Bundestag: Koalition einigt sich bei NIS2-Richtlinien-Umsetzung

Mitglieder der Unions- und SPD-Fraktion haben sich bei der Überarbeitung der Cybersicherheitsvorgaben für Kritische Infrastrukturen geeinigt. Kurz vor Ende kam noch einmal kräftig Bewegung in die Diskussionen zwischen den Beteiligten: Wie genau soll im Fall der Fälle der Betrieb einer betriebskritischen Komponente in den kritischen Anlagen verboten werden können? Bereits heute gibt es im BSI-Gesetz die Möglichkeit, dass der Einsatz kritischer Komponenten vom Bundesinnenministerium untersagt werden kann. Mit der Ausweitung der Betroffenen des dann überarbeiteten BSI-Gesetzes auf voraussichtlich etwa 30.000 Betreiber wird das wesentlich relevanter.

Künftig sollen in einer Kabinettsverordnung die jeweils als kritisch erachteten Komponenten aufgelistet werden, für die dann ein Verbot möglich wäre, wenn die Hersteller nicht als vertrauenswürdig gelten.

Zugleich wird aber die Reihenfolge geändert: Von einer Ex-Ante, also einer Prüfung im Vorhinein, wird dann auf Ex-Post umgestellt – die Betreiber können auf eigenes Risiko also Komponenten einsetzen, müssen deren Verwendung aber dem BSI anzeigen und im Nachgang bei einem Verbot auch wieder ausbauen. Da die Entscheidung über ein Verbot aber immer auch eine politische Dimension hat, muss dieses von der Hausleitung des Bundesinnenministeriums ausgesprochen werden. Dessen Staatssekretär Hans-Georg Engelke zeigte sich am Mittwochabend auch „ganz zufrieden“ mit der gefundenen Lösung.

Telekommunikationsanbieter fürchten Unsicherheit

Insbesondere die Telekommunikationsbranche fordert Planungssicherheit. „Wir brauchen an dieser Stelle Planungssicherheit und nicht ein Wiederaufmachen dieser Thematik im Jahresrhythmus“, forderte Telefonica Deutschland-Vorständin Valentina Daiber bei einer Veranstaltung des CDU-nahen Wirtschaftsrats am Mittwoch in Berlin.

Das sei zwar ein absolut legitimer Wunsch, erwiderte Klaus Müller, Präsident der Bundesnetzagentur. Ihm stehe aber eben eine sich schnell verändernde Welt entgegen. Die Bundesnetzagentur hatte erst am Montag den Entwurf neuer Sicherheitsrichtlinien im Telekommunikationsbereich veröffentlicht – im Vorgriff auf die NIS2-Regelungen.

Er sei zu den Notwendigkeiten mit der Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik Claudia Plattner regelmäßig im Dialog, sagte Müller bei der Veranstaltung: „Das sind keine schönen Gespräche.“ Tatsächlich dürften die Regelungen vor allem in anderen Kritis-Branchen Auswirkungen haben – der Telekommunikationssektor hat dank der Huawei-Debatte und dem bisherigen §9b BSI-Gesetz bereits vergleichsweise viel Erfahrung.

CISO Bund geht zum BSI

Auf Plattners Behörde kommen nun weitere Aufgaben zu: Die Rolle des „Chief Information Security Officer“ (CISO), also des IT-Sicherheitsbeauftragten der Bundesverwaltung, geht nach der Einigung im parlamentarischen Verfahren nun zur Bonner Behörde – dort soll die Stelle angesiedelt werden. Eine weitere relevante Änderung betrifft nicht nur das BSI, sondern auch die anderen nachgeordneten Bundesbehörden: Die sollen zumindest gewisse Sicherheitspflichten künftig auch erfüllen müssen. Eine Forderung, die auch der Bundesrechnungshof erhoben hat.

Mit der Einigung im Bundestag wird die Wahrscheinlichkeit von Strafzahlungen an die EU wegen der Nichtumsetzung von EU-Recht deutlich reduziert: Die EU-Kommission hatte zuletzt angekündigt, gegen jene Staaten, die die NIS2-Richtlinie nicht in nationales Recht umgesetzt haben, ein Vertragsverletzungsverfahren einzuleiten. Bislang haben erst 15 der 27 Mitgliedstaaten die Vorgaben für mehr Cybersicherheit in kritischen Infrastrukturen umgesetzt.

Die Strafe hätte zuständigkeitshalber aus dem Etat des Innenministeriums beglichen werden müssen, das den Entwurf kurz vor der Sommerpause mit einigen offenen Baustellen den Abgeordneten im Bundestag überantwortete. Der soll das Umsetzungsgesetz nach der Einigung aufgrund der vielfältigen Dringlichkeit schnellstmöglich verabschieden – kommende Woche soll das Gesetz den Bundestag passieren.

(wpl)