Schutz kritischer Infrastrukturen: Noch viel Luft nach oben in Deutschland
IT-Verbände und Experten sehen großen Nachbesserungsbedarf bei der Umsetzung der Cybersicherheitsrichtlinie NIS2. Das fange schon bei dem Begriffschaos an.
Experten sehen großen Nachbesserungsbedarf bei der hiesigen Umsetzung der Cybersicherheitsrichtlinie NIS2.
(Bild: vectorfusionart/Shutterstock.com)
Eitel Sonnenschein wird nicht herrschen, wenn das Bundesinnenministerium (BMI) am Montag die Verbändeanhörung zu seinem konsolidierten Referentenentwurf zur Umsetzung der "NIS2" getauften novellierten EU-Richtlinie zur Netz- und Informationssicherheit durchführt. Was das Team von Innenministerin Nancy Faeser (SPD) Anfang Mai vorgelegt hat, ist für den Schutz kritischer Infrastrukturen (Kritis) nicht passgenau und in sich widersprüchlich, sind sich viele Wirtschaftsvertreter und Sachverständige einig. Dies dürfte letztlich zu kostspieligen Mehraufwänden bei betroffenen Einrichtungen und einem höheren Frustrationsgrad führen.
Die Probleme fangen schon damit an, dass keiner genau sagen kann, wer unter das deutsche, im Fachjargon als NIS2UmsuCG abgekürzte Normenwerk fallen wird. Die EU-Gesetzgeber ersetzten den Ansatz der traditionellen Kritis-Sektoren wie Energie- und Wasserversorgung, Informations- und Kommunikationstechnologien (IKT), Verkehr, Finanzwesen, Rettungsdienste und Medien durch einen neuen, bei dem die bisher als kritisch eingestuften Einrichtungen nun als "wesentliche" erfasst werden. Ergänzend kommen "wichtige" Institutionen dazu. Sie sind ebenfalls bedeutsam für das gesellschaftliche Zusammenleben, besitzen aber nicht den besonderen Charakter der wesentlichen Einrichtungen.
Aus Sicht des eco-Verbands der Internetwirtschaft wäre es sinnvoll, wenn sich diese Definitionen in allen einschlägigen Gesetzesvorhaben – vor allem ebenfalls im geplanten, seit Längerem im BMI feststeckenden Kritis-Dachgesetz – an EU-Richtlinien wie auch dem Cyberresistenzgesetz orientierten und deren Wortlaut möglichst vollständig übernähmen. Eigene Kategorisierungen sollten vermieden werden, schreibt der Zusammenschluss in einer heise online vorliegenden Stellungnahme. Generell müssten die sich schon aus den grundlegenden Begriffen ableitenden Auflagen für die Wirtschaft "verhältnismäßig, transparent und nachvollziehbar" sein. Das halte der vorliegende Entwurf nicht ein und müsse daher überarbeitet werden.
Verwirrend: Kritische Infrastrukturen, Einrichtungen und Anlagen
Das BMI stelle etwa auf besonders wichtige (statt auf wesentliche) Einrichtungen und auf wichtige Institutionen ab, erläutert der eco. Diese Abweichung sorge für Rechtsunsicherheit. Ferner stimme auch der Zuschnitt der verschiedenen Einrichtungen nicht mit den EU-Vorgaben überein. Problematisch sei ferner, dass durch die zusätzliche Aufnahme der Kategorie "kritische Anlage" in das hiesige Vorhaben das bestehende EU-Regulierungsgefüge aufgebogen werde. Denn dieser Begriff, der dem der klassischen Kritis entsprechen soll, sei nicht in der NIS2-Richtlinie verankert.
Bei den künftig stärker einbezogenen IKT-Services ist für den eco nicht ganz ersichtlich, wie sich ein Rechenzentrumsdienst von einem Cloud-Computing-Angebot oder einem Content Delivery Network (CDN) sinnvoll voneinander abgrenzen lässt. Neu dazu kämen etwa weltraumgestützte Dienste und – vermutlich als zugehörig gedachte – Bodeninfrastrukturen, die in der NIS2-Richtlinie aber nicht enthalten seien und daher außen vor bleiben sollten.
Auch der Bremer Informationsrechtler Dennis-Kenji Kipker beklagt gegenüber heise online das Begriffschaos in der nationalen Umsetzung sowie weitere Rechtsunsicherheiten. Keine Klarheit gebe es gerade bei komplexen Unternehmensstrukturen, die mehrere Arten von Leistungen erbringen. Hier solle zwar – was zunächst vorteilhaft erscheine – nur auf die der jeweiligen Einrichtungsart zuzuordnende Geschäftstätigkeit abgestellt werden. Damit bleibe aber offen, ob einige Firmen die Vorschriften befolgen müssten oder nicht. Der Digitalverband Bitkom stößt in seiner Stellungnahme ins gleiche Horn: Insbesondere kleine und mittlere Unternehmen könnten ihre Betroffenheit von den geplanten Vorschriften wegen deren Vagheit oft nicht selbst abschätzen.
