Implementierung der NIS 2Richtlinie in nationales Recht

from Implementierung der NIS 2-Richtlinie in nationales Recht

by Bundesverband der Deutschen Industrie e.V.

Zwölf Erwartungen der deutschen Industrie an die Bundesregierung, den Bundestag und den Bundesrat.

NIS 2-Richtlinie unter enger Stakeholder-Beteiligung rasch umsetzen

Angesichts der signifikanten Zunahme schwerwiegender Cyberangriffe auf Unternehmen und staatliche Einrichtungen ist es absolut sinnvoll, die Cyberresilienz europaweit zu stärken. Die deutsche Industrie begrüßt daher den Abschluss der Trilogverhandlungen zur „Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rats vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148“ (NIS-2-Richtlinie). Im Zusammenspielmit dem jüngst durchdie EU-Kommission vorgeschlagenen Cyber Resilience Act sowie der ebenfalls bereits beschlossenen Resilience of Critical Entities Richtlinie wird die NIS 2 Europas digitale Resilienz nachhaltig stärken. Der BDI fordert die Bundesregierung auf, unter enger Einbeziehung der Wirtschaft die NIS 2-Richtlinie rasch in nationales Recht zu überführen und den Wechselwirkungen der verschiedenen verwandten Regulierungen Rechnung zu tragen. Dabei gilt es, den Schutz vor digitalen und analogen Bedrohungen durch einen ganzheitlichen Ansatz zu erhöhen, die Kooperation von Staat und Wirtschaft zum Schutz des Industriestandorts Deutschland zu intensivieren, effiziente Prozesse aufzusetzen und risikoadäquate Anforderungen einzuführen.

Im Folgenden unterbreitet der BDI zwölf Erwartungen an die Umsetzung der NIS 2-Richtlinie:

1. NIS 2- und Resilience of Critical Entities-Richtlinien zentral in einem Gesetz in nationales Recht überführen und rasch Zeitplan für Umsetzung veröffentlichen

2. ÖffentlicheVerwaltungallerEbenendes Föderalstaatsinden Anwendungsbereichaufnehmen

3. Unternehmenskategorien aus NIS 2-Richtlinie und IT-Sicherheitsgesetz 2.0 fusionieren

4. Effizientes, volldigitalisiertes Registrierungs- und Meldewesen etablieren

5. Tagesaktuelles Lagebild als One-Stop-Information-Shop einführen

6. Bußgeldrahmen nach Schwere der Ordnungswidrigkeit ausdifferenzieren

7. Sicherheitsanforderungen, wie CSA-Schema, nur europaweit einheitlich einführen

8. Strukturierte und frühzeitige Einbindung der deutschen Industrie gewährleisten

9. Möglichkeit zur Überprüfung der Vertrauenswürdigkeit der Beschäftigten schaffen

10. UP KRITIS um Vertreterinnen und Vertreter von essential und important entities ergänzen

11. Stand der Technik durch die Wirtschaft entwickeln lassen, nicht gesetzlich definieren

12. Weitere Implementierung des IT-Sicherheitsgesetzes 2.0 aussetzen

NIS 2- und Resilience of Critical Entities-Richtlinien zentral in einem Gesetz in nationales Recht überführen und rasch Zeitplan für Umsetzung veröffentlichen

Die jüngsten Sabotageakte an der Bahn-Infrastruktur und die weitreichende Störung der Kommunikation zwischen den Leitstellen, die den Zugverkehr steuern, hat die enge Verknüpfung von physischen und digitalen Bedrohungen verdeutlicht. Angesichts der zunehmenden Gefahr hybrider Bedrohungen bedarf es einer engen Verschränkung der Maßnahmen zum Schutz vor analogen und digitalen Gefahren im nationalen und europäischen Rechtsrahmen. Statt ein KRITIS-Dachgesetz (zur Umsetzung der Resilience of Critical Entities-Richtlinie (CER)) und ein NIS 2-Umsetzungsgesetz zu verfassen, sollten die entsprechenden rechtlichen Vorgaben in einem Gesetz zum Schutz der deutschen Wirtschaft vor analogen und digitalen Gefahren gebündelt werden. Sollte es dem Bundesministerium des Innern und für Heimat nicht möglich sein, die Konvergenz von Cyber- und Realraum in einem Gesetz abzubilden, so wäre jedoch mindestens darauf hinzuwirken, dass ein einheitliches Meldewesen zur Meldung von Vorfällen gemäß CER und NIS 2, ein einheitlicher Ansprechpartner auf Seiten der Bundesbehörden und einheitliche Begriffsdefinitionen (z. B. den Anwendungsbereich betreffend) eingeführt und Redundanzen vermieden werden.

