NIS2-Richtlinie: Bürokratiearme Lösungen notwendig

Mit der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit („NIS2“) hat die Europäische Union ihre Mitgliedstaaten Ende 2022 unter anderem zur Verabschiedung einer nationalen Cybersicherheitsstrategie verpflichtet. Nachdem Deutschland die Umsetzungsfrist zum 18. Oktober 2024 nicht eingehalten und die Bundestagsneuwahl im Februar 2025 für weitere Verzögerungen gesorgt hat, soll das Umsetzungsgesetz jetzt auf den Weg kommen.

„Die Resilienz der Wirtschaft lässt sich nicht per Gesetz beschließen“, betont Dirk Binding, DIHK-Bereichsleiter Digitale Wirtschaft, Infrastruktur, Regionalpolitik, anlässlich der Vorlage des Referentenentwurfs zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz am 23. Juli im Kabinett. „Unternehmen brauchen bei der Umsetzung eine gezielte Unterstützung nach klaren Vorgaben. Staat und Wirtschaft sind gemeinschaftlich gefordert.“

In ihrer Stellungnahme vom 4. Juli kritisiert die DIHK insbesondere die unklare Definition zentraler Begriffe, die zu Rechtsunsicherheit führt. Unternehmen müssten häufig mit juristischer Hilfe klären, ob sie überhaupt vom Gesetz betroffen seien – ein Aufwand, der Zeit und Ressourcen binde.

„Schon die Betroffenheitsprüfung führt bei vielen Unternehmen zu Interpretationsschwierigkeiten und großer Komplexität“, so Binding. „Hier braucht es dringend rechtssichere und praxistaugliche Umsetzungshilfen.“ Kritisch seien auch die Abweichungen des deutschen Entwurfs von der EU-Richtlinie, etwa bei der Definition „wichtiger Einrichtungen“.

Nationale Sonderregelungen könnten den EU-Konsens verlassen und zu unterschiedlichen Umsetzungen in den Mitgliedstaaten führen, warnt der DIHK-Bereichsleiter. „Das birgt nicht nur rechtliche Unsicherheiten. Es bringt auch unnötigen zusätzlichen Prüf- und Umsetzungsaufwand insbesondere für grenzüberschreitend tätige Unternehmen mit sich.“

Besonders die Ausnahme der öffentlichen Verwaltung wird in der Stellungnahme kritisch gesehen. „Es ist nicht nachvollziehbar, warum Kommunen und große Teile der Bundesverwaltung von vergleichbaren Verpflichtungen ausgenommen sind“, sagt Dirk Binding. „Wenn die Verwaltung Teil der Wertschöpfungskette ist, muss sie auch Teil der Sicherheitsarchitektur sein.“

Auch in der Lieferkette entstünden durch die neuen Anforderungen erhebliche Belastungen. Die DIHK fordert daher Klarheit, welche bestehenden Cybersicherheitszertifizierungen (beispielsweise ISO 27001 oder TISAX) als Nachweis für Sicherheitsstandards anerkannt werden.

„Zertifizierte Zulieferer sollten nicht Hunderte Einzelanfragen beantworten müssen. Das ist ein enormer Aufwand, der viel Zeit und Ressourcen kostet“, erklärt Binding. Sein Fazit: „Cybersicherheit braucht klare Regeln, aber auch Augenmaß. Nur so kann die Wirtschaft ihren Beitrag zur digitalen Resilienz leisten.“

Die Umsetzung der NIS2-Richtlinie ist in aller Munde und bringt wichtige Fragen mit sich: Ist mein Unternehmen davon betroffen? Welche Anforderungen müssen erfüllt werden?
Die Online-Veranstaltung am 26. August beginnt mit einem Überblick über die aktuelle Bedrohungslage durch Cybercrime für Unternehmen. Anschließend steht das Thema NIS2 im Mittelpunkt: