NIS-2-Richtlinie : NIS-2-Umsetzung – Es geht noch besser

Mein erster Kommentar hier im Tagesspiegel Background zum Thema NIS-2 ist nun 28 Monate her, vieles hat sich getan, einiges verbessert und es ist gut, dass wir hier in Deutschland nun endlich auf die Zielgerade einbiegen, wenn auch mit einiger Verspätung. 28 Monate heißt übrigens auch, dass dies vor dem Überfall Russlands auf die Ukraine war, die Bedeutung des Themas Cybersecurity und des Schutzes Kritischer Infrastrukturen und die Aufmerksamkeit dafür sind seitdem weitergestiegen.

Es ist müßig, darüber zu diskutieren, aber die Frage, ob die europäische NIS-2-Richtlinie genauso ausgesehen hätte, wenn die Beratungen hierzu schon im Angesicht der russischen Aggression stattgefunden hätte, wäre schon spannend zu diskutieren. Ich vermute, dass einige Punkte vielleicht anders aussehen würden. Weniger „Gießkanne“, mehr risikoorientierte Fokussierung auf die relevantesten Angriffspunkte wäre hier einer der Ansatzpunkte gewesen. Aber es ist wie es ist und es ist gut, dass die Umsetzung jetzt kommt, denn lieber ein nicht perfektes Gesetz, das gilt, als ein perfekter Entwurf, der nicht kommt.

Vieles, was man kritisieren könnte, ist nun außerhalb der rein deutschen Einflusssphäre, aber auch bezüglich der nationalen Umsetzung gibt es noch ein paar Punkte, die einen Unterschied machen und bei denen eine genaue Beschäftigung sich lohnt. Genau dies findet nun in der Verbändeanhörung statt, in der natürlich die einzelnen Branchen auch Partikularinteressen einbringen. Ich möchte losgelöst davon und als „reiner“ Security-Experte ohne Brancheninteressen die aus meiner Sicht kritischsten Punkte aufzeigen, ohne auch nur im geringsten Anspruch auf Vollständigkeit zu beanspruchen:

1. Fehlende Rechtssicherheit zur Umsetzung

In der europäischen Regelung gibt es keine Umsetzungsfrist für die betroffenen Unternehmen, was natürlich vollkommen unrealistisch ist. Das Bundesinnenministerium (BMI) hat getan, was es konnte und durch die Einführung einer Nachweispflicht erst in drei Jahren hier etwas Druck herausgenommen. Was aber passiert, wenn ein Unternehmen in der Zwischenzeit zum Beispiel nach einem Sicherheitsvorfall verklagt wird, weil die Umsetzung ja nicht pünktlich zum 17. Oktober 2024 vollständig erreicht wurde? Wird es hier reichen, wenn man einen plausiblen Projektplan inklusive planmäßigen Umsetzungsfortschritt nachweisen kann?

Hier sollte sich das BMI um eine Präzisierung seitens der EU bemühen. Hinzu kommt, dass immer noch viele Unternehmen gar nicht wissen, dass sie betroffen sind oder zu einer falschen Einschätzung gekommen sind. Der Verband deutscher Maschinen- und Anlagenbau (VDMA) hat dies in der eigenen Verbandsmitgliedschaft abgefragt. Fazit: 24 Prozent der befragten Unternehmen kamen zur Einschätzung, nach eigener Prüfung nicht von der NIS-2 erfasst zu sein. 71 Prozent davon lagen falsch.

Es wird Zeit, dass sich das BMI nicht länger einen „schlanken Fuß macht“ und die Verantwortung allein auf die Unternehmen abschiebt, sondern hier in eine proaktive Rolle wechselt und die betroffenen Unternehmen selbst informiert. Sonst ist das böse Erwachen gegebenenfalls noch größer: Nicht nur, dass man zu spät erfährt, dass man betroffen ist, man hätte dann auch schon in der Vergangenheit alles umgesetzt haben müssen.

2. Unzureichende Aufnahme der öffentlichen Verwaltung in die NIS-2-Verpflichtungen

Dass die Verwaltungen der Kommunen aus dem Anwendungsbereich der NIS-2 herausexkludiert wurden, ist schon viel kritisiert worden. Die Motivation ist sicherlich, dass es allen klar sein dürfte, dass die erfolgreiche Umsetzung in der Kürze der Zeit (und hier rede ich von den drei Jahren bis zur Nachweispflicht, siehe auch unten) nicht flächendeckend möglich ist.

Das Mindeste wäre dann aber aus meiner Sicht, dass alle potenziell betroffenen Institutionen zumindest einen konkreten Projektplan mit realistischem Zeithorizont erstellen und die benötigten Mittel allozieren. Das wird sicher teuer, aber Nichtstun ist noch teurer (siehe Anhalt-Bitterfeld, Schwerin, Südwestfalen, ...).

Es wird aber noch schlimmer: Zwar sind nun Erfüllungsaufwände (insgesamt 1400 Stellen für die gesamte Verwaltung, davon 550 Stellen beim BSI) genannt. In den relevanten Paragraphen stehen aber alle konkreten Punkte hierzu in eckigen Klammern, sprich im Haushalt ist noch nichts eingeplant und alles muss noch ausverhandelt werden. Sicher ist noch gar nichts (im wahrsten Sinne des Wortes).

3. Was nutzt das Melden, wenn unklar ist, wie das Feedback funktioniert?

Rund 30.000 Unternehmen müssen in Zukunft zeitnah Sicherheitsvorfälle melden. Teilweise in sehr kurzen Fristen. Was macht das BSI damit, wenn die Finanzierung der benötigten Stellen nicht gesichert ist? Da reichen die Ressourcen vermutlich kaum für mehr, als die Meldungen in einen anderen E-Mail-Ordner zu verschieben.