Die deutsche Industrie befürchtet, dass der Aufbau und die Regulierung durch weitere Behörden, wie beispielsweise das Bundesamt für Bevölkerungs- und Katastrophenschutz in Bezug auf physikalische Sicherheit, zu unklaren Verantwortungen sowie gegebenenfalls wiederholenden Anforderungen an die Wirtschaft führen werden. Dies gilt es dringend – auch im Sinne effizienter Verwaltungsverfahren und eines dringend notwendigen Belastungsmoratoriums für die Wirtschaft – zu vermeiden (siehe auch nachfolgende Forderungen)

Um der deutschen Industrie Planungssicherheit zu geben, sollte das Bundesministerium des Innern und für Heimat binnen zwei Monaten einen Zeitplan zum weiteren Vorgehen zur Umsetzung der NIS 2-Richtlinie veröffentlichen. Ferner wäre es wünschenswert – für die Vielzahl an mittleren Unternehmen, die zukünftig die Anforderungen nach NIS 2-Umsetzungsgesetz erfüllen müssen – wenn die Bundesregierung zeitgleich zum Inkrafttreten des NIS2-Umsetzungsgesetzes auchrechtsverbindliche und konkrete Umsetzungshilfen / -orientierungshilfen zum Gesetz bereitstellen würde. Dies würde die Umsetzung des Gesetzes signifikant erleichtern.

Öffentliche Verwaltung aller Ebenen des Föderalstaats in den Anwendungsbereich aufnehmen

Anhalt-Bitterfeld, Schwerin, Potsdam – zahlreiche Städte und Landkreise sind in den letzten Jahren Opfer von weitreichenden Cybersicherheitsvorfällen geworden. Bürgerinnen und Bürgern sowie Unternehmen standen infolgedessen – teils über Monate – wichtige Verwaltungsdienstleistungen nicht zur Verfügung. Die deutsche Industrie ist auf eine stets gut funktionierende öffentliche Verwaltung, beispielsweise bei Planungs- und Genehmigungsverfahren, angewiesen. Angesichts der weitreichenden Ausweitung des Anwendungsbereichs auch auf mittlere Unternehmen mit mehr als 50 Mitarbeiterinnen und Mitarbeiter, respektive einem Jahresumsatz größer zehn Millionen Euro, müssen auch Kommunen,Landkreiseund Städte zur Umsetzung von risikoadäquaten Cybersicherheitsmaßnahmen verpflichtet werden. Wir fordern die Bundesregierung auf, die öffentliche Verwaltung aller Ebenen des Föderalstaats in den Anwendungsbereich des NIS 2-Umsetzungsgesetzes aufzunehmen, damit alle Behörden risikoadäquate Cybersicherheitsmaßnahmen implementieren und so sensible Daten besser vor Cyberkriminellen schützen. Nur so kann die Integrität und Verfügbarkeit wichtiger Verwaltungsverfahren angesichts stetig steigender Cyberbedrohungen sichergestellt werden.

Unternehmenskategorien aus NIS 2-Richtlinie und IT-Sicherheitsgesetz 2.0 fusionieren

Im Sinne der Normenklarheit sollten im Rahmen der NIS 2-Umsetzung keine neuen Unternehmenskategorien eingeführt werden, sondern die sogenannten essential entities und die important entities mit den im deutschen Recht bestehenden Kategorien „Kritische Infrastrukturen“ und „Unternehmen im besonderen öffentlichen Interesse“ (UBI) fusioniert werden. Zudem sollten die Kategorien der Unternehmen im besonderen öffentlichen Interesse 1 bis 3 aufgelöst werden und zukünftig wieder ausschließlich Branchen maßgebend für die Aufnahme in das deutsche Umsetzungsgesetz sein. Die UBI 1 sollten als Branche zusätzlich zu den in der NIS 2 definierten Branchen in den Anwendungsbereich des Umsetzungsgesetzes aufgenommen werden. Die Einführung der UBI 2 sollten ausgesetzt werden (siehe unten), da die wahrscheinlich betroffenen Unternehmen vielfach den in der NIS 2-Richtlinie als important entities genannten Unternehmenskategorien zugeordnet werden können. Die UBI 3 sollten über die Kategorie „Produktion, Herstellung und Handel mit chemischen Stoffen“ gemäß Anhang II Nummer 3 der NIS 2-Richtlinie hinreichend abgedeckt sein und benötigen nach Ansicht der deutschen Industrie zukünftig keiner gesonderten Kategorie. Ferner sollte der Bundesgesetzgeber auch Überschneidungen mit weiteren rechtlichen Vorgaben – insbesondere Sektorregulierungen – vermeiden.

