NIS-2-Richtlinie

Die EU-Richtlinie 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union,^[1] kurz auch NIS-2-Richtlinie genannt, wurde im Dezember 2022 veröffentlicht und soll die Cybersicherheit in der gesamten Europäischen Union verbessern. Zu diesem Zweck werden die Mitgliedstaaten verpflichtet, sich angemessen auszurüsten, z.B. mit einem Sicherheitsteam und einer nationalen Behörde für Netzwerksicherheit. Eine Kooperationsgruppe soll die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten gewährleisten. Für Kritische Infrastrukturen wie Energie, Verkehr, Wasser, Banken, Finanzmarktinfrastrukturen, Gesundheitsversorgung und digitale Infrastruktur soll eine "Kultur der Sicherheit" etabliert werden. Die Richtlinie trat am 16. Januar 2023 in Kraft, sie ersetzt eine ältere aus dem Jahr 2016.

Im Unterschied zu der früheren Richtlinie legt die NIS-2-Richtlinie fest, dass alle mittleren und großen Unternehmen und Einrichtungen aus bestimmten Bereichen ab Oktober 2024 bestimmte Sicherheitsmaßnahmen umgesetzt haben müssen. Als "mittlere" Unternehmen oder Einrichtungen gelten solche, die ab 50 Mitarbeitende oder einen Umsatz ab 10 Mio. € sowie eine Jahresbilanzsumme in gleicher Höhe aufweisen. Dabei gelten für einen Teil der Unternehmen, die als "wesentliche" bezeichnet werden,^[2] erweiterte Aufsichts- und Durchsetzungsmaßnahmen der zuständigen Behörden. Die Richtlinie legt auch Bußgelder fest, die bei "wesentlichen" Einrichtungen bis zu 10 Mio. € bzw. 2% des Jahresumsatzes reichen.^[3]

Die NIS-2-Richtlinie ist - wie alle EU-Richtlinien - nicht unmittelbar geltendes Recht, sondern muss von den Mitgliedsländern in nationalen Gesetzen umgesetzt werden. Ein entsprechendes "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" (NIS2UmsuCG) befindet sich derzeit (Ende 2023) in der Ressortabstimmung zwischen den zuständigen Bundesministerien.

IT-Planungsrat will Kommunen ausnehmen[Bearbeiten]

Für Kontroversen sorgte ein Beschluss des IT-Planungsrates, der lokale Verwaltungen und Bildungseinrichtungen von der Anwendung der NIS-2-Richtlinie ausnehmen will. Der Planungsrat wurde 2010 als gemeinsames Gremium des Bundes und der Länder als "das zentrale politische Steuerungsgremium für die Digitalisierung der öffentlichen Verwaltung in Deutschland"^[4] geschaffen, er tagt dreimal jährlich. In einem Beschluss vom 03.11.2023^[5] "bittet [er] die Länder und den Bund, von der Option, den Anwendungsbereich der NIS-2-Richtlinie auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen zu erstrecken, keinen Gebrauch zu machen". Hintergrund dürfte sein, dass die Digitalisierung der öffentlichen Verwaltung, nicht zuletzt in den Kommunen, sehr schleppend vorangeht und die Verpflichtung auf höhere Sicherheitsstandards als zusätzliche Erschwerung angesehen wird.

Der Bundesverband IT-Sicherheit e. V. (TeleTrusT), nach eigener Darstellung "ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung, Beratung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst", reagierte umgehend mit einem Offenen Brief.^[6] Darin verweist er auf die "IT-Sicherheitslage, die noch zu keiner Zeit schlechter war als sie dieser Tage ist." Das gemeinsame Ziel müsse eine IT-Sicherheit auf bestmöglichem Niveau sein. Ohne eine funktionierende IT-Sicherheit gefährde der Staat das notwendige Vertrauen für eine Digitalisierung aller Lebensbereiche nachhaltig. "Eine Vielzahl von Cyberattacken führt gegenwärtig zu einem flächendeckenden Ausfall zahlreicher Bürgerämter, wodurch Bürger und Bürgerinnen über einen längeren Zeitraum Verwaltungsleistungen nicht in Anspruch nehmen können."

