NIS-2-Umsetzung : Spät kommt es, doch es kommt… aber auch konsequent genug?

So wie es derzeit aussieht, wird der Bundestag endlich das Gesetz zur Umsetzung der NIS-2-Richtlinie beschließen. Trotz der langen Vorgeschichte erntete der Gesetzentwurf bis zuletzt viel Kritik von Verbänden und Sachverständigen. Zu viele Unklarheiten enthalte er und zu viele Ausnahmen für die staatlichen Einrichtungen. Zumindest die Kritik an der staatlichen Selbstbegünstigung wurde nun vom Innenausschuss gehört. Die Einrichtungen der Bundesverwaltung sollen jetzt alle gesetzlich zu einem hohen Sicherheitsniveau verpflichtet werden.

Doch auch das Papier des Bundesgesetzblattes ist geduldig. Durch eine gesetzliche Pflicht wird noch keine IT-Sicherheit geschaffen, sondern erst durch ihre tatsächliche Umsetzung. Welche Aufwände auf die Verwaltung zukommen können, lassen frühere Schätzungen erahnen. Diese sahen fast 1000 zusätzliche Stellen und 500 Millionen Euro über vier Jahre als Erfüllungsaufwand für die Bundeseinrichtungen vor.

Wegen dieser Kostenschätzung sah der finale Regierungsentwurf des NIS-2-Umsetzungsgesetzes dann auch wieder Ausnahmen für die Bundesverwaltung vor. Auch im parlamentarischen Raum schreckte man angesichts leerer Kassen zunächst davor zurück, die Ausnahmen einfach wieder zu kassieren. Denn auch wenn die initialen Kosten aus dem Sondervermögen bestritten und mit Schulden finanziert werden können, muss die Zinslast später wieder aus dem Kernhaushalt gezahlt werden. Der Bewegungsspielraum der Haushälter wird damit noch kleiner, als er ohnehin ist. Vor diesem Hintergrund gebührt dem Innenausschuss Respekt für die mutige, aber richtige Entscheidung.

Die nötigen Ressourcen im Haushalt gab es nicht immer

Doch nun muss der Gesetzgeber auch bei künftigen Haushaltsgesetzen konsequent liefern und den Behörden die nötigen Mittel an die Hand geben, um die Pflichten erfüllen zu können. Jetzt werden einige einwenden, die Behörden seien ja schon seit 2017 durch den Umsetzungsplan Bund (UP Bund) durch verwaltungsinterne Richtlinien zu diesen IT-Sicherheitsmaßnahmen verpflichtet. Und das stimmt. Aber hier nähern wir uns auch dem Kern meiner Sorge. Denn auch mit dem UP Bund wurden IT-Sicherheitspflichten für die Bundesverwaltung geschaffen. Aber die nötigen Ressourcen im Haushalt gab es eben nicht immer. Warum nicht? Weil es ja keine gesetzliche Pflicht der Behörden sei, sondern eine interne Regelung. Ich hoffe inständig, dass die Haushälter den Behörden nun die nötigen Mittel nicht mit der Begründung verweigern, es sei im Prinzip ja keine neue Pflicht, sodass auch kein zusätzlicher Erfüllungsaufwand entstünde.

Um Geld zu sparen hätte der Gesetzgeber andere Möglichkeiten im NIS-2-Umsetzungsgesetz selbst gehabt. Dort hat er z. B. in § 44 Abs. 1 BSIG den neuen Begriff der „Mindestanforderungen“ für die Bundesverwaltung geschaffen. Diese Mindestanforderungen müssen die über 900 Einrichtungen jeweils für sich aus BSI-Standards, BSI-Grundschutz und BSI-Mindeststandards umständlich ermitteln. Eventuell treten auch noch Anforderungen der EU-Kommission daneben.

Statt es jeder Bundeseinrichtung selbst zu überlassen, aus diesem Anforderungsdschungel die passenden Maßnahmen zu ermitteln und eventuelle Widersprüche der verschiedenen Anforderungskataloge aufzulösen, hätte der Gesetzgeber die BSI-Mindeststandards als einzigen Anforderungskatalog für die Verwaltung festlegen können. Die Experten des BSI hätten dann die verschiedenen Anforderungen aus BSI-Standards, IT-Grundschutz und der EU-Kommission in den BSI-Mindeststandards konsolidieren sowie eventuelle Widersprüche und Unklarheiten mit der nötigen IT-Sicherheitsexpertise auflösen können. Die Bundeseinrichtungen hätten sie dann nur noch umsetzen müssen. Die realisierbaren Skaleneffekte liegen auf der Hand, wurden vom Gesetzgeber aber leider nicht genutzt, obwohl dahingehende Vorschläge unterbreitet wurden.

Hausaufgaben nicht vollständig gemacht

Die Hoffnungen für eine möglichst effiziente Umsetzung der Anforderungen durch die Bundesverwaltung ruhen damit auf dem BSI. Es muss versuchen, die Anforderungen möglichst zu vereinheitlichen und für die Bundeseinrichtungen leicht handhabbar zu machen, um deren Aufwände zu reduzieren. Dazu können schlichte Umsetzungsanleitungen des BSI ebenso einen Beitrag leisten wie die Automatisierbarkeit und Toolunterstützung der Umsetzung. Doch für diese zentralen Vorarbeiten muss auch das BSI die nötigen Stellen und Ressourcen erhalten. Diese wären gut investiert, da sie das Potenzial haben, den Gesamtbedarf der Bundesverwaltung zu reduzieren.

Ob der Haushaltsgesetzgeber dies auch so sieht, werden wir abwarten müssen. Klar ist jedoch, dass der Gesetzgeber auch mit der Verabschiedung des NIS-2-Umsetzungsgesetzes seine Hausaufgaben in Sachen IT-Sicherheit in der Bundesverwaltung noch nicht vollständig gemacht hat. Er muss auch in den Haushaltsgesetzen der nächsten Jahre zeigen, wie wichtig ihm das Thema wirklich ist.

Steve Ritter ist Mitglied im Vorstand der Gesellschaft für Datenschutz und Datensicherheit (GDD). Er beschäftigt sich seit vielen Jahren beruflich und rechtswissenschaftlich mit dem IT-Sicherheitsrecht. Der Beitrag gibt die persönliche Meinung des Autors wieder.