Bei der Fusionierung des Anwendungsbereichs des deutschen und europäischen Cybersicherheitsrechts sind folgende Punkte zwingend zu beachten:

▪ Europäische Harmonisierung forcieren: Die Bundesregierung sollte bei der NIS 2-Implementierung sich so eng als möglich am Anwendungsbereich der NIS 2 orientieren und keine darüberhinausgehenden Sektoren in Deutschland einführen / fortführen. (Sub-)Sektoren, die auf europäischer Ebene nicht als kritische Teilsektoren gelistet sind, müssen aus dem Anwendungsbereich des NIS 2-Umsetzunggesetzes herausgenommen werden. Dies würde beispielsweise den im BSIG existierenden Sektor Logistik betreffen, der aus europäischer Sicht richtigerweise in der NIS 2 nicht als eigenständige kritische Kategorie erachtet wird. Insofern sollte Logistik auch in Deutschland nicht als eigenständiger Subsektor, sondern, wie in der BSI-Kritisverordnung für bestimmte KRITIS-Bereiche bereits geschehen (Beispiel Sektor Gesundheit: Anlage oder System zum Vertrieb von verschreibungspflichtigen Arzneimitteln), mittelbar innerhalb der Sektoren betrachtet werden.

▪ Kompletter Wegfall von anlagenbezogenen Schwellenwerten: Im Gegensatz zum bisher in der BSI-Kritisverordnung verfolgten Ansatz, Unternehmen nach der Anlagengröße dem Anwendungsbereich zuzurechnen, sollten zukünftig – gemäß NIS 2-Systematik – einzig die Unternehmensgröße (Zahl der Mitarbeiterinnen und Mitarbeiter sowie Jahresumsatz) und die primäre Wirtschaftstätigkeit gemäß WZ-2008-Nummer ausschlaggebend sein. Unternehmen, deren wirtschaftliche Tätigkeit nur teilweise in die nach NIS 2 definierten Branchen fällt, sollten dementsprechend nicht oder nur teilweise in den Anwendungsbereich des nationalen Umsetzungsgesetzes fallen.

▪ Implementierung sollte bereits bestehende Sicherheitsregulierungen berücksichtigen: Das NIS 2-Umsetzungsgesetz sollte die in Erwägungsgrund 29 der NIS 2-Richlinie genannte Möglichkeit zur Harmonisierung bestehender Cybersicherheitsverpflichtungen bei Luftverkehrseinrichtungen aufgreifen. Im Anwendungsbereich der NIS 2 liegende Unternehmen in der Luftverkehrswirtschaft (u. a. Airlines) müssen bereits vergleichbare Anforderungen (siehe Cybersicherheitsmaßnahmen nach der DVO (EU) 2019/1583) erfüllen, auch wenn sie, aufgrund nicht erreichter Schwellenwerte, nicht in den Wirkungsbereich der geltenden BSI-

Kritisverordnung fallen. Diese sollten von den jeweiligen Behörden als eine Einhaltung der entsprechenden Anforderungen der NIS 2-Richtlinie erachtet werden. Mit einer dementsprechenden Festlegung im Umsetzungsgesetz könnten so Überschneidungenund mögliche Doppelstrukturen vermieden werden.

Effizientes, volldigitalisiertes Registrierungs- und Meldewesen etablieren

Um die sich aus Artikel 23 der NIS 2-Richtlinie ergebenden Erfüllungsaufwände mit Blick auf die Registrierung und Meldung von Vorfällen in einem überschaubaren Rahmen zu halten, bedarf es der Einführung eines effizienten, volldigitalisierten Registrierungs- und Meldewesens auf Basis des Onceonly-Prinzips. Bereits seit dem IT-Sicherheitsgesetz müssen Unternehmen, die als Betreiber Kritischer Infrastrukturen definiert werden, sich beim BSI registrieren und Meldungen von Cybersicherheitsvorfällen vornehmen. Diese Anforderung wurde mit dem IT-Sicherheitsgesetz 2.0 auf Unternehmen im besonderen öffentlichen Interesse ausgeweitet. Mit der NIS 2- und der Resilience-of-Critical-EntitiesRichtlinie werden sich zukünftig noch weitere Unternehmen beim BSI registrieren müssen, zahlreiche davon zusätzlich beim Bundesamt für Bevölkerungs- und Katastrophenschutz. Diese Registrierungspflichten sollten im Sinne einer nutzendenorientierten öffentlichen Verwaltung in einen effizienten und volldigitalisierten Prozess zusammengeführt werden. Auf die so gemeldeten Registrierungsdaten sollten die zuständigen staatlichen Stellen nach dem Need-to-know-Prinzip zugreifen können. Dies würde die Erfüllungsaufwände für Unternehmen reduzieren und Kapazitäten in der Wirtschaft schaffen, die in den Schutz vor Bedrohungen investiert werden könnten Gleichzeitig würde auch die öffentliche Verwaltung von einem Meldewesen profitieren, da alle relevanten Informationen zu einem Vorfall an zentraler Stelle gebündelt abrufbar wären.

