Ende 2022 hat die EU die zweite „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau“ beschlossen, die NIS-2-Richtlinie. Die Umsetzung der EU-Richtlinie in Deutschland dauert nun schon über zwei Jahre an. Sie wird wohl frühestens zum dritten Jahrestag im Winter gelingen.

Vor einem Jahr startete die letzte Bundesregierung mit dem „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“. Experten kritisierten den Entwurf. Wegen dem Ende der Ampel-Regierung wurde er nicht beschlossen.

Im Oktober 2024 lief die Umsetzungsfrist der EU ab. Die EU-Kommission eröffnete ein Vertragsverletzungsverfahren gegen Deutschland. Im Mai forderte sie erneut eine Umsetzung binnen zwei Monaten. Auch diese Frist ist längst verstrichen.

Höchste Zeit, das Tempo zu erhöhen. Die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik, Claudia Plattner, hofft auf eine Umsetzung bis Anfang 2026. Solange die derzeitige Regierung stabil bleibt, ist das (noch) zu schaffen.

Vor zwei Wochen hat das Bundeskabinett ein entsprechendes Gesetz beschlossen. Allerdings weist der „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ nach wie vor erheblichen Nachbesserungsbedarf auf, dem sich hoffentlich der Bundestag noch widmet.

Steigende Cyberbedrohungen

Die zweite NIS-Richtlinie soll gegenüber ihrer Vorgängerin von 2016 mehr Einrichtungen erfassen, konkretere Vorgaben machen und die Umsetzung in den EU-Mitgliedstaaten stärker harmonisieren. Außerdem soll sie die Kooperation zwischen den Mitgliedstaaten fördern und darauf hinwirken, dass die nationalen Cybersicherheitsbehörden mehr Ressourcen erhalten. Kurz: Was die erste NIS-Richtlinie begann, sollte die NIS-2-Richtlinie erreichen.

Maßgeblich trägt der erweiterte Anwendungsbereich zu diesem Ziel bei: Künftig sollen statt 8.000 Einrichtungen knapp 30.000 Unternehmen erfasst sein. Die NIS-2-Richtlinie reguliert also nicht einzelne Sektoren, sondern visiert einen weitreichenden Wirtschaftsschutz an. Dabei differenziert sie zwischen wesentlichen Einrichtungen, die strengeren Anforderungen unterliegen, und wichtigen Einrichtungen verschiedener Sektoren.

Zweierlei Maß für Unternehmen und Staat

Nicht nur Bundesregierung und Gesetzgebung, sondern auch die Wirtschaft muss sich dem Thema NIS-2-Umsetzung widmen. Das BSI beginnt bereits jetzt, Unternehmen zu beraten, und bietet beispielsweise eine Orientierungshilfe zur Betroffenheitsprüfung an.

Dies täuscht jedoch nicht darüber hinweg, dass die zögerliche Umsetzung der NIS-2-Richtlinie in Unternehmen vor allem durch die verspätete gesetzgeberische Umsetzung bedingt ist. Hier beginnt bereits die erste Scheinheiligkeit: Während die Politik nicht in die Gänge kommt, sollten Unternehmen ihre Hausaufgaben idealerweise noch vor Beschluss des NIS-2-Umsetzungsgesetzes erledigt haben.

Die zweite Scheinheiligkeit liegt in der – breit diskutierten und kritisierten – Ausnahme der Bundesverwaltung vom Pflichtenprogramm der NIS-2-Richtlinie: Unternehmen treffen von Registrierungs- und Meldepflichten bis hin zu einem Maßnahmenkatalog mit zehn Punkten zahlreiche Anforderungen.

Die Bundesverwaltung muss dagegen im Grundsatz nur (vom BSI noch auszuarbeitende) Mindeststandards erfüllen. Lediglich das Bundeskanzleramt und die Bundesministerien müssen zusätzlich die BSI-Standards sowie das IT-Grundschutz-Kompendium einhalten.

Ob der Grund hierfür in den knappen Haushaltsmitteln liegt oder der bisherigen Verschleppung des Themas IT-Sicherheit in Bundesbehörden, ist unklar. Spätestens der Bericht des Bundesrechnungshofs sollte die Bundesregierung eigentlich motivieren, Cybersicherheit konsequent umzusetzen.

Endlich ein CISO Bund?

