Das Bundeskabinett hat den Regierungsentwurf zur Umsetzung der NIS-2-Richtlinie beschlossen. Bundesbehörden sollen künftig Mindestanforderungen an die Informationssicherheit erfüllen. Von den strengeren Regelungen bleiben sie jedoch weiterhin ausgenommen – ein Umstand, der auf Kritik stößt.
Anfang Juni wurde der neue Referentenentwurf des NIS-2-Gesetzes bekannt (Behörden Spiegel berichtete), heute folgte der Beschluss durch das Bundeskabinett. Die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, glaubt, dass Deutschland mit dem Regierungsentwurf „einen wichtigen Schritt in Richtung einer resilienten Cybernation“ gegangen sei. Auch für den Schutz des Staates sei das Gesetz ein „Meilenstein“. Einrichtungen der Bundesverwaltung müssten „Mindestanforderungen der Informationssicherheit“ erfüllen, erklärt das BSI. Diese ergäben sich unter anderem aus dem IT-Grundschutz-Kompendium des BSI und den Mindeststandards für die Sicherheit in der Informationstechnik des Bundes.
Doch das reicht vielen nicht. Bitkom-Präsident Dr. Ralf Wintergerst kritisiert etwa, dass die Bundesverwaltung nach wie vor von den „strengeren Vorgaben” ausgenommen sei: „Gerade der Bund und die öffentliche Verwaltung sollten und müssen Vorreiter bei der Cyber-Sicherheit sein, wir können uns angesichts der Bedrohungslage keine Sicherheitslücken leisten.“ Schon der NIS-2-Entwurf der letzten Bundesregierung sah Ausnahmen für die Bundesverwaltung vor, was die Sachverständigen einer Anhörung im November letzten Jahres bemängelten (Behörden Spiegel berichtete).
„Fatales Signal“
Auch Timo Kob, Vorstandsmitglied von HiSolutions, sieht in den Ausnahmen von nachgeordneten Behörden ein „fatales Signal“, wie er auf LinkedIn schreibt. Er appelliert an die Bundestagsabgeordneten, diese Einschränkung zu streichen. Der Leiter der Kompetenzgruppe KRITIS des eco-Verbands, Ulrich Plate, erklärt: „Die eigentliche Arbeit beginnt erst jetzt, im parlamentarischen Verfahren.“ Dort werde sich zeigen, ob die Bundesregierung bereit sei, „bei Ausnahmen, Zuständigkeiten und Übergangsfristen für Klarheit zu sorgen“. Zentrale Fragen seien noch offen, etwa die Ausnahmen für Unternehmen mit „vermeintlich vernachlässigbarer kritischer Tätigkeit“, so Plate.
Prof. Dr. Dennis Kenji Kipker, Forschungsdirektor des Cyberintelligence Institutes, sieht in der genannten Unsicherheit ebenfalls ein Problem. Trotzdem wertet er den Beschluss durch das Bundeskabinett insgesamt als positive Nachricht für die Cyber-Sicherheit. Er hebt auf LinkedIn hervor, dass das Bundesdigitalministerium „deutlich“ in die Entscheidungs- und Kontrollverfahren zur Cyber-Sicherheit einbezogen werde. Außerdem betont er, dass die Umsetzung von NIS-2 im geplanten Zeitrahmen liege. Demnach solle der Entwurf bereits am 15. August dem Bundesrat zugeleitet werden, sodass das Gesetz bis Ende des Jahres in Kraft treten könnte.