Auch beim Meldewesen braucht es dringend ein effizientes, volldigitalisiertes Verfahren. Die NIS 2Richtlinie sieht vor, dass Unternehmen zukünftig mindestens drei und bis zu fünf Meldungen pro Cybersicherheitsvorfall vornehmen sollen. Wir fordern die Bundesregierung auf, gemeinsam mit der Wirtschaft ein Meldewesen zu etablieren, über das Unternehmen direkt all ihren Meldeverpflichtungen, die sich aus der NIS 2- und der CER-Richtlinien – aber auch aus aktuellen schon bestehenden fachspezifischen Meldepflichten – ergeben, erfüllen können. Alle zuständigen Behörden auf Bundes-, Länderund Kommunal-Ebene – darunter das Bundesamt für Sicherheit in der Informationstechnik, das Bundesamt für Bevölkerungs- und Katastrophenschutz sowie die Kriminalämter und Polizeien auf Bundesund Landesebene – sollten nach dem Need-to-know-Prinzip Zugang zu den so gemeldeten Informationen erhalten.

Daneben muss die Bundesregierung in Abstimmung mit den weiteren Mitgliedstaaten der Europäischen Union sicherstellen, dass Unternehmen, die in den Anwendungsbereich von Artikel 26 fallen, nur in einem Mitgliedstaat entsprechende Cybersicherheitsvorfälle melden müssen. Die Mitgliedstaaten sollten untereinander in geeigneter Form einen Informationsfluss über entsprechende Vorfälle sicherstellen, ohne dass den betroffenen Wirtschaftsakteuren dadurch Mehraufwände entstehen. Dies ist von besonderer Bedeutung für die Unterkategorie der nummernunabhängigen interpersonellen Kommunikationsdienste (NI-ICS) der öffentlich zugänglichen elektronischen Kommunikationsdienste gemäß Artikel 26 Absatz 1 Buchstabe a. Diese Dienste werden über das Internet bereitgestellt und sind in der Regel europaweit verfügbar. Als solche haben sie viel mit den über digitalen Infrastrukturen und digitalen Anbietern in Abschnitt 8 von Anhang I und Abschnitt 6 von Anhang II gemeinsam. Im Gegensatz zu diesen Anbietern richtet sich die Zuständigkeit jedoch nicht nach der Hauptniederlassung in der EU, sondern danach, wo sie ihre Dienstleistungen erbringen. Als solche unterliegen sie wahrscheinlich 27 verschiedenen Registrierungs- und Meldepflichten anstelle einer einzigen. In der

NIS-Kooperationsgruppe sollten Anstrengungen unternommen werden, um sicherzustellen, dass solche Anbieter nur einer einzigen Stelle Bericht erstatten müssen, wobei ein zusätzlicher Informationsaustausch zwischen den Mitgliedstaaten erfolgen sollte.

Ferner sollten Unternehmen im Rahmen von Folge-Meldungen immer auf die bereits gemeldeten Informationen zugreifen und diese anreichern und korrigieren können, statt immer von null beginnen zu müssen. Zudem sollten das BSI und die Computer Security Incident Response Teams (CSIRTs) nur in herausgehobenen Fällen einen Zwischenbericht nach Artikel 23 Absatz 4 (c) einfordern. Angesichts der Ausweitung des Anwendungsbereichs auf mittlere Unternehmen und des zugleich existierenden massiven Fachkräftemangels an IT-Security-Expertinnen und -Experten, werden ohne einen einheitlichen und schlanken digitalen Meldeweg zahlreiche Unternehmen den entsprechenden Verpflichtungstatbeständen nicht innerhalb der rechtlich definierten Fristen nachkommen können.

Tagesaktuelles Lagebild als One-Stop-Information-Shop einführen

Aus den an die Bundesverwaltung durch die Wirtschaft übermittelten Informationen zu aktuellen Cybersicherheitsvorfällen sollte ein tagesaktuelles, kostenfreies Lagebild zu digitalenund physischen Bedrohungen erstellt undmit den unter das NIS2-Umsetzungsgesetz fallenden Unternehmen geteilt werden. Unternehmen sollten im Rahmen der Meldung nach Artikel 23 Absatz 4 (b) NIS 2-Richtlinie ihre Zustimmung zur Weitergabe anonymisierter, den Vorfall betreffender Informationen direkt geben können, um einen raschen Informationsfluss auch an andere potenziell Betroffene zu gewährleisten.

