• Bundesverwaltung muss dieselben Standards wie Unternehmen erfüllen
• Kurzfristige Neuregelung zum möglichen Verbot kritischer Komponenten kann Investitionen bremsen

Mit der heutigen Verabschiedung des Gesetzes zur Umsetzung der EU-Richtlinie NIS-2 durch den Bundestag wird nach Ansicht des Digitalverbands Bitkom die Cybersicherheit in Deutschland gestärkt und mehr Rechtssicherheit für Unternehmen geschaffen. Zugleich können die Neuregelungen für den Einsatz sogenannter kritischer Komponenten erhebliche Auswirkungen auf die Investitionsentscheidungen von Unternehmen und damit die Digitalisierung in Deutschland haben. „Die Umsetzung der europäischen NIS-2-Richtlinie war überfällig. Cyberangriffe bedrohen Wirtschaft, Verwaltung und Gesellschaft. Den deutschen Unternehmen ist so zuletzt ein jährlicher Schaden von 202 Milliarden Euro entstanden“, sagt Bitkom-Präsident Dr. Ralf Wintergerst. Ziel der NIS-2-Richtlinie ist die Stärkung von Resilienz und Cybersicherheit in den Mitgliedstaaten. Dafür wurde unter anderem die Definition kritischer Infrastruktur erweitert und damit eine Vielzahl von Unternehmen zu besonderen Sicherheitsvorkehrungen verpflichtet.

Als äußerst positiv bewertet Bitkom, dass im nun verabschiedeten Gesetz nachgelagerte Bundesbehörden in den Anwendungsbereich von NIS-2 einbezogen werden. Besonders in sensiblen Bereichen der Bundesverwaltung können Sicherheitslücken erhebliche finanzielle Schäden verursachen und das Vertrauen in demokratische Institutionen beschädigen. „Eine wirksame und glaubwürdige Cybersicherheitsarchitektur setzt voraus, dass der Staat selbst höchste Sicherheitsstandards einhält. Es ist nur konsequent und richtig, dass Bundesbehörden künftig denselben Anforderungen beim Risikomanagement unterliegen wie regulierte Unternehmen“, so Wintergerst. 

Dagegen sind die zuletzt in das Gesetzgebungsverfahren eingebrachten Neuregelungen zu sogenannten kritischen Komponenten nach Ansicht des Bitkom eher schädlich. Vorgesehen ist nun, dass das Bundesinnenministerium in Abstimmung mit anderen Ressorts kritische Komponenten definiert und künftig auch eigenständig deren Einsatz untersagen kann. „Unternehmen brauchen verlässliche Rahmenbedingungen, Verbote können erhebliche Auswirkungen auf die Geschäftstätigkeit haben. Vor solch wichtigen Entscheidungen müssen die Betroffenen unbedingt vorab konsultiert werden“, so Wintergerst. Die Definition von kritischen Komponenten sollte nach Ansicht des Bitkom auch künftig auf Grundlage technischer Kriterien durch die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen. 

Um Deutschland vor Cyberangriffen zu schützen und einen ganzheitlichen Ansatz für digitale Sicherheit zu schaffen, sollten Unternehmen bei der praktischen Umsetzung der NIS-2-Anforderungen durch das BSI unterstützt werden. Zudem müsse nun auch das KRITIS-Dachgesetz an das NIS-2-Umsetzungsgesetz angepasst und zeitnah umgesetzt werden.