NIS2-Umsetzungsgesetz zwischen deutschem Föderalismus und Weltpolitik
Über ein Jahr arbeitet das Innenministerium bereits am NIS2-Umsetzungsgesetz. Die Parlamentarier scharren schon mit den Hufen und wollen es nachschärfen.
(Bild: dpa, Oliver Berg)
Deutschland muss wie alle EU-Mitgliedsstaaten die Richtline NIS2 "für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union" in nationales Recht überführen. Doch bis zur Umsetzung wird es noch dauern. Der neue Referentenentwurf für das NIS2-Umsetzungs-und-Cyberstärkungs-Gesetz des Bundesministeriums des Innern wird frühestens im Sommer ins Kabinett gehen. Eine Verbändeanhörung durch das BMI ist für Anfang Juni geplant, die Frist zur Kommentierung läuft bis Ende Mai. Anschließend könnten letzte Feinarbeiten vorgenommen werden.
Die bereits mit den anderen Ministerien vorabgestimmte und damit als Vorlage für eine baldige Kabinettsbefassung gedachte jetzige Fassung wird es somit frühestens kurz vor der Sommerpause des Bundestages in die dortige Beratung schaffen.
Kritik am Verfahren kommt vom IT-Wirtschaftsverband Bitkom: "Angesichts bestehender Fortschritte in anderen Mitgliedsstaaten riskieren wir aktuell das Ziel eines harmonisierten Rechtsrahmens in der EU", sagt Felix Kuhlenkamp, Referent für Sicherheitspolitik. Derzeit hängen viele EU-Staaten bei der Umsetzung noch hinter dem Zeitplan zurück, nur Ungarn hat die NIS2 bereits zu Jahresbeginn in geltendes Recht überführt. Anders als eine Verordnung auf EU-Ebene sieht die NIS2-Richtlinie nur ein Mindestniveau vor: Mitgliedstaaten dürfen darüber hinausgehen, soweit dem nicht anderes EU-Recht entgegensteht – etwa speziellere Regelungen wie für den Finanzsektor.
Auch im Bundestag sorgt die weitere Verzögerung für wenig Begeisterung. Es sei gut, sagt Konstantin von Notz, der Grünen-Fraktionsvize und Vorsitzende des Parlamentarischen Kontrollgremiums für die Nachrichtendienste, dass der neue Entwurf vorliege. Das Gesetz sei längst überfällig: "Der Zeitplan für die weiteren parlamentarischen Beratungen ist mit Blick auf die durch die EU vorgegebenen Umsetzungsfristen nun leider extrem ambitioniert." Der FDP-Innenpolitker Manuel Höferlin verweist etwas zurückhaltender darauf, dass einige Regelungsinhalte ja bereits mit dem Koalitionsvertrag vereinbart worden seien. Eigentlich müssten alle europäischen Umsetzungen und damit auch das deutsche Umsetzungsgesetz bereits zum 17. Oktober in Kraft sein.
Klarstellungen für Kritische Infrastruktur
Mit dem deutschen "NIS2UmsuCG" muss dabei vor allem die Übertragung ins deutsche Recht gelingen, fordert Bitkom-Referent Kuhlenkamp: "Der neue Entwurf muss sicherstellen, dass Unternehmen in Deutschland die notwendige Rechtssicherheit erhalten, um die zahlreichen neuen Anforderungen und Pflichten umzusetzen." Tatsächlich enthält die neue Fassung einige definitorische Klarstellungen und Abgrenzungen gegenüber vorangegangenen Vorschlägen des Bundesinnenministeriums. So wurde etwa die Definition von Rechenzentren mit dem aktualisierten Entwurf angepasst und enger gefasst. Das BSI soll nur noch dann die Datenschutzaufsichtsbehörden über Vorfälle informieren müssen, wenn ein Verstoß gegen den Schutz personenbezogener Daten nach DSGVO "offensichtlich" ist.
Klargestellt wird mit der aktuellen Version, dass Betreiber kritischer Anlagen nach dem noch ausstehenden Kritis-Dachgesetz, das Regelungen zur physischen Sicherheit kritischer Infrastrukturen enthält, stets "besonders wichtige Einrichtungen" im Sinne der NIS2-Umsetzung seien. Hier will das Bundesinnenministerium vermeiden, dass es unbeabsichtigt Schutzlücken gibt.
Öffentliche Einrichtungen: Es bleibt kompliziert
Während die Fachverbände vor allem sie betreffende Teilaspekte schauen, spielten sich in den vergangenen Monaten teils wilde Diskussionen zwischen und innerhalb der Ministerien und auf Bundes-, Landes- und Kommunalebene ab. Bereits in früheren Versionen wurde klargestellt, dass die Kommunen aus dem Vorhaben explizit ausgenommen werden. Die Länder hatten verfassungsrechtliche Bedenken vorgetragen und daher die Nutzung einer entsprechenden Klausel der EU-Richtlinie verlangt. Denn mit der NIS2 werden also nicht nur die Betreiber Kritischer Infrastruktur, sondern auch öffentliche Einrichtungen zu mehr IT-Sicherheit verpflichtet – in Deutschland aber nun wohl im nächsten Schritt nur die des Bundes. Die müssen künftig ihre Netze und IT entsprechend BSI-Grundschutz und vom BSI festzulegenden Mindeststandards schützen. Damit wird das, was bereits heute im bisherigen BSI-Gesetz angelegt ist, noch einmal konkretisiert.