Hierfür erachten wir das in der Nationalen Cyber-Sicherheitsstrategie der Bundesregierung angekündigte BSI Information Sharing Portal als probaten Ansatz. BMI und BSI sollten rasch in einer BetaFassung einen ersten Entwurf des BSI Information Sharing Portals vorlegen und diesen gemeinsam mit der Wirtschaft entlang derer Bedarf weiterentwickeln. In jedem Fall sollte das Portal zielgruppengerechte, hilfreiche Lageinformationen für Unternehmen bereitstellen.

Damit die Sicherheitsexpertinnen und -experten in den Unternehmen einen zentralen Ort für Informationenzuallen aktuellen Bedrohungenhaben, solltedas Information SharingPortalauchInformationen zu analogen Bedrohungen und Vorfällen (z. B. Sabotage, Naturkatastrophen, Bombenentschärfungen oder durch natürliche Vorfälle bedingte Ausfälle von Strom, Mobilfunk und Glasfaser) enthalten. Desweitern ist es für Security-Abteilungen von Unternehmen sehr wichtig, dass die über das Portal bereitgestellten Informationenauch einehinreichende Detailtiefe aufweisenund „actionable“ sind,diese also auf Basis der Informationen konkrete Maßnahmen zur Stärkung der Resilienz ihrer Systeme ableiten können. Angesichts der Fülle an aktuellen Sicherheitsbedrohungen für Unternehmen ist eine Bündelung entsprechender Informationen von zentraler Bedeutung. Die deutsche Industrie sieht die Notwendigkeit zur Etablierung eines zentralen „Sicherheitslagebilds“. Von zentraler staatlicher Stelle sollten über ein Sicherheitslagebild all diejenigen Informationen in geeignetem Umfang bereitgestellt werden, die aufgrund der verschiedensten Berichtspflichten der Wirtschaft an den Staat gemeldet wurden. Insbesondere die Wahrscheinlichkeit, dass ein gleichgearteter Angriff bei mehreren Unternehmen nacheinander erfolgreich ist, kann so erheblich verringert werden. Die Zentralisierungderartiger Information setzt zudem Ressourcen zur Bekämpfung von Risiken in den Unternehmen frei, die derzeit auch für mehrfaches, redundantes Reporting eingesetzt werden müssen. Zugleich sollte mit dem Anwuchs der Meldungen auch zusätzliche personelle Strukturen auf staatlicher Seite aufgebaut werden, um die gesammelten Informationen zu sichten, zu filtern, zu verdichten und Warnungen aussprechen zu können.

Aufgrund der geplanten EU-weiten Standardisierung von Maßnahmen und eines EU-weiten Geltungsbereichsdurch die nationale Umsetzungder NIS 2-Richtlinie, der daraus resultierenden Notwendigkeit, Informationen zwischen den Mitgliedstaaten zu teilen und der fortschreitenden Globalisierung, in der Unternehmen über die eigenen Staatsgrenzen hinweg operieren, sollten sowohl die von staatlicher Seite bereitgestellten Informationen als auch der gegenseitige Informationsaustausch zwischen Staat und Industrie (Meldungen, Auditreports etc.) zukünftig immer in deutscher und englischer Sprache erfolgen / möglich sein. Die zweisprachige Bereitstellung der Informationen würde sowohl den Bedarfen mittelständischer wie global agierenden Unternehmen Rechnung tragen. Insbesondere in letztgenannten übernehmen auchnichtdeutsch-sprechende Mitarbeitende IT-Security-Maßnahmen und würden von englischsprachigen Informationen profitieren

Bußgeldrahmen nach Schwere der Ordnungswidrigkeit ausdifferenzieren

Bei der Einführung der neuen Bußgeldhöhen bedarf es deutlich granularer und an Ordnungswidrigkeiten angepasste Bußgeldhöhen als diese durch die pauschalen Obergrenzen nach Artikel 34 Nummer 3 und 4 in der NIS 2-Richtlinie angelegt sind. Die deutsche Wirtschaft stimmt grundsätzlich der Einführung von Bußgeldern zur Ahndung bei Nicht-Einhaltung rechtlicher Anforderungen zu. Allerdings sollte die Höhe von Bußgeldern stets verhältnismäßig zu Ordnungswidrigkeit sein. Zudem müssen mehrfache Bußgelder (beispielsweise DSGVO- sowie NIS 2-Verstöße) für gleiche Versäumnisse weiterhin ausgeschlossen sein.

