STELLUNGNAHME | DIGITALPOLITIK | CYBERSICHERHEIT
Vierter Referentenentwurf des BMI zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz NIS2UmsuCG unbürokratisch und auf Basis digitaler Lösungen implementieren
8. Juli 2024 Executive Summary Angesichts der stetig steigenden Cyberbedrohungslage unterstützt die deutsche Wirtschaft das Bestreben, die Cyberresilienz von Staat und Wirtschaft durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nachhaltig zu stärken. Cybersicherheitsanforderungen, die die Breite der deutschen Industrie erfüllen müssen, haben das Potenzial, das Cybersicherheitsniveau der InnoNation, also des Industrie- und Innovationsstandorts Deutschland, zu erhöhen. Sie werden jedoch nur dann dieses Ziel erreichen, wenn sie praxisnah und möglichst unbürokratisch umgesetzt werden. Hierfür ist es unabdingbar, dass ▪
Unternehmen ihren Melde-, Nachweis- und Registrierungspflichten volldigital nachkommen können und das BSI Information Sharing Portal ein tagesaktuelles Cybersicherheitslagebild auf Basis anonymisierter Informationen aus den Meldungen bietet;
▪
Kompetenzen zwischen Bundes- und Landesbehörden überlappungsfrei geregelt werden;
▪
Rechtsunsicherheiten in der Anwendung des NIS2UmsuCG vermieden werden, indem das Bundesamt noch vor Inkrafttreten branchenspezifische Handreichungen veröffentlicht;
▪
neben der Gesetzgebung die Sicherheitskultur mit konkreten Maßnahmen gefördert wird, wie z. B. der Vertrauenswürdigkeitsüberprüfung von Mitarbeitenden und
▪
die Anforderungen der NIS-2-Richtlinie EU-weit einheitlich implementiert werden und Unternehmen – im Sinne bürokratiearmer Regulierung – ihren Melde-, Nachweis- und Registrierungspflichten nur in einem Mitgliedstaat gebündelt für die gesamte EU nachkommen müssen.
Angesichts der zahlreichen konkreten Vorschläge des BDI zur Anpassung des dritten Referentenentwurfs erachten wir es als sehr misslich, dass das Bundesministerium des Innern und für Heimat in Abstimmung mit den weiteren Ressorts nahezu keinen der eingebrachten Punkte berücksichtigt hat. Rechtssicher formulierte regulatorische Anforderungen sowie unbürokratische und digitale Umsetzungsmaßnahmen sind entscheidend für eine wirksame Erhöhung der Cyberresilienz Deutschlands. Negative Elemente des vierten Referentenentwurfs ▪
Fehlende Aufnahme der öffentlichen Verwaltung der Länder und Kommunen in den Anwendungsbereich: Das NIS2UmsuCG ordnet nach § 28 Abs. 3 Nr. 5 BSIG-E lediglich Behörden der Bundesverwaltung der Kategorie „besonders wichtige Einrichtungen“ zu. Hier bedarf es dringender Nachbesserungen. Die deutsche Industrie ist auf eine stets funktionierende öffentliche Verwaltung auf allen Ebenen des Staates angewiesen, die nicht durch Cybersicherheitsvorfälle über Monate hinweg lahmgelegt ist. Neben Bundesbehörden sollten auch
Steven Heckler | Stellvertretender Abteilungsleiter Digitalisierung und Innovation | s.heckler@bdi.eu | www.bdi.eu