NIS-2-Umsetzung : Macht die Wirtschaft nicht zum Aschenputtel!

Dr. Aleksandra Sowa hat in ihrer Kolumne vom 16. Oktober zu Recht auf die Verantwortung von Führungskräften und die Schulungspflicht nach der NIS-2-Richtlinie hingewiesen. Allerdings greift das zu kurz.

Der Entwurf des BSI-Gesetzes zur Umsetzung der NIS-2-Richtlinie enthält umfassende Vorgaben für „besonders wichtige“ und „wichtige“ Unternehmen. Paradox: Nach § 29 BSIG-E gelten Bundesbehörden als besonders wichtige Einrichtungen – sind aber von der Schulungspflicht ausgenommen. Für Behördenleitungen gibt es eine Sondervorschrift (§ 43 Abs. 3 BSIG-E), die zentralen Regelungen (§ 30 BSIG-E) zu etwa BCM-Maßnahmen und Lieferkettensicherheit betreffen jedoch nur das Bundeskanzleramt und Ministerien. Nachgeordnete Bereiche bleiben bei den niedrigeren Mindeststandards des § 8 BSIG. Das schafft unterschiedliche Schutzniveaus innerhalb des Bundesapparats.

Dass der Bund hier strenger sein sollte, belegt der bekannte Einbruch in IT-Systeme des Auswärtigen Amtes 2018: Der Weg über zwei Bildungseinrichtungen des Bundes zeigte, dass Angreifer über schlechter geschützte Stellen vorstoßen, um an höherwertige Ziele zu gelangen.

NIS-2 verlangt Meldepflichten, Schulungen und CISO-Funktionen – vieles, was selbstverständlich sein müsste. Dennoch machte die Anhörung zur NIS-2-Umsetzung vor dem Innenausschuss deutlich, dass es dem Bund weiterhin an einem einheitlichen Standard und Schutzniveau fehlt. Liegt das an Überforderung oder am fehlenden politischen Willen?

Kommunen könnten eingebunden werden

Völlig ausgespart werden zudem die Kommunen, obwohl die EU-Richtlinie deren Einbeziehung zulässt. Der Gesetzgeber beruft sich auf kommunale Selbstverwaltung und verzichtet damit auf deren Aufnahme. Das ist bemerkenswert, weil Kommunen eng mit Landes- und Bundesnetzen verknüpft sind und die Mehrzahl der Bürgerleistungen erbringen. Und zwar mit derselben IT, über die auch Bundesverfahren laufen.

Ein Bundestags-Sachstandsbericht zeigt: Eine Einbindung wäre rechtlich möglich. Die Gesetzesbegründung veranschlagt den jährlichen Erfüllungsaufwand für die ungefähr 10.500 Kommunen insgesamt mit 0,8 bis 1,1 Milliarden Euro zuzüglich Anschubkosten. Vor dem Hintergrund eines kommunalen Defizits von 24,8 Milliarden Euro und konkurrierender Investitionsbedarfe (Bildung, Verkehr, Gesundheit, Energie, Transformation) erscheint es jedoch unrealistisch, dass Kommunen allein zusätzliche Mittel für Cybersicherheit mobilisieren. Die Aufnahme in die NIS-2-Umsetzung könnte zweckgebundene Fördermittel absichern.

Stattdessen droht nun eine Zwei-, mit Blick auf Kommunen sogar Drei-Klassen-Gesellschaft in der Cybersicherheit: differenzierte Schutzniveaus statt eines einheitlichen Sicherheitsstandards — das Ziel der Richtlinie wird verfehlt. Diese Ungleichbehandlung schwächt die digitale Resilienz und untergräbt das Vertrauen in Staat und Verwaltung.

Wer ist hier das Aschenputtel?

Bei all dem kommt einem das Märchen vom Aschenputtel in den Sinn. Die Wirtschaft gleicht der leiblichen Tochter, dem Aschenputtel: fleißig, bis über den Kopf mit Arbeit eingedeckt, aber übergangen. Sie sortiert die Erbsen, Linsen und Wicken, wie die Unternehmen, die Sicherheitsmaßnahmen umsetzen, BCM-Pläne schreiben, Lieferketten prüfen und Standards nachweisen müssen. Für jede Unachtsamkeit drohen Strafen.

Die Bundesbehörden dagegen erinnern an die Stiefschwestern: verwöhnt, geschützt und von manchen Pflichten ausgenommen. Sie dürfen, anders als das Aschenputtel, auf dem Ball „tanzen“. Heißt: Sie profitieren von digitaler Infrastruktur, Bundesnetzen und Förderprogrammen. Wenn es aber um die IT-Sicherheit im NIS-2-Entwurf geht, müssen sie nur Mindestanforderungen umsetzen. Um es so zu formulieren: Während die Wirtschaft bis Mitternacht arbeitet, um „den Stand der Technik“ zu halten, gehen die Behörden mit den Mindeststandards tanzen.

Doch wer kleidet die Behörden ein, so wie das Aschenputteln die Ballkleider für Stiefmutter und Stiefschwestern nähen muss? Wieder die Wirtschaft: Sie liefert Sicherheitslösungen, entwickelt Produkte, passt Prozesse an – häufig maßgeschneidert für Behördenbedürfnisse, mit Ausnahmen, Sonderlocken, Schnittstellen. Sie schneidert, während andere feiern.

Im Märchen findet am Ende der Prinz das richtige Mädchen und reitet mit ihr vom Hof. Die Stiefschwestern können sich nicht in den Schuh zwängen, an dem der Prinz das Aschenputtel erkennen will. „Ruckedigu, Ruckedigu – Blut ist im Schuh! Blut ist im Schuh!“ gurren die Tauben und machen damit auf die Täuschung aufmerksam.

Genügt nicht den Ansprüchen

Auch der Prinz „Cybersicherheit“ sucht, bis er die Richtige gefunden hat, die seinen Ansprüchen genügt. Bei den Angreifern ist es jedoch leider andersherum: Sie werden sich auf die schlechter geschützten Ziele stürzen, um sie als Einfallstor zu nutzen. In diesem Falle die nachgelagerten Bundesbehörden. Hoffen wir, dass dann ein SIEM oder SOC ruft: „Ruckedigu, Ruckedigu…“

Ach ja – was ist mit den Kommunen? Welche Rolle spielen die in dem Märchen? Die stehen wie das Volk an den holprigen Straßen und winken dem Prinzen und der schönen Tochter zu, als sie vorbeireiten. Und während die Stiefschwestern und die Stiefmutter weiter am reich gedeckten Tisch des reichen Mannes speisen, ändert sich für sie nichts. Zumindest nichts zum Besseren. Sie gehen wieder an ihr Tagwerk. „Ruckedigu …“

Dirk Kunze ist Polizeibeamter, Gründer des Cyber Resilience Lab und Autor des Resilienzmonitors 2025.