NIS2-Umsetzung: Rechnungshof geht mit Regierung beim Kritis-Schutz zu Gericht

Kaum ein gutes Haar am verspäteten Entwurf der Bundesregierung zur Umsetzung der NIS2 getauften EU-Richtlinie zur Netzwerk- und Informationssicherheit lässt der Bundesrechnungshof. In einem jetzt publik gewordenen Bericht zu der Initiative an den Bundestag vom 15. September kritisieren die Kassenprüfer vor allem: Die Exekutive wolle die Pflicht zur Umsetzung des IT-Grundschutzes und Risikomanagements auf Bundesministerien und das Bundeskanzleramt beschränken. Dies könne zu Sicherheitsrisiken in der vernetzten Bundesverwaltung führen, die von nachgeordneten Behörden ausgelöst würden. Es sei daher dringend nötig, den IT-Grundschutz für die gesamte Bundesverwaltung gesetzlich verbindlich festzulegen.

Mit der NIS2 soll ein hohes Cybersicherheitsniveau in der gesamten EU in kritischen Sektoren (Kritis) wie Informations- und Kommunikationstechnologien (IKT), Energie- und Wasserversorgung, Verkehr, Finanzwesen und Medien gewährleistet werden. Die Mitgliedsstaaten hätten die Richtlinie bis zum 17. Oktober umsetzen müssen, sodass Deutschland bereits deutlich in Verzug ist. Die EU-Kommission leitete daher im Mai die zweite Stufe eines Vertragsverletzungsverfahrens gegen die Bundesrepublik ein. Wie die Vorgaben aus Brüssel in nationales Recht gegossen werden sollen, ist hierzulande seit Langem heftig umkämpft.

Der Rechnungshof rügt nun etwa in seiner von Politico veröffentlichten Analyse: Der Gesetzentwurf sehe weitreichende Ausnahmen für das Auswärtige Amt vor, obwohl ein Großteil der Auslands-IT aus inländischen Rechenzentren betrieben werde. Es gelte, diese Sonderregeln zu begrenzen und Parallelstrukturen neben dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu vermeiden.

Unplausible Kostenschätzung

Tausende von Unternehmen müssten alle drei Jahre durch externe Prüfungen die Einhaltung der Anforderungen nachweisen, ist dem Report zu entnehmen. Einrichtungen der Bundesverwaltung sollten dies erst nach fünf Jahren und in Form einer standardisierten Erklärung tun, ohne externe Prüfer. Auch hier müssten gleiche Vorgaben greifen.

Die Regierung sehe vor, einen Koordinator für Informationssicherheit (CISO Bund) einzuführen, was dem Rechnungshof nicht entgangen ist. Es fehlten dabei aber Aufgaben, Pflichten und Befugnisse, „die ressortübergreifend eine einheitliche und koordinierte Steuerung der Cybersicherheit ermöglichen“. Die Exekutive beziffere die zusätzlichen Haushaltsausgaben für 2026 bis 2029 auf über 900 Millionen Euro, hauptsächlich für 1276 zusätzliche Stellen. Diese Zahlen scheinen den Prüfern unplausibel aufgrund der teilweise sehr unterschiedlichen Angaben der Ressorts. Sie raten, die gemeldeten Aufwände kritisch zu beäugen und übergreifend abzugleichen.

Alter Umsetzungsplan Kritis bis dato nicht ganz realisiert

Das neue Gesetz sollte nach drei Jahren umfassend auf die Probe gestellt werden, fordert der Rechnungshof. Bisherige Evaluationen in diesem Bereich seien unzureichend gewesen. So habe die Regierung etwa 2007 auf Empfehlung des BSI ein Regelwerk für die Bundesverwaltung beschlossen, um ein hinreichendes IT-Sicherheitsniveau zu erreichen und aufrechtzuerhalten. Diese Norm sei bis heute nicht flächendeckend umgesetzt worden, monieren die Haushaltsexperten. Daraus sollten Konsequenzen gezogen werden.

Die Prüfer gaben dem federführenden Bundesinnenministerium zunächst Gelegenheit, sich zu den Vorwürfen zu äußern. Dieses machte davon an vielen Punkten keinen Gebrauch oder erklärte etwa zu einer gesetzlichen Evaluierungspflicht, dass es eine solche nicht für sachgerecht halte. Der Rechnungshof sieht in seinem finalen Bericht so wenig manifesten Widerspruch aus der Exekutive. Er verweist auch darauf, dass die vorgeschlagenen Änderungen keine zusätzlichen Haushaltsausgaben verursachen würden.

(mki)