Cyber Security wird für Verwaltung, Wirtschaft und Privatpersonen zu einem nicht mehrwegzudenkenden Thema. Seit Oktober letzten Jahres ist für Kritische Einrichtungen die sogenannte NIS2-Richtlinie in Deutschland aktiv – sollte man meinen. Paul Schubert kommentiert den neuen Anlauf zur Umsetzung der Richtlinie und hinterfragt, ob Cyber Security von der Politik nicht doch auf die zu leichte Schulter genommen wird.
Nun befinden wir uns endlich auf der Zielgeraden. NIS2 wird voraussichtlich Anfang nächsten Jahres finalisiert. Das hat nicht nur viel zu lang gedauert, sondern gibt einen kleinen Einblick, wie viele aus dem politischen Berlin über Cyber Security denken – als ein Thema, das man nebenbei mal so regelt.
Wie ich darauf komme? Der gesamte Prozess, die umfassende Cyber-Sicherheits-Richtlinie abzuwickeln, hat sich gezogen wie Kaugummi. Kurz zur Erinnerung: Der erste Referentenentwurf der alten Ampel-Koalition stammt vom April 2023. Anderthalb Jahre später scheiterte die Regierung und in der ehemaligen Koalition fand sich keine politische Mehrheit mehr für das quasi fertige Gesetz. Der letzte Referentenentwurf der neuen Regierung datiert auf Ende Juni. Jetzt folgen Verbändeanhörungen und Gesetzesentwürfe für Bundestag und Bundesrat. Nachdem man vor einigen Wochen noch auf eine Finalisierung im Herbst/Winter dieses Jahres hoffte, hört man nun Anfang nächsten Jahres als realistischen Termin.
Eine weitere kurze Erinnerung: Die eigentliche Frist ist am 17. Oktober 2024 abgelaufen. Beim jetzigen Tempo des Gesetzesverfahrens ist damit zu rechnen, dass Deutschland europaweit Schlusslicht in der nationalen Umsetzung wird. Dass die neue Koalition doch etwas länger braucht als vorher optimistisch gehofft, war zwar erwartbar, passt aber in die Linie, wie mit Cyber Security in diesem Land umgegangen wird. Als die alte Koalition zerbrach, versprach Altkanzler Olaf Scholz im November, die wichtigen Gesetze noch zu beschließen, die keinen Aufschub dulden. Tja, leider war da NIS2 nicht dabei.
So die Situation im Bund. Aber auch in den Ländern gibt es bei der Umsetzung der Richtlinie riesige Unterschiede. Einige von ihnen, wie Sachsen und Bayern, haben die Frist erfolgreich gemeistert. Viele andere haben kurz vor oder nach der Frist – nachgelegt. Aber: Einige Länder wie Berlin, Nordrhein-Westfalen oder Mecklenburg-Vorpommern haben immer noch nicht geliefert. Hier droht ein Schneckenrennen gegen den Bund. Und im Fall der Länder gibt es eigentlich keine Ausreden.
So oder so: Es braucht wohl einen spektakulären Cyber-Angriff auf eine wichtige Einrichtung, um Cyber Security als Thema zu verorten, „das keinen Aufschub duldet“. Und ich dachte, ein verursachter Schaden von 178 Milliarden Euro in Deutschland allein im letzten Jahr wäre Weckruf genug. Da habe ich mich wohl geirrt.
