Die europäische NIS-2-Richtlinie soll ab Herbst 2024 in allen EU-Mitgliedsstaaten umgesetzt sein. In Deutschland betrifft sie knapp 30.000 Unternehmen. Dass bei Cybersicherheit mehr getan werden muss, stellt niemand ernsthaft in Frage. Allerdings gibt es am Vorgehen beim Umsetzungsgesetz für die NIS-2-Richtlinie in Deutschland und an dessen Inhalt durchaus Kritik.
"Der EU ist es mit der NIS-2-Regelung gelungen, die Cybersicherheit zu stärken, ohne die Unternehmen durch zu viel Regulierung und Bürokratie übermäßig zu belasten", lobt Bitkom-Präsident Ralf Wintergerst zunächst einmal. Er bemängelt jedoch, dass den Unternehmen in Deutschland "durch Verzögerungen in der Ressortabstimmung die dringend notwendige Rechtssicherheit" fehle.
"Jetzt schon ist klar, dass die vorgesehene Umsetzungsfrist im Oktober nicht mehr eingehalten werden kann", sagt Wintergerst daher. Umso wichtiger sei es, das Gesetz zügig umzusetzen und ein Inkrafttreten zumindest bis Anfang 2025 sicherzustellen.
KMU brauchen bei NIS-2 Unterstützung
"Insbesondere kleine und mittelständische Unternehmen brauchen außerdem Unterstützung, um festzustellen, ob und wie sie von dem Gesetz betroffen sind und welche Maßnahmen sie ergreifen müssen", fordert der Bitkom-Präsident. Einen ersten Schritt dazu hat das BSI bereits getan. Es hat auf seiner Webseite einen Fragenkatalog zur NIS-2-Richtlinie veröffentlicht.
Wintergerst sieht dennoch noch Klärungsbedarf: "In dem anstehenden parlamentarischen Verfahren müssen noch wichtige Details angepasst werden. So fehlt es an einer Harmonisierung mit dem KRITIS-Dachgesetz, dessen Umsetzungsprozess zurzeit ebenfalls stockt", erklärt Wintergerst.
Ihm zufolge müssen physische Sicherheit und Cybersicherheit gemeinsam betrachtet und angegangen werden. Dabei sollten sich Unternehmen an einheitlichen Begriffsdefinitionen und Meldewegen orientieren können.
Längere Umsetzungsfristen gefordert
Der eco-Verband der Internetwirtschaft e.V. warnt, dass viele Unternehmen bislang nicht ausreichend vorbereitet sind. Er fordert daher eine Verlängerung der Umsetzungsfristen. "Die Bundesregierung wäre gut beraten, sich bei der nationalen Umsetzung der NIS-2-Richtlinie stärker an die europäischen Vorgaben zu halten", sagt eco-Vorstand Klaus Landefeld.
"Das Risiko, dass der Regulierungsrahmen auseinanderfällt und für Deutschland andere Regeln gelten als für Europa, ist groß", fürchtet Landefeld. Insbesondere die Einstufung als "Betreiber kritischer Anlagen" schaffe Unsicherheit für international tätige Unternehmen, die in den einzelnen EU-Mitgliedstaaten unterschiedliche Regeln befolgen müssten.
"Viele Unternehmen wissen noch nicht, dass sie im Anwendungsbereich der Richtlinie und der daraus folgenden Gesetzgebung in Deutschland liegen", mahnt Landefeld. "Sie haben sich noch nicht auf die künftigen Anforderungen der NIS-2-Richtlinie vorbereitet und scheitern teilweise schon daran, ihre eigene Betroffenheit zu ermitteln." Dass die EU-Kommission nun kurzfristig noch Durchführungsrechtsakte speziell für die Anbieter digitaler Dienste veröffentlicht, die ebenfalls zu beachten sind, erzeuge zusätzlich Unsicherheit.
Auf die unzureichende Vorbereitung hatte IT-Security-Anbieter Eset bereits im Frühjahr aufmerksam gemacht. Der eco Verband hat den Manngel kürzlich mit einer Umfrage erneut dokumentiert. Die Richtlinie verlangt ausdrücklich die Einhaltung von zehn Maßnahmen zum Risikomanagement im Bereich Cybersicherheit. Anfang Juni hatten erst 13,2 Prozent der Unternehmen in Deutschland ihr Risikomanagement entsprechend verbessert. Nur 14,6 Prozent hatten bereits ihre Beschäftigten dafür sensibilisiert. 14,5 Prozent sagten, sie halten Sicherheitsanforderungen ein. 12,1 Prozent haben ein Notfall- und Krisenmanagement implementiert.
An den Industriestandards ISO 27001 beziehungsweise dem BSI IT-Grundschutz orientierten sich der Umfrage zufolge 7,1 Prozent. Der Schritt davon zur Einhaltung von NIS-2 wird von Experten allgemein als klein angesehen. Ein Drittel der befragten IT-Entscheider in Deutschland gab im Juni an, noch keine der genannten Maßnahmen umgesetzt zu haben. Als nicht auskunftsfähig bezeichnen sich 40,6 Prozent der Befragten: Sie antworten mit "weiß nicht".
NIS-2 ist aber keineswegs nur eine technische Herausforderung, die sich durch zusätzliche Produkte bewältigen lässt. "Das Dilemma der KRTIS-Unternehmen mit NIS-2 ist zum einen die Erfüllung der Meldepflicht innerhalb von 24 Stunden nach dem Vorfall beziehungsweise ein Update nach 72 Stunden", merkt etwa Fred Tavas, Area Vice President Central Europe beim NDR-Anbieter ExtraHop, an. Zum anderen erforderten die Risikoanalyse und die Maßnahmen zur Aufrechterhaltung des Betriebes erhebliche Aufmerksamkleit - auch das nichts, was sich in ein paar Wochen abhaken lasse.