Die Schaffung von Transparenz über Vorfälle (Incidents) bei und Angriffen auf KRITIS-Infrastrukturen sowie die Mitwirkung der betroffenen Unternehmen an der Aufklärung von Sicherheitsvorfällen sollten bei der Bemessung des Bußgeldes zwingend Berücksichtigung finden. Hohe Strafen gegenüber betroffenen Unternehmen wirken bezüglich des Schaffens von Transparenz über aktuelle Angriffsvektoren kontraproduktiv.Insofern solltendie für dasStrafrecht entwickeltenGrundsätzebeider Bemessung der Strafe auf Ordnungswidrigkeiten im hier behandelten Zusammenhang übertragen werden.

Sicherheitsanforderungen, wie CSA-Schema, europaweit einheitlich einführen

Analog zum CRA, der nach Inkrafttreten europaweit einheitlich seineWirkung entfalten wird, sollte sich die Bundesregierung für einheitliche Regelungen in Europa aussprechen, die in den Mitgliedstaaten direkt und ohne nationale Umsetzungsakte angewendet werden können und müssen. Angesichts der Vielzahl von Krisen, die es derzeit zu bewältigen gilt, sind unterschiedliche Sicherheitsniveaus in den Mitgliedstaaten nicht hinnehmbar und dringend auf ein einheitliches Level zu heben. Europaweit einheitliche Sicherheitsanforderungen erleichtern es EU-weit agierenden Unternehmen, die Anforderungen kohärent umzusetzen Damit die NIS 2-Richtlinie ihre volle Wirkung entfalten kann, fordern wir die Bundesregierung daher zu einer möglichst engen Abstimmung mit ihren europäischen Partnern bei der Definition von Sicherheitsmaßnahmen auf. Zahlreiche essential und important entities sind nicht nur grenzüberschreitend tätig, sondern sind Teil von weitverzweigten Wertschöpfungsketten mit gegenseitigen Abhängigkeiten.Viele ihrer Anbieter erbringen Dienstleistungen, die in mehreren Sektoren angeboten werden. Daher sollten die nationalen Regierungen im Rat die Umsetzung der NIS 2-Richtlinie bestmöglich abstimmen. Durch ein Höchstmaß an europaweiter regulatorischer Konsistenz kann die Cyberresilienz der gesamten EU nochmals gestärkt werden. Zugleich können so Effizienzgewinne bei der Implementierung durch Unternehmen gehoben werden.

Risikoadäquat cyberresiliente Produkte sind eine zentrale Voraussetzung für die Umsetzung technischer Cybersicherheitsmaßnahmen. Daher unterstützt die deutsche Industrie ausdrücklich die Einführung von horizontalen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen sowie eines Schwachstellenmanagements im Rahmen des Cyber Resilience Acts (CRA). Die deutsche Industrie sieht hingegen die über Artikel 24 NIS 2-Richtlinie eingeführte Möglichkeit, den Einsatz von Schemata, die im Rahmen des Cybersecurity Acts (CSA) entwickelt werden, verpflichtend zu machen, sehr kritisch. Die Nutzung von CSA-Cybersicherheitszertifizierungsschemata sollte freiwillig bleiben.

Vor dem Hintergrund der aktuell laufenden Beratungen für die Einführung eines EU Cloud Schemes (EUCS) spricht sich der BDI daher dafür aus, dass Anbieter von Cloud-Lösungen die Wahl haben sollten, ob sie ihre Cloud-Dienste nach dem EUCS oder anderen einschlägigen Normen (z. B. harmonisierte europäische Normen) zertifizieren. Ferner wendet sich die deutsche Industrie gegen jeden Versuch, die Zertifizierung von Cloud-Diensten auf der Grundlage des EUCS für alle in den Anwendungsbereich der NIS 2-Richtlinie fallenden Unternehmen verpflichtend zu machen. Eine verpflichtende Anwendung des EUCS sollte nur die ultima ratio sein, wenn sich ein freiwilliger Ansatz als unwirksam erweist. Insbesondere lehnen wir eine weitere Fragmentierung des europäischen Rechtsrahmens ab, indem einzelne Mitgliedstaaten eine Zertifizierung auf Grundlage des EUCS für private Einrichtungen, die in den Anwendungsbereich der NIS 2-Richtlinie fallen, verpflichtend einführen. Insbesondere für europaweit agierende Unternehmen sind einheitliche Anforderungen von herausgehobener Bedeutung, denn europaweite einheitliche Standards senken die Implementierungskosten und verringern gleichzeitigdie Fragmentierung des digitalenBinnenmarktes. Daher solltendie EU-Mitgliedstaaten nicht einseitig die Anforderungen gemäß Artikel 24 für bestimmte CSA-Zertifizierungsschemata einführen, sondern entsprechende Vorhaben im Europäischen Rat vorab abstimmen und erst anschließend europaweit einheitlich einführen. Durch eine europaweit einheitliche Einführung würden zudem Wettbewerbsverzerrungen vermieden und damit die InnoNation, also der Innovations- und Industriestandort Deutschland, nicht einseitig benachteiligt.