Diese Mängel vermag auch nicht das Portfolio neuer Rollen und Ämter auf Bundesebene zu kaschieren: Künftig soll es eine(n) Informationssicherheitsbeauftragte(n) der Bundesverwaltung geben, die/der für die IT-Sicherheitsprozesse verantwortlich ist. Ebenso soll jedes einzelne Ressort eine(n) Informationssicherheitsbeauftragte(n) erhalten – sowie für wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen.

Dieses „Gewimmel“ erfordert Koordination, und zwar durch eine(n) Koordinator(in) für Informationssicherheit. Der Gesetzesentwurf schweigt zu den Aufgaben und Kompetenzen dieses Amts; die Gesetzesbegründung stellt klar, dass hiermit (endlich) „CISO Bund“ eingeführt werde. Alles Übrige soll dann ein Kabinettsbeschluss regeln. Wichtig sei nur, dass „die Funktion möglichst unabhängig organisiert“ werde. Eine gute Lösung wäre es, den CISO Bund dem BSI beziehungsweise dessen Präsidentin zu übertragen.

Prekäre Stellung des BSI

Damit lässt sich gleich zum nächsten, bislang unbefriedigend gelösten Problem überleiten: die Abhängigkeit des BSI von Weisungen des Bundesinnenministeriums, dem beispielsweise auch die Nachrichtendienste und andere Sicherheitsbehörden unterfallen. Dieses Thema ist ein alter Hut und schon seit der Errichtung des BSI wiederholt problematisiert worden.

Ungeachtet der verschiedenen denkbaren Modelle ist entscheidend, ob das BSI in der Lage ist, transparent, nachvollziehbar und nach fachlicher Kompetenz zu handeln. Das NIS-2-Umsetzungsgesetz hätte die Aufgaben des BSI anpassen können, um klarzustellen, dass das BSI nicht auf Weisung des Bundesinnenministeriums wider der Förderung von Cybersicherheit handelt. Insbesondere eine explizite Pflicht des BSI, gemeldete Schwachstellen an den jeweiligen Hersteller weiterzugeben, würde das Vertrauen in die Behörde stärken.

EU systematisiert, Deutschland verwirrt

Doch nicht nur die Grundsatzentscheidungen des Gesetzesentwurfs enttäuschen. Die EU bemüht sich, seit der Cybersicherheitsverordnung ein kohärentes Begriffsgerüst für das Cybersicherheitsrecht zu entwerfen. Das reicht von einer einheitlichen Cybersicherheitsdefinition bis hin zu einem einheitlichen Verständnis von Schwachstellen.

Dieses Unterfangen konterkariert die Bundesregierung in ihrem Entwurf wiederholt. So verwendet der Entwurf unter anderem die Begriffe „Informationssicherheit“, „Netz- und Informationssicherheit“, „IT-Sicherheit“ und „Cybersicherheit“. Die Neuordnung des BSI-Gesetzes wäre eine Chance gewesen, auch inhaltlich Systematik herzustellen.

Zudem macht sie aus wesentlichen Einrichtungen jetzt „besonders wichtige“ Einrichtungen – wohl, weil sie die Bezeichnungen „wesentlich“ und „wichtig“ für irreführend hielt. Ob diese Bedenken berechtigt sind, ist Ansichtssache, verdeutlicht die „Wesentlichkeit“ doch die Bedeutung bestimmter Einrichtungen und Dienste für unsere Gesellschaft – ganz nach dem Sinngehalt kritischer Infrastrukturen. Jedenfalls sprengt dieser deutsche Sonderweg die EU-rechtliche Systembildung auf nicht gerade sprachgewandte Weise.

Auch die Einführung der „kritischen Anlagen“ weicht vom europäischen Konzept ab und stiftet gemeinsam mit den „kritischen Komponenten“ und „kritischen Dienstleistungen“ Verwirrung. Denn die NIS-2-Richtlinie löst sich vom Begriff der „Kritischen Infrastrukturen“, um die Cybersicherheit in der gesamten EU an Schlüsselstellen zu stärken.

Kritikwürdig ist allgemein die fehlende Systematisierungsleistung dieser Gesetzes-Novelle: Weder der allgemeine Aufbau des Gesetzentwurfs noch beispielsweise die Reihenfolge der Aufgaben des BSI wirken durchdacht. Das Bundesinnenministerium hätte mehr Struktur schaffen können – auch, um die Praktikabilität zu erhöhen.

