NIS2: Kabinett überantwortet Bundestag offene Baustellen

Das Bundeskabinett hat sich auf einen Entwurf für die Umsetzung der überarbeiteten EU-Netzwerk- und Informationssicherheitsrichtlinie (NIS2) geeinigt. Damit verschiebt die Bundesregierung die meisten ungelösten Probleme der seit bald einem Jahr überfälligen deutschen Umsetzung zur weiteren Debatte in den Bundestag.

„Höheres Sicherheitsniveau“

„Mit dem neuen Gesetz schaffen wir ein deutlich höheres Sicherheitsniveau für unsere Wirtschaft und Verwaltung“, meint Bundesinnenminister Alexander Dobrindt (CSU). Diese würden durch die neuen Vorschriften widerstandsfähiger gegen Cyberangriffe. Damit sollen künftig fast 30.000 statt bisher 4500 Stellen verschärften Cybersicherheitsvorgaben unterliegen.

Während der gescheiterte Versuch der Ampel noch über die europäischen Vorgaben hinausgehen sollte, hat sich Schwarz-Rot auf die Fahne geschrieben, die EU-Richtlinie möglichst ohne jede Übererfüllung umsetzen zu wollen. „Wir setzen dabei auf klare Regeln ohne unnötige Bürokratie“, betont Dobrindt.

Allerdings sind viele der nun in dem Kabinettsentwurf enthaltenen Formulierungen keineswegs klar und unumstritten. So bemängelt etwa der Internetwirtschaftsverband Eco, dass „zentrale Fragen“ offen bleiben, etwa bei geplanten Ausnahmen für Unternehmen, deren kritische Rolle „vernachlässigbar“ ist. „Was politisch pragmatisch klingt, ist europarechtlich heikel“, kritisiert Ulrich Plate für den Eco-Verband.

China-Klausel viel breiter?

Weitere Kritik an der NIS2-Umsetzung übt etwa der Bundesverband Breitbandkommunikation (Breko): Die Regelungen zu sogenannten „kritischen Komponenten“, die die Bundesregierung nun neu formuliert, können deutlich über das hinausgehen, was bislang unter dem „Huawei“-Paragrafen 9b des BSI-Gesetzes verstanden wurde. Breko-Chef Stephan Albers fürchtet, dass damit „nicht nur bei 5G-, sondern auch bei Glasfasernetzen eine Untersagungsmöglichkeit für den Einsatz von geplanten oder bereits in Betrieb befindlichen Bauteilen“ vorgesehen sei.

Sprich: Das Innenministerium könnte in Zukunft viel häufiger den Betrieb von Technologie aus dem nicht immer freundlich gesinnten Ausland untersagen – und Anbieter zum Austausch verpflichten. Allerdings sind die Kriterien für kritische Komponenten durchaus anspruchsvoll, dem Gesetzesentwurf zufolge müssen gleich mehrere erfüllt sein. Genauere Angaben zu der Frage, ob hier eine Ausweitung der Pflichten auf den letzten Millimetern vor dem Kabinettsbeschluss stattgefunden hat, konnte das Innenministerium am Mittag vorerst nicht machen.

Auch bei der Frage, welche öffentlichen Stellen am Ende tatsächlich unter die NIS2-Umsetzung fallen werden, dürften sich die Bundestagsabgeordneten in den kommenden Wochen noch einigen Auseinandersetzungen stellen müssen. Noch während der parlamentarischen Sommerpause sollen die zuständigen Abgeordneten vorarbeiten. Der Bundestag tagt offiziell erst ab dem 10. September wieder. Anschließend soll die deutsche NIS2-Umsetzung dann allerdings schnell durch das parlamentarische Verfahren gehen – ein Versprechen, das in der Vergangenheit bereits mehrfach an der Komplexität der Regelungsmaterie scheiterte.

Kritis-Dachgesetz soll bald folgen

Weiter auf diesen Zwischenschritt warten muss das Komplementärgesetz: Mit dem Kritis-Dachgesetz sollte die Richtlinie zum besseren physischen Schutz kritischer Einrichtungen (CER-Richtlinie) umgesetzt werden – also Vorschriften zu Zäunen, Videoüberwachung, Meldung von Vorfällen und anderen Sicherheitsmaßnahmen. An diesem Gesetz werde weiterhin unter Hochdruck gearbeitet, hieß es am Mittag von einem Sprecher des Bundesinnenministeriums.

(vbr)