Ferner sollte – im Sinne einer bestmöglichen Komplexitätsreduktion – das in Artikel NIS 2-Richtlinie vorgesehene Verfahren mit dem in § 9b BSIG beschriebenen Ansatz zur Untersagung des Einsatzes kritischer Komponenten harmonisiert und zusammengeführt werden. Der Bundesgesetzgeber sollte keine parallelen Konzepte zur Wahrung der Integrität von in wesentlichen und wichtigen Einrichtungen eingesetzten Kritischen Komponenten etablieren. Vielmehr bedarf es eines einheitlichen und praktikablen Verfahrens.

Zudem sollte der Bundesgesetzgeber darauf achten, dass die Umsetzung der NIS 2-Richtlinie in nationales Recht im Einklang mit bereits bestehenden Vorschriften – auch produktbezogenen, wie jene über „Verträge über digitale Produkte“ gemäß §§327 ff. BGB – steht. Insbesondere die Anforderungen zu Aktualisierungen zum Erhalt der Vertragsmäßigkeit inklusive Sicherheitsaktualisierungen gemäß § 327 f BGB wären zu berücksichtigen.

Strukturierte und frühzeitige Einbindung der deutschen Industrie gewährleisten

Die deutsche Industrie erwartet, dass die Bundesregierung die Implementierung der Richtlinie (EU) 2022/2555 rasch initiiert und fristgerecht bis zum 17.Oktober 2024abschließt. Indiesen Prozess muss die deutsche Industrie eng und strukturiert einbezogen werden. Dies bedeutet, dass anders als beim IT-Sicherheitsgesetz 2.0, bei dem die offizielle Konsultationsfrist für Wirtschaftsakteure gerade einmal 27 Stunden betrug, die deutsche Wirtschaft im Rahmen einer echten Stakeholderkonsultation mit ausreichender Frist angehört wird und ihre Anmerkungen zum Gesetz im weiteren Verfahren

Berücksichtigung finden. Beispielsweise sollte das Bundesministerium des Innern und für Heimat gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik in einem ersten Schritt die in den Anwendungsbereich des IT-Sicherheitsgesetzes 2.0 fallenden Unternehmen sowie die sie vertretenden Wirtschaftsverbände durch Stakeholderkonsultationen und Umfragen, z. B. zum bisherigen Meldewesen sowie der Kooperation im Umsetzungsplan KRITIS (UP KRITIS) respektive dem BSI, befragen, um zukünftige rechtliche Anforderungen sowie Verwaltungsverfahren praxisnah ausgestalten zu können.

Möglichkeit zur Überprüfung der Vertrauenswürdigkeit der Beschäftigten schaffen

Der Schutz der Wirtschaft vor digitalen Risiken gelingt nur im Zusammenspiel von technischen, organisatorischen und personellen Maßnahmen. Die weitreichenden organisatorischen, operativen und technischen Maßnahmen, die wesentliche und wichtige Einrichtungen gemäß Artikel 21 NIS 2-Richtlinie zukünftig zurStärkung ihrer Cyberresilienz implementieren müssen, werden insLeere laufen, wenn sie durch Mitarbeitende – ganz gleich welcher Herkunft – ausgeführt werden, die dem Unternehmen schaden wollen / sollen. Um die Gefahr des Innentäters zu minimieren und die Wirksamkeit organisatorischer, operativer und technischer Cybersicherheitsmaßnahmen zu erhöhen, sollten im Sinne eines umfassenden und vorausschauenden Wirtschaftsschutzes Sicherheitsüberprüfungen auch für Unternehmen möglich sein, die keine sicherheitsbetreuten Unternehmen im Sinne des Sicherheitsüberprüfungsgesetzes (SÜG) sind.