Ausgenommen vom Anwendungsbereich der NIS2 wurden mit dem neuen Entwurf die Gesellschaft für Telematik (Gematik) und Rechenzentren, Cloudcomputingdienste, Vertrauensdiensteanbieter. Außerdem weitere, wenn diese Gebietskörperschaften gehören, die nicht der Bund sind, für diesen nicht gegen Entgelt tätig sind und zudem landesrechtlich reguliert sind. Sprich: Der Bund schiebt den Ländern hier die Regulierung unter, wenn deren IT-Dienstleister auch für den Bund tätig sein sollen.
Ebenfalls weitgehend ausgenommen sind Auswärtiges Amt, Bundesverteidigungsministerium und Bundeswehr, Bundesnachrichtendienst und Bundesamt für Verfassungsschutz. Für das Außenministerium soll aber eine eigene Sicherheitsvorgabe entstehen, die den NIS2-Vorschriften äquivalenten Schutz vorschreiben.
Ja zu einem Bundes-CISO
Damit auch im Bund tatsächlich umgesetzt wird, soll nicht nur ein Zuständiger in jedem Ressort benannt, sondern auch ein Informationssicherheitsbeauftragter des Bundes (CISO Bund) eingeführt werden. Der könnte in bestimmten, dringenden Situationen auch unmittelbar IT-Maßnahmen anordnen, so der Entwurf. Unklar ist derzeit aber noch, wer diese Rolle tatsächlich ausfüllen soll: Aufgrund der weitgehenden Befugnisse, auch in die Geschäftsbereiche der jeweiligen Ministerien hinein agieren zu dürfen, ist das eine auch politisch heikle Aufgabe.
Gleiches gilt auch für die Frage des Schwachstellenmanagements. Hoch umstritten ist, ob die Weitermeldung von Sicherheitslücken an die Anbieter etwa auch Meldungen aus dem Sicherheitsapparat umfassen sollen. Der Entwurf aus dem Bundesinnenministerium bleibt hier merklich hinter den Vorgaben des Koalitionsvertrags zurück. Der FDP-Politiker Manuel Höferlin fordert deshalb "ein effektives Schwachstellenmanagement, bei dem Schwachstellen so schnell wie möglich geschlossen, statt offengehalten werden und die IT-Systeme aller staatlichen Stellen regelmäßig externen Penetrationstests unterzogen werden." Hier wäre im parlamentarischen Verfahren also noch Nachschärfungspotenzial vorhanden.
Kritische Komponenten: Mehr Verbotsmöglichkeiten – aber auch praktikabel?
Besondere Beachtung wird in der späteren Debatte absehbar dennoch vor allem der in den Referentenentwürfen seit Dezember fast unveränderte Paragraf 41 finden: Kritische Komponenten. Seit Jahren wird intensiv über die Untersagung des Einsatzes kritischer Komponenten gestritten. Die bisherige Regelung im BSI-Gesetz galt bislang ausschließlich für öffentlich zugängliche Mobilfunknetze – nicht für das Festnetz, nicht für andere Kommunikationsinfrastrukturen.
Mit der deutschen NIS2-Umsetzung soll diese Regelung zur Abwehr von für politisch unzuverlässig erachteten Lieferanten oder Herkunftsländer auf jeden erstmaligen Einsatz von IKT-Produkten in kritischen Infrastrukturen insgesamt ausgeweitet werden. Die Hersteller müssen eine Erklärung abgeben, dass sie nichts Böses im Schilde führen und keinen fremden Mächten dienen. Ob das glaubwürdig ist, prüfen dann Innenministerium und dessen nachgeordnete Behörden. Sprich: Auch ein Switch oder ein Edge-Router eines 5G-Campusnetzes könnte dann vom Bundesinnenministerium verboten werden.
Hier dürfte spannend werden, wie sich der Bundestag verhält: Während die Bundesregierung sich auf dem politisch rutschigen Parkett der Abhängigkeit von China etwas zurückhält, sind die Abgeordneten im Bundestag weniger daran gebunden. Er wolle das Gesetz nachschärfen, sagt der Grünen-Abgeordnete von Notz, "gerade beim Blick auf den Umgang mit kritischen Komponenten." Das Ziel für ihn sei klar: "Je weniger Komponenten von Anbietern aus autoritären Staaten in unseren kritischen Infrastrukturen verbaut sind, desto besser." Die Fehler der Vergangenheit, sich in zu starke Abhängigkeit von autoritären Staaten zu begeben, sollten nicht wiederholt werden.
Die Praxis des vorgeschlagenen Weges droht dabei einige Probleme mit sich bringen: Zwei Monate müssen die Betreiber kritischer Anlagen abwarten, ob das BMI ihnen den Ersteinsatz einer Komponente verbietet, so der Gesetzestext. Danach gilt die automatisch als genehmigt. Wie groß der Verwaltungsaufwand in der Realität sein wird und welche Prüftiefe dann realistisch ist, bleibt dabei vollkommen unklar. Und auch, was passiert, wenn ein Betreiber auf womöglich fehlende Alternativen verweist, ist unklar. Was damit in jedem Fall erreicht werden soll: Ein besserer Überblick über eingesetzte Komponenten und deren Hersteller. Was daraus an Konsequenzen folgen kann, bleibt vorwiegend eine politische Frage – im Extremfall aber wäre eine gesetzliche Befugnis geschaffen, die Komponenten eines bestimmten Herstellers bundesweit in der Kritischen Infrastruktur zu verbieten.
(jam)