Handwerklich schlecht gemacht
"Der Entwurf ist an verschiedenen Stellen handwerklich mangelhaft, indem sich diese Indifferenzen zum europäischen Recht weiter fortsetzen", rügt Kipker. Bestes Beispiel: der neu auftauchende Weltraumsektor. Bei diesem kommt der Jurist zu einer gegenteiligen Auffassung als der eco: Das BMI schränke den Anwendungsbereich hier europarechtswidrig ein, indem es für das Greifen "Kaskadeneffekte" zur Voraussetzung mache. Diese Einschränkung finde sich in der Richtlinie nur in der Begründung und sei so nicht verbindlich.
Mit der vom EU-Parlament 2022 beschlossenen NIS2 gehen erweiterte Mindestvorschriften für Maßnahmen zum Risikomanagement im Bereich der Cybersicherheit und für Meldepflichten bei Online-Attacken sowie Datenpannen einher. Eingeschlossene Betriebe mit über 250 Mitarbeitern und über zehn Millionen Euro Jahresumsatz müssen künftig gemeinsame Cybersicherheitsstandards etwa für Audits, Risikoabschätzungen, das zeitnahe Einspielen von Updates und Zertifizierungen beachten. Zuständige Behörden sind innerhalb von 24 Stunden zunächst grob über Cybersicherheitsvorfälle zu informieren.
Schier einhellig auf weitere Proteste stößt nun die Initiative des Innenressorts, Verwaltungen der Länder und der Kommunen von den Vorgaben auszunehmen und auch gegenüber den Bundesbehörden oft auf Selbstregulierung zu setzen. Diese Einrichtungen seien zentral für das tägliche Leben in Deutschland, hält der Bitkom dagegen. Ein Ausfall essenzieller Dienste würde hier nicht nur unmittelbare und erhebliche Auswirkungen auf die betroffene Bevölkerung und Wirtschaft haben, sondern "könnte auch das Vertrauen in die Funktionsfähigkeit staatlicher Strukturen nachhaltig erschüttern". Ein grundlegender Sicherheitsrahmen müsse daher eingeführt werden, um diese Bereiche zu schützen. Sonst würde die Hauptlast der Maßnahmen auf die Privatwirtschaft abgewälzt. Damit bliebe die öffentliche Hand "die Schwachstelle für die Cybersicherheit in Deutschland".
Extra-Wurst für Kommunen sorgt für Empörung
Für Staat und Verwaltung gälten "unzählige Sonderregelungen und Ausnahmen", moniert auch Manuel Atug, Gründer der AG Kritis. Dies sei mit Blick auf die vielen und teils sehr weitreichenden Cybersicherheitsvorfälle etwa im Landkreis Anhalt Bitterfeld oder unlängst bei über 100 Gemeinden in Nordrhein-Westfalen sowie der damit erkennbaren "Kette an Cybersicherheitsversagen und Verantwortungsdiffusion" äußerst fahrlässig. Die betroffene Bevölkerung habe hier im Ernstfall keine Handlungsalternative. Für Bundesbehörden seien zudem weder Bußgeldvorschriften noch Aufsichts- und Durchsetzungsmaßnahmen vorgesehen. Insgesamt sei offenbar keine vollständige Harmonisierung mit dem Kritis-Dachgesetz erfolgt. Es drohe eine "zerklüftete" Regulierung. Dies führe zu einer unsicheren Lage bei allen potenziell betroffenen Einrichtungen und Lieferketten, Aufsichtsbehörden sowie fachkundigen Beobachtern.
Für zumindest erklärungsbedürftig hält der eco, was unter einem schwerwiegenden Fall mangelnder Vertrauenswürdigkeit zu verstehen ist, der die Untersagung sämtlicher kritischer Komponenten eines Herstellers begründen können soll. So müssten künftig auch Hersteller solcher Bestandteile im IKT-Bereich Garantieerklärungen abgeben, obwohl das BMI bereits im Oktober 2022 eine entsprechende Verfügung für den Telekommunikationssektor widerrufen habe. Übel auf stößt der Internetwirtschaft zudem, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Bestandsdatenauskunft durchführen können soll. Es bestünden Zweifel an einer solchen Befugnis, der zumindest ein Richtervorbehalt vorgeschaltet werden sollte.
(bme)
