NIS2-Umsetzung in nationales Gesetz: Gehe zurück auf Los!
Die von der EU beschlossenen Maßnahmen zum IT-Schutz von Unternehmen und kritischen Infrastrukturen bleiben in Deutschland vorerst ohne Gesetzesgrundlage. Die zerbrochene Ampelregierung konnte sich nicht einigen. Können Unternehmen nun aufatmen? Das sollten sie aus mehreren Gründen nicht, sagt IT-Sicherheitsexpertin Sandra Balz.
Ein EU-Gesetz ist in Kraft getreten, Strafen bei Missachtung sind festgelegt, die IT-Industrie warnt und warnt immer wieder vor dem 17. Oktober 2024, dem Tag, an dem NIS2 in allen EU-Ländern gilt. Die da noch amtierende Bundesregierung versäumt es, zum Start von NIS2 dem Bundestag ein nationales Gesetz zur Verabschiedung vorzulegen. Drei Wochen später zerbricht die Ampelregierung, mn rauft sich nochmals zusammen: Die ehemaligen Koalitionäre verhandeln weiter. Indes scheint der Wahlkampf allen Willen zur Dringlichkeit in der Sache zu überschatten, gegenseitige Vorwürfe von Maximalforderungen und Kompromissunfähigkeit werden laut, am Ende lassen SPD, Grüne und FDP den Entwurf des NIS2-Gesetzes vor wenigen Tagen scheitern. Und das nach fast zwei Jahren zähen Verhandlungen, fünf Gesetzesentwürfen, unzähligen Änderungen, Kommentaren, Stellungsnahmen. Wie geht es jetzt weiter? Und vor allen: welche Konsequenzen ziehen Unternehmen aus der vorerst gescheiterten NIS2-Umsetzung in nationales Recht?
Nun ist Deutschland, was die Anstrengungen für mehr IT-Sicherheit der Wirtschaft angelangt, in schlechter EU-Gesellschaft. Belgien, Dänemark, Italien, Kroatien und Ungarn haben NIS2 fristrecht verabschiedet, alle anderen EU-Länder aber sind wie Deutschland noch nicht so weit. Doch Deutschland dürfte mehr gelähmt sein als alle anderen Nachbarn. Das liegt am Diskotinuitätsprinzip, warnte Eset-Manager Maik Wetzel wenige Wochen nach dem Ampel-Aus vor dem, was nun eingetreten ist.
Es besagt, dass Gesetzesvorhaben, die innerhalb einer Legislaturperiode nicht verabschiedet worden sind, von der neuen Regierung erneut dem Gesetzgebungsverfahren zugeführt werden müssen, beginnend mit einer Gesetzesinitiative. Im Klartext heißt das für NIS2: Gehe zurück auf Los!
"Die Umsetzung von NIS2 in Deutschland dürfte sich nun perspektivisch noch mehrere Monate hinziehen - im Worst Case kann es sogar noch bis zu einem Jahr dauern, bis die neuen nationalen Regelungen in Kraft treten", so Dennis-Kenji Kipker, Forschungsdirektor beim Cyberintelligence Institute in Frankfurt am Main. Was ihm zufolge auch für das KRITIS-Dachgesetz gilt.
Müssen es aber immer erst Gesetze sein?
Es wird also noch sehr lange keine klaren Vorschriften in Deutschland geben, wie Unternehmen ihr IT-Sicherheitsniveau heben und kritische Infrastrukturen besser vor Cyberangriffen geschützt werden müssen. Müssen es aber immer erst Gesetze sein? Unternehmen haben oder sollten jedenfalls ein Eigeninteresse daran haben, dass sie nicht in eine existenzbedrohliche Schieflage kommen, wenn Hacker ihre IT-Systeme lahmlegen. Die Frage ist nicht ob, sondern wann sie angegriffen werden und wie gut sie auf eine Hackerbedrohung vorbereitet sind – Stichwort: Notfallplan. Fälle von Insolvenzen wegen schwerer Cyberangriffe gibt es, auch wenn sie nicht die Regel sind.
"Die anhaltende und sich verstärkende Bedrohungslage durch Cyberangriffe – insbesondere auf kritische Infrastrukturen – erfordert ein akutes Handeln", sagt Sandra Balz. Sie ist IT-Sicherheitsexpertin und im Vorstand des Systemhaus-Netzwerks Kiwiko.
Es habe sich abgezeichnet, dass die politische Gemengelage nach dem Scheitern der Ampel so schwierig wurde, dass die NIS2-Umsetzung in ein nationales Gesetz noch in dieser Legislaturperiode kaum Chancen hatte. "Nun vergeht wertvolle Zeit, und die Unsicherheit hält an", so Balz. Doch nun erst einmal nichts zu tun und abzuwarten wäre ein "falsches Signal an die Unternehmen und Wirtschaft". Denn, so Balz: "NIS2 gilt und wer betroffen ist und nicht umgesetzt hat, kann auch zur Verantwortung gezogen werden".
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden
Die renommierten CRN Channel Award 2025 für Hersteller, Distributoren, IT-Dienstleister, Managerinnern und Manager: Jetzt bewerben – alle Infos hier