Diese Woche steht im Bundestag die Umsetzung der NIS-2-Richtlinie auf der Agenda. Nach den Beratungen im Innenausschuss soll das Gesetz im Plenum verabschiedet werden. Fest steht schon jetzt: Die neuen Vorgaben kommen – und zwar ohne Übergangsfrist.
Dazu sagt Ulrich Plate, Leiter der Kompetenzgruppe KRITIS beim eco – Verband der Internetwirtschaft e. V.:
Spät gestartet, aber auf der Zielgeraden: Deutschland hat den langen Anlauf geschafft und wird nun die wichtige NIS-2-Umsetzung endlich beschließen. Die zweite Stufe des EU-Vertragsverletzungsverfahrens hing lange wie ein Damoklesschwert über Berlin; jetzt gibt es endlich Bewegung im Gesetzgebungsstau der Cybersicherheit.
Doch diese Geschwindigkeit hat ihren Preis. Viele Stimmen aus der Wirtschaft, darunter auch eco, haben vergeblich gewarnt, dass die Eingriffsbefugnisse bei den ‚kritischen Komponenten“ (vgl. § 41 BSIG-E ) zu Unsicherheit führen. Neu ist dabei, dass das Bundesinnenministerium künftig auch ohne Meldung des Betreibers aktiv werden kann, um Komponenten zu verbieten. Für Unternehmen bedeutet das: Einschätzungen des Innenministeriums können kostspielige Austauschpflichten nach sich ziehen.
Auch kann das Ministerium die Untersagung riskanter Bauteile selbst veranlassen und zieht andere Ressorts allein ihrer „Fachkompetenz und Perspektive“ wegen hinzu. Aus wirtschaftlicher Sicht ist es ein Risiko für Investitionsklarheit und Vertrauen. Zugleich werden Aufsicht und Sanktionen künftig stärker im Innenministerium gebündelt, was einen weiteren Schritt hin zu einer politischen Zentralisierung der Cybersicherheitsarchitektur darstellt.
Zwar wurde die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) in einzelnen Punkten gestärkt, etwa durch erweiterte Aufsichts- und Koordinierungsaufgaben, doch seine Zertifizierungen stehen weiterhin unter dem Vorbehalt politischer Entscheidungen. Die Bedeutung und der Stellenwert einer BSI-Zertifizierung bleiben damit für die Wirtschaft schwer einschätzbar.
Positiv ist, dass der Änderungsantrag nun ausdrücklich den Bezug zum europäischen Cyber Resilience Act (CRA) herstellt. Das ist ein wichtiger Schritt, um technische Sicherheitsanforderungen an Produkte EU-weit zu harmonisieren. Dennoch hätte man die Schnittstellen zwischen NIS-2-Umsetzungsgesetz und CRA enger verzahnen können, um Doppelregulierung und Interpretationsspielräume zu vermeiden.
Entscheidend wird nun die Verordnungsphase sein: Die Bundesregierung sollte in den kommenden Monaten gemeinsam mit der Wirtschaft und den Fachverbänden klare, überprüfbare Kriterien für „kritische Komponenten“ definieren und die Entscheidungswege zwischen BMI, BSI und anderen Ressorts verbindlich abstimmen.
Nur dann wird aus einem späten Gesetz noch ein gutes Gesetz; eines, das Vertrauen stärkt und keine neue Unsicherheit schafft.
