Mit dieser Kritik war nicht unbedingt zu rechnen: Der Bundesrechnungshof hat in einem Bericht Nachbesserungen am NIS-2-Umsetzungsgesetz gefordert. Die Bundesregierung gefährde die Informations- und Cybersicherheit in Deutschland.
"Informations- und Cybersicherheit aller Beteiligten gefährdet"
Wie der Tagesspiegel berichtet, wurde der Bericht des Bundesrechnungshofs an den Haushaltsausschuss und den Innenausschuss des Bundestags übermittelt. Die Rechnungsprüfer bemängeln, dass der vom Bundesinnenministerium erarbeitete und Ende Juli vom Bundeskabinett verabschiedete Gesetzentwurf zur Umsetzung der Netzwerk- und Informationssicherheitsrichtlinie (NIS-2) auch nach mehrfachen Ressortabstimmungen in zentralen Punkten hinter den selbst gesteckten Zielen zurückbleibe.
“Wichtige Regelungen sollen nicht für die gesamte Bundesverwaltung in einheitlicher Weise verbindlich sein. Die Folge wäre ein ‘Flickenteppich’, der die Informations- und Cybersicherheit aller Beteiligten gefährden kann”, schreibt der Bundesrechnungshof in dem Bericht zur NIS-2-Umsetzung.
Deutschlands oberste Prüfbehörde fordert in ihrem Bericht, den Gesetzesentwurf im parlamentarischen Verfahren nachzubessern. Insbesondere sollten
- die Ausnahmen von den zentralen Vorgaben zur Informations- und Cybersicherheit begrenzt werden und
- die Koordinatorin oder der Koordinator für Informationssicherheit sollte mit angemessenen Aufgaben und Befugnissen ausgestattet werden.
Auch seien die Bedarfe der Bundesbehörden an zusätzlichen Haushaltsmitteln kritisch zu hinterfragen.
Lese-Tipp: NIS-2-Richtlinie – diese Unternehmen sind betroffen
NIS-2-Umsetzgungsgesetz kommt verspätet
Spätestens bis zum 18. Oktober 2024 sollte die NIS-2-Richtlinie eigentlich durch nationale Gesetze in den Mitgliedstaaten umgesetzt sein. Die Pflichten zur Umsetzung von Cybersicherheitsmaßnahmen und zur Meldung von Cyberangriffen werden dann auf deutlich mehr Unternehmen in verschiedenen Branchen ausgeweitet. Allein in Deutschland rechnet das federführende Bundesministerium des Innern mit rund 29.500 Unternehmen, die zusätzlich zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet werden. Bislang waren die Maßnahmen auf Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen von besonderem öffentlichen Interesse beschränkt.
Schon jetzt steht fest: Das NIS-2-Gesetz wird in Deutschland verspätet in Kraft treten. Der Bundesrat wird sich am 27. September mit dem Gesetzentwurf befassen. Er muss zwar dem Gesetz nicht zustimmen, hat aber laut Tagesspiegel bereits Änderungswünsche angemeldet. Frühestens in der zweiten Oktoberwoche könnte sich dann auch der Bundestag mit dem NIS-2-Umsetzungsgesetz befassen. Die kritischen Punkte hat der Bundesrechnungshof mehr als deutlich aufgezeigt.
Quelle: Entwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz