In der Anhörung zum NIS-2-Gesetzentwurf der Bundesregierung kritisierten die Sachverständigen die Ausnahmen für Bundesbehörden. Zudem müssten die Rolle des CISO Bund und des Bundesamts für Sicherheit in der Informationstechnik (BSI) geklärt werden.
Für BSI-Präsidentin Claudia Plattner sei die „oberste Priorität“, das Gesetz schnell zu verabschieden. „Trotzdem sehe ich noch Nachbesserungsbedarf“, so Plattner. So müssten die IT-Sicherheitsvorgaben für alle Bereiche der Bundesverwaltung gleichermaßen gelten. Es entstehe ein Glaubwürdigkeitsproblem, wenn die Behörden selbst nicht täten, was sie von der Wirtschaft erwarteten.
Kein einheitliches Niveau
Diese Aussage unterstützten die anderen Sachverständigen. So erklärte beispielsweise Andreas Könen, Senior Fellow des Brandenburgischen Instituts für Gesellschaft und Sicherheit (BIGS), es werde zwischen den Ministerien und dem Kanzleramt auf der einen Seite und den Bundesbehörden auf der anderen Seite unterschieden. Letztere fielen unter den schon erreichten Regulierungsstand zurück.
Auch Boris Eisengräber, Leiter Cyber Security des Software-Unternehmens Schwarz Digits, findet, der Ausschluss von Behörden schwäche die staatliche Vorbildfunktion und das einheitliche Cyber-Sicherheitsniveau. Zudem erschwerten die unterschiedlichen Umsetzungen der NIS-2-Richtlinie in den Mitgliedstaaten für EU-weit agierende Unternehmen die effektive Reaktion auf Cyber-Angriffe. Felix Kuhlenkamp, Referent des Bitkom, sprach sich für eine proaktive Information der betroffenen Unternehmen durch den Staat aus. In anderen Ländern sei dies der Fall.
Unabhängigeres BSI?
Dr. Sven Herpig, Leiter für Cybersicherheitspolitik und Resilienz bei interface, meinte, die mit der NIS-2-Umsetzung verbundene Chance zur Erreichung einer harmonisierten IT-Sicherheitsregulierung sei vertan worden. Im Gesetzesentwurf werde auch nicht die im Koalitionsvertrag festgeschriebene unabhängigere Aufstellung des BSI angegangen. Plattner zufolge wolle das BSI Unabhängigkeit in seiner fachlich-technischen Aufgabe haben. Ein Konstrukt wie das der Bundesdatenschutzbeauftragten (BfDI) strebt sie aber nicht für ihre Behörde an, sondern betonte, weiterhin ein „starkes Ministerium“ an der Seite zu brauchen.
Andreas Könen befürwortete eine Stärkung des BSI durch bessere finanzielle und personelle Ausstattung. Er plädierte zudem für einen Chief Information Security Officer (CISO) mit klar definierten Befugnissen und „auf Augenhöhe“ für die Ressorts – also ein Staatssekretär in einem der Ministerien – und mit Budgetverantwortung.
Redundanzen verhindern
Dr. Haya Schulmann, Professorin für Cyber-Sicherheit am Institut für Informatik der Goethe-Universität Frankfurt am Main, und auch Claudia Plattner sprachen sich hingegen dafür aus, die Position des CISO Bund im BSI anzusiedeln und dies im Gesetz zu verankern. Ein CISO neben dem BSI würde Redundanzen schaffen, so Schulmann.
Der Professor für IT-Sicherheitsrecht an der Hochschule Bremen, Dr. Dennis-Kenji Kipker, machte auf Schwächen im Hinblick auf den Datenschutz aufmerksam. Die BfDI war nicht in die Anhörung eingeladen worden, reichte aber am Montag eine schriftliche Stellungnahme ein, nachdem Kipker ihre fehlende Beteiligung eigenen Angaben zufolge rügte. Eine offene Frage sei, wie die Befugnisse der BfDI und des BSI voneinander abgetrennt werden könnten.