Securam Consulting Logo

NIS-2 Richtlinie in der Kritik- Bedrohungslage durch Cyberangriffe steigt weiter

Die Kritik am NIS2-Gesetzesentwurf wird laut. Am 4. November hat sich nun endlich der Innenausschuss des Deutschen Bundestages in einer Sachverständigenanhörung mit dem Gesetzentwurf beschäftigt. Dieser stieß weitgehend auf Kritik der Experten.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer sehr ernsten Bedrohungslage durch Cyberangriffe in Deutschland. Laut des aktuellen Lageberichtes des BSI sollen vor allem die Bereiche Verteidigung sowie öffentliche Sicherheit und Ordnung Beachtung finden.
Städte und Kommunen waren in den letzten Jahren vermehrt Cyberattacken ausgesetzt und im BSI-Lagebericht als häufig noch unzureichend geschützte Ziele benannt.

In der vergangenen Woche war das Rathaus der Stadt Aschaffenburg 2 Tage geschlossen. Der Grund war ein Cyberangriff auf die IT -Infrastruktur der Stadtverwaltung.
Auf der Webseite der Stadtverwaltung ist folgender Hinweis veröffentlicht „Der Hackerangriff auf die Stadtverwaltung hat keinen Schaden angerichtet. Das hat die Analyse der IT-Systeme ergeben. In Abstimmung mit dem bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) und einer Sicherheitsfirma werden heute im Laufe des Tages alle Systeme nach und nach wieder hochgefahren“.

Am 19. Juli 2024 kam es weltweit zu massiven Ausfällen im IT-Betrieb von Krankenhäusern und des internationalen Luftverkehrs. Ausgelöst durch ein fehlgeschlagenes Softwareupdate des Cybersicherheitsanbieters Crowdstrike.

Experten stuften dieses Desaster wegen des globalen Ausmaßes als beispiellos ein. Der wirtschaftliche Schaden konnte bis heute nicht ermittelt werden.

Mit Inkrafttreten von NIS-2 werden schätzungsweise 29.500 deutsche Unternehmen und Organisationen verpflichtet, IT-Sicherheitsmaßnahmen nachzuweisen und IT-Sicherheitsvorfälle zu melden. Der dringende Handlungsbedarf im Bereich Cybersicherheit und IT-Informationssicherheit wird aktuell wieder sehr deutlich. Es ist nicht nur notwendig, sondern auch DRINGEND, breitflächig aktiv zu werden.
Bereits mit Fristablauf am 17. Oktober 2024 wurde mit großer Spannung das Inkrafttreten der NIS2-Richtlinie (Network and Information System Directive) erwartet.
Die Richtlinie ist auf die Stärkung der Cybersicherheit ausgerichtet und sollte nach Art. 41 Abs.1 EU 2022/2555 bis zum 17.10.2024 von den Mitgliedstaaten umgesetzt werden. Ab 18.10.2024 sollte diese dann Anwendung finden.

Aber erst nach der politischen Sommerpause wurde nun endlich das Gesetzgebungs-verfahren in Gang gesetzt. Der Innenausschuss des Bundestages hat sich völlig verspätet in einer Sachverständigenanhörung mit dem Gesetzentwurf beschäftigt. Dieser stieß weitgehend auf Kritik der Experten.

Claudia Plattner, die Präsidentin des BSI, die am 4. November als Sachverständige vor dem Innenausschuss des Bundestages erschien, geht davon aus, dass nach Schätzung ihrer Behörde etwa 29.500 deutsche Unternehmen von der NIS2 Umsetzung betroffen sind. Viele dieser Firmen sind bis heute nicht darüber informiert, dass sie unter die neuen Regelungen fallen. Mehr zur Stellungnahme hier
Felix Kuhlenkamp vom Branchenverband Bitkom forderte daher als Vertreter der Wirtschaft, dass der Staat proaktiv informieren müsse, damit die Betroffenen überhaupt von ihrer Verpflichtung erfahren.
Die aktuelle Situation kann ein Vertragsverletzungsverfahren gem. Art. 258 AEUV durch die Europäische Kommission auslösen. Dieses Verfahren wird von der EU als Instrument genutzt, eine einheitliche Anwendung des EU-Rechts in den Mitgliedstaaten sichern zu stellen.
Auch wenn in diesem Verfahren einige Schritte durchlaufen werden und unter anderem erst eine Stellungnahme des jeweiligen Mitgliedstaates erforderlich ist, könnte das Ergebnis am Ende eine Klage vor dem Europäischen Gerichtshof sein. Sanktionen in Form von hohen Geldstrafen wären für Deutschland die Folge.

Es stellt sich nun die Frage, welche Anforderungen umgesetzt werden müssen. Aktuell befinden sich Unternehmen mangels nationaler Umsetzung in einer rechtlichen Grauzone. Sie sind möglicherweise dazu verpflichtet, die EU-Standards zu erfüllen, haben jedoch keine klaren, nationalen Vorschriften zu dessen Umsetzung und Einhaltung sie verpflichtet sind. Unternehmen und Betreiber kritischer Infrastrukturen sollten die Gesetzgebung im Auge behalten, um schnellstmöglich agieren zu können.

Wann mit einer konkreten Aussage des BMI zur NIS2-Umsetzung zu rechnen ist und wie die Interimszeit aussieht, bleibt bis heute unbeantwortet.

Quellenangaben:BSI, Stadtverwaltung Aschaffenburg, Webseite des deutschen Bundestages,bitkom.org

Könnte Sie auch interessieren: