Vor nahezu leeren Sitzreihen hat der Bundestag am heutigen Freitag erstmals über das Umsetzungs- und Cybersicherheitsstärkungsgesetz der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) beraten – eine Woche vor Ablauf der Umsetzungsfrist. Die EU-Richtlinie NIS2 müsste nämlich bis zum 18. Oktober in nationales Recht umgesetzt werden. Deutschland wird diesen Termin reißen – derzeit geht man davon aus, dass NIS2 in Deutschland erst im Frühjahr 2025 wirksam wird.
Anzeige
Johannes Saathoff, parlamentarischer Staatssekretär im Innenministerium, fasste die wesentlichen Vorgaben von NIS2 zusammen: ein definiertes Niveau an Sicherheitsmaßnahmen und Meldepflichten bei Cybersicherheitsvorfällen. NIS2 weite die Zahl der Unternehmen, die bei der Cybersicherheit staatlichen Auflagen unterliegen, von derzeit 4500 kritischen Infrastrukturen auf rund 29.500 Unternehmen aus 18 Sektoren aus.
Obwohl es 2023 durch Cybervorfälle in der Wirtschaft Rekordschäden von 267 Milliarden Euro gegeben habe, sei das Problem noch nicht in allen Vorstandsetagen angekommen: "Cyberresilienz muss in die Köpfe kommen." Es sei daher richtig, dass die NIS2-Richtlinie die Unternehmensführung in die Pflicht nimmt.
Außerdem soll die deutsche NIS2-Umsetzung die Cybersicherheit der Bundesverwaltung stärken. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll mehr Befugnisse erhalten und zu einer zentralen Sicherheitsbehörde weiterentwickelt werden. Zudem sollen Bund und Länder enger zusammenarbeiten.
Dass das gelingt, bezweifelte Marc Henrichmann von der CDU/CSU-Fraktion. Er kritisierte, dass nachgelagerte Bundesbehörden bei einem minimalen Schutzniveau verbleiben. Das BSI solle zwar weitere Befugnisse bekommen, aber das BSI-Budget sei im Haushalt 2025 um 21 Millionen Euro gekürzt worden. Seine Fraktionskollegin Petra Nicolaisen kritisierte die späte Umsetzung der EU-Richtlinie durch die Bundesregierung.
Anke Domscheit-Berg von der Linken warf der Ampel vor, bei der Cybersicherheit zu versagen. 750 Sicherheitsstellen im Bund seien derzeit unbesetzt. Die Umsetzung von NIS2 sei zu spät dran, zudem beschränke sich der aktuelle Entwurf des deutschen Umsetzungsgesetzes auf ein Minimum an Maßnahmen. Dass kommunale Behörden ausdrücklich von den NIS2-Anforderungen ausgenommen werden, sei nicht gerechtfertigt.
Anzeige
Das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz wird jetzt weiter in den Ausschüssen beraten.
Am 5. November erklären renommierte IT-Recht- und Sicherheitsfachleute, welche Unternehmen von NIS2 betroffen sind, was genau NIS2 und das deutsche NIS2-Umsetzungsgesetz fordern und welche Maßnahmen mit welchen Fristen umzusetzen sind. Weitere Themen sind das Zusammenspiel von NIS2 mit etablierten Sicherheitskonzepten wie ISO 27001 und IT-Grundschutz, die Auswirkungen der Richtlinie auf die Incident Response sowie die Bedeutung von NIS2 für Zulieferer und Dienstleister. Dabei ist viel Raum für die Fragen der Teilnehmenden.
Weitere Informationen und Anmeldung unter: https://nis2.heise.de
Kommentare