NIS2 und KRITIS-Dachgesetz: Auf keinen Fall gescheitert! 

| Werner Metter­hausen, Peter Loibl

„NIS2-Umsetzung und KRITIS-Dachgesetz endgültig gescheitert!“ So oder so ähnlich wird derzeit aller­orten geschimpft und heftig kriti­siert, dass die noch amtie­rende Regierung auch die Umsetzung dieser Gesetze – entschei­dende Regel­werke für die Cyber­si­cherheit sowie Sicherung kriti­scher Infra­struk­turen – vergeigt hat. Damit befindet sie sich in guter Gesell­schaft, denn die Europäische Kommission hat im Oktober 2024 eine offizielle Anfrage an 23 Mitglieds­staaten gestellt, wie es denn um die nationale Umsetzung der NIS bestellt sei. 

Manche Kommentare zu diesem Scheitern erwecken den Eindruck, dass die beiden EU-Richt­linien und ihre Umset­zungs­ge­setze in ihrer Wirkung noch irgendwo zwischen Daten­schutz­grund­ver­ordnung (=nackte Panik) und „Tethered Caps“-Verordnung (=was soll der Mist?) gesehen werden. Entspre­chend groß ist mancherorts die Erleich­terung, sich mit diesen Themen erst einmal nicht beschäf­tigen zu müssen. 

Aufschieben ist aber grund­falsch!  

Um zu Sinn und Zweck von NIS2 zu gelangen, möge man so denken, wie Hannibal Lecter einst anregte: „Simplifikation…lesen Sie bei Marc Aurel nach. Bei jedem einzelnen Ding die Frage, was ist es in sich selbst? Was ist seine Natur?“ 

Liest man die NIS2- und RCE-Richt­linien und die dazuge­hö­rigen Geset­zes­ent­würfe (NIS2-Umset­zungs­gesetz und KRITIS-Dachgesetz), so ist deren Ziel die Schaffung eines einheit­lichen, sicheren Cyber- und physi­schen Sicher­heits­ni­veaus. Ein Großteil der Texte befasst sich ohnehin mit Vorgaben für die EU-Mitglied­staaten selbst, nicht für deren Wirtschaft. 

In NIS2 sind für Unter­nehmen im Wesent­lichen nur die §§ 21 und 22 von Bedeutung. Was dort gefordert wird, findet sich im Wesent­lichen in den bekannten Standards ISO 27001/2 oder BSI-IT-Grund­schutz wieder. Es geht also um die Sicherheit und den Schutz der Daten- und Infor­ma­ti­ons­technik einschließlich ihrer Infra­struktur – gemeinhin auch als Cyber­si­cherheit bezeichnet. 

Das KRITIS-Gesetz schlägt in die gleiche Kerbe, aber aus einer anderen Richtung, nämlich Resilienz für Wirtschaft, Industrie und Organi­sa­tionen in Bezug auf physische Sicherheit und Business Continuity zu erreichen. 

Beide Ansätze sind absolut richtig, absolut notwendig und gehören zusammen. Die Umsetzung der „Kernfor­de­rungen“ liegt im Interesse jedes Unter­nehmens und jeder Organi­sation und ihrer Verant­wort­lichen, wenn sie nicht den Crash durch einen erfolg­reichen Cyber- oder physi­schen Angriff erleben wollen. 

Die Empfehlung kann daher nur lauten: Wir alle müssen weiter­machen und NIS2 und die KRITIS-Richt­linie weiter verfolgen! Sie sind nicht „gescheitert“, sie sind „nur“ aufge­schoben. Sie werden kommen. Es ist nur eine Frage der Zeit. Genauso wie IT-Knock-Outs und physische Angriffe und Ausfälle.  

Die Inhalte der EU-Richt­linien und Geset­zes­ent­würfe sind im Wesent­lichen bekannt. Es gibt nichts, was abhalten könnte, es zu tun. Richtiger: es gibt’s nichts, was abhalten darf es zu tun. Wer es aussitzen will, dem wird es um so schwerer auf die Füße fallen. NIS2 und RCE (KRITIS-Dachgesetz) sind der Sicher­heitsgurt für Wirtschaft, Industrie und Verwaltung. Und wer würde ohne Sicher­heitsgurt ins Auto oder auf den Everest steigen? 

Machen Sie weiter mit jeder Aktivität, sowohl bei der physi­ka­li­schen Sicherheit mit Schaffung von Resilienz als auch bei der Cyber­si­cherheit Ihres Unter­nehmens: Eine risiko­ori­en­tierte Aufstellung von IT und Sicherheit, klare Vorgaben und Verant­wort­lich­keiten, die Bildung von Schutz­zonen auch für die IT nach dem Vorbild der physi­schen Sicherheit, die Absicherung von Kernpro­zessen etc. müssen in Ihrem eigenen Interesse sein. Und denken Sie an die gesamte IT. Nicht nur die vielen PCs, sondern auch Ihre Heizungs‑, Klima‑, Zutritts­kon­troll­systeme etc. sind mittler­weile vernetzt. Und vielleicht aus dem Internet angreifbar.    

Die Themen müssen in der aktuellen „Sicher­heitslage“ Aufmerk­samkeit und genügend „Manpower“ erhalten. Wie die entspre­chende deutsche Gesetz­gebung im Detail aussehen wird, ist demge­genüber von unter­ge­ord­neter Bedeutung. Die Kernin­halte sind bekannt und werden sich nicht grund­legend ändern. Viel wichtiger als die konkreten Formu­lie­rungen muss unser aller Eigen­in­teresse sein, Unter­nehmen, Industrie und Verwaltung und deren kritische Prozesse stabil und resilient abzusi­chern und damit verfügbar zu halten. Genau das ist der Ansatz, der hinter allen Bemühungen steht: Verfüg­barkeit.   

Traurig wäre es nur, wenn die derzeit enthaltene Idee, die behörd­liche IT von den Verpflich­tungen zu mehr Cyber­si­cherheit auszu­nehmen, Bestand haben sollte. Dieser gedank­liche Ansatz schont zwar den einen oder anderen Staats­haushalt und folgt dem Trend zu schim­melnden Schulen und einstür­zenden Brücken, aber eine IT-lose, weil ransom­ver­schlüs­selte Stadt­ver­waltung hat spürbare Auswir­kungen. Das muss aber nicht die Wirtschaft inter­es­sieren, sondern jeden einzelnen Bürger.