Auch der Maßnahmenkatalog, den besonders wichtige und wichtige Einrichtungen erfüllen müssen, ist sowohl irreführend, weil er zu falscher Sicherheit verleiht, als auch nicht auf alle Einrichtungen gleichermaßen anwendbar. Der Verweis auf den Stand der Technik wäre hier zielführender und in der Praxis deutlich besser gestaltbar gewesen.

Weg aus der Regulierung

Hinzu kommen die „vernachlässigbaren“ Geschäftstätigkeiten: Sofern die Geschäftstätigkeiten, die den durch die NIS-2-Richtlinie regulierten Einrichtungsarten entsprechen, insgesamt nur eine deutlich untergeordnete Rolle spielen, entfallen die Pflichten zu mehr Cybersicherheit.

Dieser Passus öffnet Unternehmen daher einen Weg aus der Regulierung – bei bislang unklarer Definition von Grenzen und Maßstäben ebenjener vernachlässigbaren Geschäftstätigkeiten. Zugleich verfehlt Deutschland mit derlei Vorstößen das eigentlich angestrebte Ziel der Mindestharmonisierung durch die NIS-2-Richtlinie.

Wesentliche Fragen unbeantwortet

Enttäuschend ist nicht zuletzt auch, dass das NIS-2-Umsetzungsgesetz einigen wichtigen, vieldiskutierten Fragen ausweicht, die schon seit mehreren Jahren den Kern der nationalen Cybersicherheitsdebatte ausmachen.

Beispielsweise lässt der Entwurf ungeklärt, ob das BSI gemeldete Schwachstellen zurückbehalten und an Sicherheitsbehörden weitergeben darf, damit diese etwa Online-Durchsuchungen oder Quellen-Telekommunikationsüberwachung durchführen, das heißt per „Staatstrojaner“ IT-Systeme überwachen können. Die Weitergabe von gemeldeten Schwachstellen untersagt der Gesetzesentwurf nicht.

Dabei hat das Bundesverfassungsgericht der Gesetzgebung aufgegeben, bei der Geheimhaltung und Verwendung von Zero-Day-Schwachstellen (dem Hersteller unbekannte Schwachstellen) zu regeln, inwiefern der Ermittlungserfolg mit dem Interesse der Allgemeinheit an der Benachrichtigung der Hersteller und Behebung von Schwachstellen abzuwiegen ist (sogenanntes Schwachstellen-Management).

Bedauerlich ist vor allem, dass die Zurückbehaltung von Zero-Day-Schwachstellen zu nachrichtendienstlichen und Strafverfolgungszwecken nicht ausgeschlossen ist. Und es ist ungünstig, dass die Regierung nicht wenigstens die Umstände und Maßstäbe für die Geheimhaltung von Schwachstellen regelt.

Auch der bislang noch unklare Plan zur Umsetzung der EU-Richtlinie über die Resilienz kritischer Einrichtungen bewirkt, dass die Neuregelung des BSI-Gesetzes wohl bald Nachbesserungen erfordert. Denn ein ganzheitlicher Regulierungsansatz, der den Schutz vor physischen Gefahren und hybriden Bedrohungen mitdenkt, ist nach wie vor nicht gegeben, obwohl eigentlich in diesen Zeiten unbedingt erforderlich.

Die kommenden Wochen sind entscheidend

Der NIS-2-Umsetzungsentwurf für Deutschland wird in den nächsten Wochen bestimmen, wie sich das Thema Cybersicherheit hierzulande entwickeln wird: Werden alle Einrichtungen – Unternehmen wie Behörden – ihre Resilienz stärken oder werden Pflichten abgeschwächt und das Sicherheitsniveau systemisch gesenkt?

Die Politik sieht, dass Cybersicherheit Geld kostet. Ein Mangel an Cybersicherheit kostet aber ebenso – von Ransomware-Zahlungen bis hin zur Bewältigung von Cyberangriffen, zum Beispiel durch Arbeitsstunden und Kosten für neue IT-Systeme. Und nie war die Zeit günstiger als jetzt, um in die Cybersicherheit zu investieren.

Dennis-Kenji Kipker ist Research Director am Cyberintelligence Institute und Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz in Berlin.

Carolin Kemper ist Forschungsreferentin am Deutschen Forschungsinstitut für öffentliche Verwaltung.