Die Bundesregierung hat heute endlich geliefert: Der Kabinettsbeschluss zur Umsetzung der NIS 2-Richtlinie ist verabschiedet worden. Ulrich Plate, Leiter der Kompetenzgruppe KRITIS bei eco – Verband der Internetwirtschaft e.V., begrüßt diesen Schritt: „Damit kehrt das Thema Cybersicherheit endlich auf die politische Bühne zurück – überfällig angesichts der sicherheitspolitischen Lage. Die EU-Richtlinie verlangt nicht weniger als eine strukturelle Modernisierung der Sicherheitsarchitektur kritischer Infrastrukturen.“
Doch der Kabinettsbeschluss sei nur der Auftakt, so Plate: „Die eigentliche Arbeit beginnt erst jetzt, im parlamentarischen Verfahren. Dort wird sich zeigen, ob die Bundesregierung wirklich bereit ist, bei Ausnahmen, Zuständigkeiten und Übergangsfristen für Klarheit zu sorgen. Denn auch nach der jüngsten Überarbeitung bleiben zentrale Fragen offen. So etwa bei den geplanten Ausnahmen für Unternehmen mit vermeintlich „vernachlässigbarer“ kritischer Tätigkeit. Was politisch pragmatisch klingt, ist europarechtlich heikel. Sollte diese Regelung vor dem EuGH scheitern, drohen Vertragsverletzungsverfahren und ein Rückfall in die Unsicherheit, die NIS 2 eigentlich beenden sollte.“
Harmonisierung oder europäischer Flickenteppich?
Die europäische Dimension verdiene mehr Aufmerksamkeit, mahnt Ulrich Plate. Während Deutschland noch abstimme, schafften andere Mitgliedstaaten bereits nationale Fakten; allerdings nicht immer im Geiste der Harmonisierung. So setze etwa Italien setzt auf eigene Interpretationen, was das Risiko eines regulatorischen Flickenteppichs erhöhe. „Deutschland täte gut daran, hier nicht ebenfalls zum Alleingang anzusetzen“, sagt der KRITIS-Experte.
„Immerhin: Die Umsetzungsbasis nimmt Gestalt an. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitet sich organisatorisch auf seine Aufgaben vor – unter anderem mit einem geplanten Melde- und Registrierungsportal, über das Unternehmen künftig ihre Betroffenheit anzeigen und Sicherheitsvorfälle melden sollen. Für Unternehmen bedeutet das: Jetzt ist der richtige Zeitpunkt, um aktiv zu werden. Dazu gehört nicht nur die Überprüfung bestehender Sicherheitsarchitekturen, sondern vor allem auch die Schärfung interner Risikoanalysen, die eine der zentralen Anforderungen von NIS 2 darstellt. Wer frühzeitig für Klarheit sorgt, stärkt nicht nur die eigene Compliance, sondern auch die betriebliche Resilienz“, so Ulrich Plate.