Zukünftig sollten alle Unternehmen, die dem Anwendungsbereich des NIS 2-Umsetzunggesetzes unterliegen, die Möglichkeit erhalten, bei den zuständigen Stellen eine Sicherheitsüberprüfung für Mitarbeitende zu beantragen, die in sicherheitsrelevanten Funktionen tätig sind. Die Bundesregierung muss zwingend eine entsprechende KANN-Möglichkeit im Rahmen des NIS 2-Umsetzunggesetzes einführen. Eine ausschließliche Fokussierung auf technische Sicherheit ist nicht zielführend. Unternehmen sollten auch die Möglichkeit erhalten, die Vertrauenswürdigkeit von Beschäftigten und Bewerbern, die in besonders sicherheitskritischen Bereichen tätig sind, untersuchen zu können. Es müssen zukünftig auch Verfahren und rechtliche Grundlagen geschaffen werden, mit denen ausländische Mitarbeiter in die Prüfung einbezogen werden können. Die deutsche Industrie würde es sehr begrüßen, wenn einschlägige Wirtschaftsverbände eng in den Prozess zur Etablierung und Entwicklung von Überprüfungsverfahren einbezogen würden, um das Verfahren an den Bedarfen der Unternehmen auszurichten. Hierfür bieten die Wirtschaftsverbände ihre einschlägigen Gremien als Foren des Austauschs an.

Zudem sind bei Sicherheitsüberprüfungen dringend die Prozesslängen zu verkürzen. Mehrmonatige Wartezeiten, wie sie aktuell in der Sicherheitsüberprüfung vorkommen, hemmen die Wirtschaft und tragen nicht zur Sicherheit bei.

UP KRITIS um Vertreterinnen und Vertreter von essential und important entities ergänzen

Alle Unternehmen, die zukünftig als wesentliche und wichtige Einrichtungen in den Anwendungsbereich der deutschen Cybersicherheitsgesetzgebung aufgenommen werden, sollten die Möglichkeit zur Teilnahme am Umsetzungsplan KRITIS (UP KRITIS) erhalten. Durch die strukturierte Einbindung der neu in den Anwendungsbereich der Cybersicherheitsgesetzgebung fallenden Unternehmen in den UP KRITIS kann der Austausch zu aktuellen Sicherheitsvorfällen sowie zur Umsetzung der technischen und organisatorischen Maßnahmen deutlich verbessert werden. Auch müssen Hersteller von Produkten und Systemen, die von wesentlichen Einrichtungen eingesetzt werden, deutlich besser in diese Gesprächsformate eingebunden werden.

Stand der Technik durch die Wirtschaft entwickeln lassen, nicht gesetzlich definieren

Die Festlegung des „Standes der Technik“ und darauf basierend der Erlass von Durchführungsakten sollte auch zukünftig nicht der EU-Kommission oder nationalen Behörden obliegen, auch um europäische Innovationen im IT-Security Bereich nicht zu blockieren. Vielmehr müssen von den Stakeholdern erarbeitete anerkannte Normen, Standards und Spezifikationen sowie bewährte branchenspezifische Regelungen implementiert werden. Diese werden durchdiebetroffenen Fachkreise ständigaktualisiert und entsprechen damit dem realen Stand der Technik – eine regulatorische Anforderung könnte dies aufgrund langwieriger Verwaltungsverfahren niemals in gleicher Weise widerspiegeln.

Staatliche Stellen – im Bereich der Cybersicherheit insbesondere das Bundesamt für Sicherheit in der Informationstechnik – sollten ihreExpertiseund dieBedarfe des Staates in die Gremien von DIN, CEN, CENELEC, ISO und IEC aktiv einbringen. Ein zentraler Vorteil von Normen und Standards ist, dass die so entwickelten Anforderungen an den Stand der Technik bereits mit Umsetzungsanweisungen und -vorschriften einhergehen. Nur dadurch sind die notwendige Flexibilität und Reaktionsgeschwindigkeit auf Veränderungen gesichert.

Weitere Implementierung des IT-Sicherheitsgesetzes 2.0 aussetzen

Angesichts der zeitnahen Umsetzung der NIS 2-Richtlinie in nationales Recht sollte die Bundesregierung die weitere Implementierung noch nicht umgesetzter Anforderungen aus dem IT-Sicherheitsgesetz 2.0 aussetzen. Insbesondere sollte die Bundesregierung die Einführung der Unternehmen im besonderen öffentlichen Interesse der Kategorie II (inländische Wertschöpfung und deren Zulieferer, UBI 2) nach Paragraf 2 Absatz 14 (2) BSIG nicht weiter forcieren. Dem zusätzlichen Erfüllungsaufwand, der sich für die betreffenden Unternehmen aus einer konsekutiven Implementierung von Paragraf 8f BSIG sowie der NIS 2 ergeben würde, steht in keinem Verhältnis zur sich daraus ergebenden marginalen Stärkung der Cyberresilienz.