Das geplante Information Sharing Portal ist ein sinnvoller und begrüßenswerter Schritt, nur keiner weiß, was dann wie konkret passiert. Das einzige, was man aktuell weiß ist, dass die zukünftigen Nutzer bisher nicht in die Entwicklung einbezogen wurden, was man wohl eigentlich als „Stand der Technik“ bezeichnen würde.

Apropos „Stand der Technik“: Den definiert gemäß NIS2-UmsuCG das BSI für die Sicherheitsmaßnahmen. Wie stehen die Wetten, dass auch dies dann wieder ohne Einbeziehung der Betroffenen geschieht?

4. § 9b BSIG heißt jetzt § 41 NIS2UmsuCG, oder: Raider heißt jetzt Twix, sonst ändert sich nix

Ich will jetzt gar nicht die Diskussion führen, ob der § 9b (Untersagung des Einsatzes kritischer Komponenten) so sinnvoll ist, wie er ist. Aber bisher galt er nur für die vier großen Mobilfunkbetreiber und die Geschichten ob der Komplexität und Langsamkeit der bisherigen Verfahren sind lang und viele. Nun gilt er unverändert auch für rund 300 Energieversorger. Hier wäre in meinen Augen eine Diskussion mit den bisherigen Betroffenen und die Umsetzung von „Lessons learned“ wertvoll und wichtig gewesen, als einfach so weiterzumachen. Auch dies erst recht wieder unter dem Blickwinkel der komplett unklaren personellen Ausstattung auf staatlicher Seite.

5. NIS-2 regelt, wie IT vertrauenswürdig betrieben werden soll. Von wem ist egal.

Nirgends wird ein Schutzmechanismus etabliert, um zu verhindern, dass diese nicht – polemisch überspitzt – von russischen Agenten in den Unternehmen administriert werden. Ich kann den Satz „Die Kette ist so stark wie ihr schwächstes Glied“ nicht mehr hören, woanders scheint er aber noch nie gehört worden zu sein.

Was nutzt die beste IT, wenn die Unternehmen keine Möglichkeit haben, für das Schlüsselpersonal Background-Checks durch die Sicherheitsbehörden durchführen zu lassen? Freiwillig, gegen Kostenerstattung.

Ja, dies ist nicht in der NIS-2 geregelt, aber es wird seit Jahren von der Wirtschaft gefordert und scheitert böse ausgedrückt an ministeriellen Eifersüchteleien. Das Wirtschaftsministerium hat das Thema bei sich, priorisiert es aber seit Jahren runter, gibt es nicht ans BMI ab – und zwar egal, welches Parteibuch die jeweiligen Minister haben.

6. Deutschland als unpünktlicher Streber

Schon heute ist klar, dass das Umsetzungsgesetz nicht pünktlich in Kraft treten kann. Sicher ist aber auch, dass wir damit nicht die einzigen sein werden. Genauso sicher scheint aber auch, dass Deutschland an bestimmten Punkten über die Forderungen der europäischen Regulierung hinausgehen wird. Dahinter ist oft sogar die gute Absicht zu erkennen, ich bezweifle aber, dass dies positive Effekte haben wird.

Man muss manchmal fast schon Jurist sein (was ich nicht bin), aber auch hier lohnt der Blick ins Detail. Die europäische Richtlinie fordert die „Berücksichtigung“ des Standes der Technik, der deutsche Entwurf die „Einhaltung“. Natürlich wäre aus reiner Security-Sicht die Einhaltung besser. Aber jeder der schon einmal mit Industrieanlagen zu tun hatte, weiß, dass dies angesichts der komplett anderen Lebenszyklen et cetera oft gar nicht möglich ist.

Was ist die Konsequenz? Abschalten wird nicht gehen, Talsperren wird man nicht ins Ausland verschieben können, für bestimmte Industrieanlagen würde das aber dann gegebenenfalls eine Option sein, die wir uns umgekehrt auch nicht wünschen können.

Auch in anderen Punkten wird im Detail mehr geregelt als vorgegeben. Ein Beispiel dafür ist etwa die Ausprägung der Meldepflicht. Die NIS-2 fordert die Meldung aller Sicherheitsvorfälle die „erhebliche Auswirkungen auf die Erbringung ihrer Dienste“. Der deutsche Entwurf fordert die Meldung aller Sicherheitsvorfälle, also auch von Vorfällen, die lediglich finanziellen Schaden anrichten, aber nicht die Diensterbringung gefährden. Auch hier kann man natürlich im Sinne „viel hilft viel“ argumentieren, ich befürchte aber, dass hier bei den Unternehmen zwar Mehraufwand erzeugt wird, aber beim BSI dadurch nur der Heuhaufen immer größer wird, in dem zu wenig Mitarbeiter dann nach der Nadel suchen.

Bei aller Kritik im Detail: es ist gut, dass das Gesetz kommt, der heutige Stand ist deutlich besser als am Anfang. Und dies liegt aus meiner Sicht auch daran, dass durch die Leaks früherer Entwürfe die öffentliche Diskussion und die indirekte Beteiligung der Wirtschaft besser funktioniert hat als etwa beim IT-Sicherheitsgesetz 2.0. Ich hoffe nur, dass jetzt kurz vor Zielerreichung wirklich noch einmal auf die externen Stimmen gehört und die Anhörungsphase nicht nur als Pflichtübung und Feigenblatt gesehen wird.

Timo Kob ist Professor für Cybersecurity an der FH Campus Wien. Er leitet den Bundesarbeitskreis Cybersecurity im Wirtschaftsrat der CDU, ist Mitglied des Hauptvorstandes des Bitkom und Gründer und Vorstand der Unternehmensberatung Hisolutions.