Die Kritik am NIS2-Gesetzesentwurf wird laut. Am 4. November hat sich endlich der Innenausschuss des Bundestags damit beschäftigt.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer sehr ernsten Bedrohungslage durch Cyberangriffe in Deutschland. Laut des aktuellen Lageberichtes des BSI (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.html)sollen vor allem die Bereiche Verteidigung sowie öffentliche Sicherheit und Ordnung Beachtung finden.
Städte und Kommunen waren in den letzten Jahren vermehrt Cyberattacken ausgesetzt und im BSI-Lagebericht als häufig noch unzureichend geschützte Ziele benannt.
In der vergangenen Woche war das Rathaus der Stadt Aschaffenburg 2 Tage geschlossen. Der Grund war ein Cyberangriff auf die IT -Infrastruktur der Stadtverwaltung.
Auf der Webseite der Stadtverwaltung (https://www.aschaffenburg.de/)ist folgender Hinweis veröffentlicht „Der Hackerangriff auf die Stadtverwaltung hat keinen Schaden angerichtet. Das hat die Analyse der IT-Systeme ergeben. In Abstimmung mit dem bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) und einer Sicherheitsfirma werden heute im Laufe des Tages alle Systeme nach und nach wieder hochgefahren“.
Am 19. Juli 2024 kam es weltweit zu massiven Ausfällen im IT-Betrieb von Krankenhäusern und des internationalen Luftverkehrs. Ausgelöst durch ein fehlgeschlagenes Softwareupdate (https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2024/240919_BSI-bitkom_Crowdstrike-Umfrage.html)des Cybersicherheitsanbieters Crowdstrike. Experten stuften dieses Desaster wegen des globalen Ausmaßes als beispiellos ein. Der wirtschaftliche Schaden konnte bis heute nicht ermittelt werden.
Mit Inkrafttreten von NIS-2 (https://securam-consulting.com/nis2-network-information-security/) werden schätzungsweise 29.500 deutsche Unternehmen und Organisationen verpflichtet, IT-Sicherheitsmaßnahmen nachzuweisen und IT-Sicherheitsvorfälle zu melden. Der dringende Handlungsbedarf im Bereich Cybersicherheit und IT-Informationssicherheit wird aktuell wieder sehr deutlich. Es ist nicht nur notwendig, sondern auch DRINGEND, breitflächig aktiv zu werden.
Bereits mit Fristablauf am 17. Oktober 2024 wurde mit großer Spannung das Inkrafttreten der NIS2-Richtlinie (Network and Information System Directive) erwartet.
Die Richtlinie ist auf die Stärkung der Cybersicherheit ausgerichtet und sollte nach Art. 41 Abs.1 EU 2022/2555 bis zum 17.10.2024 von den Mitgliedstaaten umgesetzt werden. Ab 18.10.2024 sollte diese dann Anwendung finden.
Aber erst nach der politischen Sommerpause wurde nun endlich das Gesetzgebungsverfahren in Gang gesetzt. Der Innenausschuss des Bundestags hat sich völlig verspätet in einer Sachverständigenanhörung mit dem Gesetzentwurf beschäftigt. Dieser stieß weitgehend auf Kritik der Experten (https://www.bundestag.de/dokumente/textarchiv/2024/kw45-pa-inneres-cyber-1026336).
Claudia Plattner, die Präsidentin des BSI, die am 4. November als Sachverständige vor dem Innenausschuss des Bundestages erschien, geht davon aus, dass nach Schätzung ihrer Behörde etwa 29.500 deutsche Unternehmen von der NIS2 Umsetzung betroffen sind. Viele dieser Firmen sind bis heute nicht darüber informiert, dass sie unter die neuen Regelungen fallen. Mehr zur Stellungnahme hier
Felix Kuhlenkamp vom Branchenverband Bitkom (https://www.bitkom.org/) forderte daher als Vertreter der Wirtschaft, dass der Staat proaktiv informieren müsse, damit die Betroffenen überhaupt von ihrer Verpflichtung erfahren.
Die aktuelle Situation kann ein Vertragsverletzungsverfahren gem. Art. 258 AEUV durch die Europäische Kommission auslösen. Dieses Verfahren wird von der EU als Instrument genutzt, eine einheitliche Anwendung des EU-Rechts in den Mitgliedstaaten sichern zu stellen.
Auch wenn in diesem Verfahren einige Schritte durchlaufen werden und unter anderem erst eine Stellungnahme des jeweiligen Mitgliedstaates erforderlich ist, könnte das Ergebnis am Ende eine Klage vor dem Europäischen Gerichtshof sein. Sanktionen in Form von hohen Geldstrafen wären für Deutschland die Folge.
Es stellt sich nun die Frage, welche Anforderungen umgesetzt werden müssen. Aktuell befinden sich Unternehmen mangels nationaler Umsetzung in einer rechtlichen Grauzone. Sie sind möglicherweise dazu verpflichtet, die EU-Standards zu erfüllen, haben jedoch keine klaren, nationalen Vorschriften zu dessen Umsetzung und Einhaltung sie verpflichtet sind. Unternehmen und Betreiber kritischer Infrastrukturen sollten die Gesetzgebung im Auge behalten, um schnellstmöglich agieren zu können.
Wann mit einer konkreten Aussage des BMI zur NIS2- (https://securam-consulting.com/informationssicherheit/)Umsetzung zu rechnen ist und wie die Interimszeit aussieht, bleibt bis heute unbeantwortet.
Quellenangaben:
BSI, Stadtverwaltung Aschaffenburg, Webseite des deutschen Bundestages,bitkom.org
Beratungsunternehmen für IT-Sicherheit. Die inhabergeführte Securam Consulting GmbH hat sich im Laufe jahrzehntelanger Geschäftstätigkeit im Bereich der IT- Cybersecurity kontinuierlich weiterentwickelt. Das Hamburger Beratungshaus unterstützt Unternehmen mit kritischer Infrastruktur, Sicherheitsrisiken frühzeitig zu erkennen und diese gezielt zu beheben.
Firmenkontakt
Securam Consulting GmbH
Nadine Eibel
Neue ABC Straße 8
20354 Hamburg
+49 40-298 4553-0
Pressekontakt
Securam Consulting GmbH
Anette Hollenbach
Neue ABC Straße 8
20354 Hamburg
+49 40-298 4553-0
Die Bildrechte liegen bei dem Verfasser der Mitteilung.