In noch schärferer Form kommentiert die Wirtschaftswoche den Planungsrat-Beschluss.^[7] Er bedeute "nicht weniger als eine Bankrotterklärung für die IT-Sicherheit kommunaler Behörden". Der Kommentar zitiert Tim Berghoff, der auf LinkedIn den Beschluss des Planungsrates als "komplette Realitätsverweigerung" bezeichnet.^[8] Der Autor konstatiert: "Dass die IT-Infrastrukturen auf kommunaler Ebene deutschlandweit vielerorts ebenso desolat sind wie das Niveau der dabei umgesetzten Schutzmaßnahmen gegen Hacker, ist Fachleuten allenthalben bekannt", und vermutet, der Planungsrat wolle Kommunen vor Sanktionszahlungen wegen nicht erfüllter Sicherheitsstandards bewahren. In die gleiche Richtung geht Günter Borns ausführlicher und lesenswerter Blogeintrag zu diesem Thema.^[9]

Angesichts der Vielzahl der Cyberangriffe auf Kommunen und kommunale Einrichtungen braucht es dringend höhere und verbindliche Sicherheitsstandards. Doch offenbar sind bei Bund und Ländern die Zweifel groß, dass die Kommunen in der Lage sind, diese auch umzusetzen. Angesichts dessen ist Günter Borns Stoßseufzer "gut, dass wir nicht vorankommen" (bei der Verwaltungsdigitalisierung) verständlich, denn je weniger digitale Dienste bereitstehen, desto geringer die Gefahr von Hacker-Angriffen. Doch dieser Gedanke ist tatsächlich nichts anderes als eine Bankrotterklärung.

Fußnoten[Bearbeiten]

↑ Europäische Union: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (Wortlaut, deutsch)
↑ Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten, Öffentliche Verwaltung, Weltraum
↑ Weitere Einzelheiten sowie Links siehe Borns IT- und Windows-Blog: NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden, 12.12.2023
↑ Homepage des IT-Planungsrates
↑ IT-Planungsrat, Beschluss 2023/39 vom 03.11.2023
↑ TeleTrusT, Offener Brief an den IT-Planungsrat: Nehmen Sie den Beschluss zur Nicht-Umsetzung der NIS-2-Richtlinie zurück! (ohne Datum)
↑ Thomas Kuhn (Wirtschaftswoche): „Wir sind hier doch nicht bei Pippi Langstrumpf!“, 08.11.2023
↑ Tim Berghoff (auf LinkedIn): NIS-2: Die Realitätsverweigerung des IT-Planungsrates, 07.11.2023
↑ Borns IT- und Windows-Blog: Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen, 12.11.2023.

Siehe auch[Bearbeiten]

#stadtvonmorgen: NIS2: „Gamechanger für Cybersicherheit“, 13.12.2023
Cyberangriffe

[1] Europäische Union: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (Wortlaut, deutsch)

[2] Energie, Verkehr, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, Digitale Infrastruktur, Verwaltung von IKT-Diensten, Öffentliche Verwaltung, Weltraum

[3] Weitere Einzelheiten sowie Links siehe Borns IT- und Windows-Blog: NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden, 12.12.2023

[4] Homepage des IT-Planungsrates

[5] IT-Planungsrat, Beschluss 2023/39 vom 03.11.2023

[6] TeleTrusT, Offener Brief an den IT-Planungsrat: Nehmen Sie den Beschluss zur Nicht-Umsetzung der NIS-2-Richtlinie zurück! (ohne Datum)

[7] Thomas Kuhn (Wirtschaftswoche): „Wir sind hier doch nicht bei Pippi Langstrumpf!“, 08.11.2023

[8] Tim Berghoff (auf LinkedIn): NIS-2: Die Realitätsverweigerung des IT-Planungsrates, 07.11.2023

[9] Borns IT- und Windows-Blog: Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen, 12.11.2023.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]