorgaben von NIS2 unterliegen – was aber nur die halbe Wahrheit ist.

In Pocket speichern vorlesen Druckansicht 10 Kommentare lesen

(Bild: iX)

Lesezeit: 2 Min.

Die neue EU-Richtlinie "über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union" (NIS2) verpflichtet zahlreiche Unternehmen zu mehr IT-Sicherheit. Die öffentliche Verwaltung bleibt in der deutschen Umsetzung von NIS2 explizit ausgenommen, was nicht nur den KRITIS-Experten Manuel Atug in seinem Kommentar zu NIS2 verwundert. Sind kommunale Dienstleistungen nicht kritisch für das öffentliche Leben? Zahlreiche Ransomware-Angriffe auf Kommunen sprechen eine andere Sprache.

Grundlage der Ausnahme für kommunale IT ist ein Beschluss des IT-Planungsrats vom November 2023, demzufolge Kommunen und Bildungseinrichtungen vom Anwendungsbereich der europäischen NIS2-Richtlinie ausgenommen werden sollen. Der IT-Planungsrat ist das zentrale politische IT-Steuerungsgremium zwischen Bund und Ländern.

Sein Beschluss beruft sich auf einen Sachstandsbericht der AG Informationssicherheit des IT-Planungsrats vom September letzten Jahres. Der Bericht empfiehlt, die NIS2-Richtlinie nicht auf kommunale Verwaltungen und Bildungseinrichtungen auszudehnen. Dabei ignoriert der IT-Planungsrat allerdings den zweiten Teil der Empfehlung der AG Informationssicherheit, die die Initiative FragDenStaat veröffentlicht hat.

Dort heißt es nämlich, die Länder sollten Regelungen im jeweiligen Landesrecht schaffen, da eine Regulierung im Rahmen von NIS2 keine wesentlichen Vorteile gegenüber einer auf die jeweilige Verwaltungsstruktur des Landes zugeschnittenen Normierung biete. Die Länder könnten in Anlehnung an das geplante NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz des Bundes Anforderungen für Informations- und Cybersicherheit für kommunale Behörden und Bildungseinrichtungen eigenständig gesetzlich regeln. Ob das irgendwann noch erfolgt, steht allerdings in den Sternen.

(odi)