Während das KRITIS-Dachgesetz am Mittwoch vom Bundeskabinett beschlossen wurde, ist die NIS2-Richtlinie bereits einen Schritt weiter und wird im Bundestag diskutiert. Auf der „protekt“ – einer Konferenz zum Schutz Kritischer Infrastrukturen (KRITIS) – erinnerte Prof. Thomas Popp, Staatssekretär und Beauftragter für Informationstechnologie in Sachsen, daran, dass sowohl der physische als auch der digitale Schutz gemeinsam betrachtet werden müsse.
Beim KRITIS-Dachgesetz bestehe weiterhin das Problem einer doppelten Aufsicht, erklärte Klaus Landefeld, Vorstandsmitglied von eco: „Der aktuelle Gesetzesentwurf beseitigt dieses Risiko jedoch nicht vollständig, da der Telekommunikations- und IT-Sektor nach wie vor teilweise vom Gesetz erfasst wird.“
Dennoch ist es positiv, dass der Schutz der Infrastrukturen rechtlich aus zwei Perspektiven betrachtet wird. „Der Schutz gegen Cyber-Angriffe reicht für Anlagen nicht aus; auch der physische Schutz ist notwendig“, erklärte Popp in Leipzig.
Danach richtete der Staatssekretär seinen Blick verstärkt auf die NIS2: „Die Cyber-Sicherheit braucht den Staat als aktiven Akteur, der die Cyber-Maßnahmen auch in seinen eigenen Organisationen durchsetzt.“ Die Verwaltung sei ein „Zahnrad im KRITIS-Getriebe“. Man müsse den Staat selbst als KRITIS begreifen und dies auch nach außen kommunizieren. Zudem verfüge man über viele Daten der Bürgerinnen und Bürger, die geschützt werden müssen. Popp zeigte sich ein wenig enttäuscht von den generellen Entwicklungen rund um das Thema NIS2: „Leider haben wir die Frist größtenteils überschritten. Wie ernst nehmen wir es wirklich mit dem Schutz unserer kritischen Anlagen?“, hinterfragte der sächsische CIO.
Sachsen war bei der Umsetzung Vorreiter und das erste Bundesland, das die Maßnahmen fristgerecht umsetzen konnte. Leider konnten sich die Länder nicht darauf einigen, auch die Kommunen in die Richtlinie aufzunehmen: „Das bedauere ich und halte es für einen Fehler“, so Popp. Denn Kommunen seien oft von den schwerwiegendsten IT-Vorfällen im Behördenumfeld betroffen und stehen in direktem Kontakt zu Bürgerinnen, Bürgern und Unternehmen.
Umsetzung bis Frühjahr 2025 gewünscht
Im Innenministerium wartet man nun auf das Parlament und hofft, dass möglichst schnell eine Einigung zum Umsetzungsgesetz erzielt werden kann. Maximilian Rath aus dem Bundesministerium des Innern und für Heimat (BMI) hofft, dass die NIS2-Richtlinie bis Frühjahr 2025 abgeschlossen ist. Der Referent wies darauf hin, dass NIS2 das Rad nicht neu erfinde: Bereits in NIS1 gab es Vorgaben zur grundsätzlichen Nachweispflicht und die Pflicht zum Einsatz von Systemen zur Angriffserkennung.
Neben der bekannten Erweiterung der Sektoren werden auch andere Aspekte ausgeweitet: Der Nachweiszyklus betrage nun drei statt zwei Jahre. Darüber hinaus werde das Meldesystem überarbeitet und NIS2 etabliere ein dreistufiges Meldeverfahren. Auch die Bezeichnung ändere sich: Zukünftig werde bei NIS2 von „Betreibern kritischer Anlagen“ statt „Kritischer Infrastruktur“ gesprochen, erklärte Rath.
Die oberste Cyber-Sicherheitsbehörde des Bundes, das Bundesamt für Sicherheit in der Informationstechnik (BSI), wird Unternehmen und Behörden bei der Umsetzung der neuen Richtlinie unterstützen. Dies geschieht mithilfe einer Betroffenheitsprüfung, einem NIS2-FAQ sowie praktischen Hinweisen und Hilfestellungen zum Thema „NIS2 – Was tun?“, erklärte der Vizepräsident des BSI, Dr. Gerhard Schabhüser, in Leipzig. Zudem betonte er die Bedeutung von Übungen für den Ernstfall: „Beim Thema Üben sind wir in Deutschland – mit Verlaub – noch schlecht aufgestellt“, resümierte der BSI-Vize.