Bundesrat schiebt Ausschussempfehlungen zu NIS2 wortlos durch
Vier Ausschüsse haben mehrere Empfehlungen zu NIS2 an den Bundesrat mitgegeben. Was wortlos in 1 Minute und 1 Sekunde durchgewunken wurde, erklärt Manuel Atug.
(Bild: FON's Fasai/Shutterstock.com)
Da es offenbar keine Wortmeldungen zu den insgesamt 20 Empfehlungen von dem federführenden Ausschuss für Innere Angelegenheiten, dem Gesundheitsausschuss, dem Ausschuss für Umwelt, Naturschutz und nukleare Sicherheit und dem Verkehrsausschuss zum NIS2 gab, wurden direkt die Abstimmungen zu den Ausschussempfehlungen vorgenommen. Alle wurden ausnahmslos mehrheitlich angenommen.
Der Bundesrechnungshof war kürzlich für deutlich mehr Kritik und Sinnhaftigkeit zu haben. Im Rahmen von NIS2 wäre die Unterstützungsleistung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei Polizeibehörden und Verfassungsschutz künftig auf Bundesbehörden beschränkt worden. Im Rahmen der Amtshilfe hätten diese dann im Einzelfall leichter abgelehnt werden können. Es wird jetzt aber die gesetzliche Durchführung einer Unterstützungsleistung durch das BSI umgesetzt.
Es soll ein medienbruchfreies digitalisiertes Meldeverfahren in der Online-Plattform für den freiwilligen Informationsaustausch relevanter Cybersicherheitsinformationen haben. Dazu wird der elektronische Identitätsnachweis der EU mit dem Sicherheitsniveau "hoch" gefordert. Es soll auch gleichzeitig Zugang zu Informationen zur physischen Sicherheit und Resilienz Kritischer Infrastrukturen vom Bundesamt für Bevölkerungsschutz und Katastrophenhilfe bereitgestellt werden. Das Ganze soll auch in einem Ende-zu-Ende digitalisierten Verfahren realisiert werden.
Das BSI muss die zuständigen Datenschutzaufsichtsbehörden bereits informieren, wenn der Verstoß gegen Risikomanagementmaßnahmen oder Berichtspflichten eine Verletzung des Schutzes personenbezogener Daten zur Folge haben kann und nicht, wenn es "offensichtliche Folgen hat". Eine Unterrichtungspflicht liegt vor, wenn die zuständigen IT-Sicherheitsbehörden im Zuge ihrer Aufgabenwahrnehmung feststellen, dass der Verstoß gegen Risikomanagementmaßnahmen oder Berichtspflichten eine Verletzung des Schutzes personenbezogener Daten nach DSGVO zur Folge haben kann.
Mit der Formulierung "durch vergleichbare landesrechtliche Vorschriften" müssten verschiedene Gebietskörperschaften der Bundesländer zukünftig das BSI-Gesetz als Maßstab nehmen, selbst wenn es gegebenenfalls über die in der EU geforderten NIS2-Mindestmaßnahmen hinaus geht. Damit das nicht passiert, soll diese Formulierung auf "die NIS-2-Richtlinie umsetzende landesrechtliche Vorschriften" geändert werden. Sonst müsste man in den 16 Bundesländern zu viele und vor allem bundeseinheitliche Cybersicherheitsmaßnahmen umsetzen.
Die Geschäftsführungen sollen nicht nur selbst geschult werden, sondern müssen auch explizit auf Schulungen für alle Mitarbeitenden hinwirken. Der Verwaltungsaufwand für Einrichtungen, die der NIS2 unterliegen, soll zur Bürokratieentlastung verringert werden, indem das BSI als zentrale Anlaufstelle durch Online-Formulare auch für Meldungen genutzt werden kann, die nach der DSGVO erforderlich sind.
Musterverträge, vergleichbar mit dem EVB-IT, sollen bereitgestellt werden, damit die IT-Dienstleister der Länder frühzeitig über die Erwartungen und Auflagen des Auftraggebers "Bundesverwaltung" informiert sind. Betroffen können auch IT-Dienstleister der Länder über die Deutsche Verwaltungscloud und den Marktplatz sein, über den künftig auch die Bundesverwaltung Leistungen abrufen kann.
Begrüßenswert ist, dass das BSI nicht nur den Einrichtungen der Bundesverwaltung, sondern auch den Bundesländern im Sinne einer ganzheitlichen Architektur technische Richtlinien und Referenzarchitekturen bereitstellen soll.
Wer ist KRITIS?
Es soll geprüft werden, ob nicht nur der Schwellenwert von rund 500.000 Personen Versorgung zur Einstufung als KRITIS führt, sondern auch weitere Kriterien in die KRITIS-Verordnung fließen sollen. Denn es wird das Risiko gesehen, dass nach dem vorliegenden NIS2-Entwurf die weit überwiegende Zahl der Krankenhäuser – zumindest in Nordrhein-Westfalen – nicht relevant sind und somit "der bestehenden Sicherheitsbedrohung keine Rechnung getragen werden würde". Vor allem würde damit die Bedeutung gerade von Krankenhäusern im ländlichen Raum nur unzureichend abgebildet werden.
Große Praxen, MVZ und Co. können KRITIS angehören
Auch im Entwurf des KRITIS-Dachgesetzes sind – wie im NIS2-Entwurf – die Schwellenwerte grundsätzlich zu hinterfragen, aufgrund der besonderen Stellung der Daseinsvorsorge im Gesundheitsbereich. Die Sinnhaftigkeit der alleinig entscheidenden Schwellenwerte solle daher vor diesem Hintergrund erneut geprüft werden. Die AG KRITIS sieht diesen Punkt seit vielen Jahren bei fast allen KRITIS-Sektoren und -Branchen ebenfalls so und würde es begrüßen, wenn das endlich entsprechend der tatsächlichen Lagesituation angepasst werden würde.
Im Gesundheitswesen könnten künftig große Praxen, Berufsausübungsgemeinschaften und Medizinische Versorgungszentren Betreiber kritischer Anlangen werden. Des Weiteren könnten große ambulante Einrichtungen, umsatzstarke Praxen aus der Radiologie und Nuklearmedizin, Nephrologie oder Laboratoriumsmedizin als wichtige Einrichtungen relevant werden.
Erste Nachweise frühestens 2030
Da Krankenhäuser nach § 108 SGB V erst nach einer Übergangsfrist von fünf Jahren Nachweise vorlegen müssen, wurde eine entsprechend verlängerte Übergangsfrist auch für die wichtigen Einrichtungen gefordert. Erste Nachweise kommen damit erst frühestens 2030.
Alles in allem viele sinnvolle Maßnahmen der Entbürokratisierung und Erledigung vieler marginaler Themen, aber keine großen Sprünge, wie es der Bundesrechnungshof vorsieht. Diskussionen um die Themen gibt es ebenfalls nicht. Sowohl die Bundesländer als auch das Gesundheitswesen sollen Cybersicherheit nur nach dem Minimalprinzip angehen, was der aktuellen Bedrohungslage als auch dem Lagebild Gesundheit absolut nicht gerecht wird.
(mack)