„NIS2-Umsetzung und KRITIS-Dachgesetz endgültig gescheitert!“ So oder so ähnlich wird derzeit allerorten geschimpft und heftig kritisiert, dass die noch amtierende Regierung auch die Umsetzung dieser Gesetze – entscheidende Regelwerke für die Cybersicherheit sowie Sicherung kritischer Infrastrukturen – vergeigt hat. Damit befindet sie sich in guter Gesellschaft, denn die Europäische Kommission hat im Oktober 2024 eine offizielle Anfrage an 23 Mitgliedsstaaten gestellt, wie es denn um die nationale Umsetzung der NIS bestellt sei.
Manche Kommentare zu diesem Scheitern erwecken den Eindruck, dass die beiden EU-Richtlinien und ihre Umsetzungsgesetze in ihrer Wirkung noch irgendwo zwischen Datenschutzgrundverordnung (=nackte Panik) und „Tethered Caps“-Verordnung (=was soll der Mist?) gesehen werden. Entsprechend groß ist mancherorts die Erleichterung, sich mit diesen Themen erst einmal nicht beschäftigen zu müssen.
Update 30.07.2025
NIS-2-Regierungsentwurf ist verabschiedet.
Heute wurde vom Bundeskabinett der Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie (Bearbeitungsstand 25.07.2025) beschlossen.
Aufschieben ist aber grundfalsch!
Um zu Sinn und Zweck von NIS2 zu gelangen, möge man so denken, wie Hannibal Lecter einst anregte: „Simplifikation…lesen Sie bei Marc Aurel nach. Bei jedem einzelnen Ding die Frage, was ist es in sich selbst? Was ist seine Natur?“
Liest man die NIS2- und RCE-Richtlinien und die dazugehörigen Gesetzesentwürfe (NIS2-Umsetzungsgesetz, Stand Mai 2024 und KRITIS-Dachgesetz, Stand November 2024), so ist deren Ziel die Schaffung eines einheitlichen, sicheren Cyber- und physischen Sicherheitsniveaus. Ein Großteil der Texte befasst sich ohnehin mit Vorgaben für die EU-Mitgliedstaaten selbst, nicht für deren Wirtschaft.
In NIS2 sind für Unternehmen im Wesentlichen nur die §§ 21 und 22 von Bedeutung. Was dort gefordert wird, findet sich im Wesentlichen in den bekannten Standards ISO 27001/2 oder BSI-IT-Grundschutz wieder. Es geht also um die Sicherheit und den Schutz der Daten- und Informationstechnik einschließlich ihrer Infrastruktur – gemeinhin auch als Cybersicherheit bezeichnet.
Das KRITIS-Gesetz schlägt in die gleiche Kerbe, aber aus einer anderen Richtung, nämlich Resilienz für Wirtschaft, Industrie und Organisationen in Bezug auf physische Sicherheit und Business Continuity zu erreichen.
Beide Ansätze sind absolut richtig, absolut notwendig und gehören zusammen. Die Umsetzung der „Kernforderungen“ liegt im Interesse jedes Unternehmens und jeder Organisation und ihrer Verantwortlichen, wenn sie nicht den Crash durch einen erfolgreichen Cyber- oder physischen Angriff erleben wollen.
Die Empfehlung kann daher nur lauten: Wir alle müssen weitermachen und NIS2 und die KRITIS-Richtlinie weiter verfolgen! Sie sind nicht „gescheitert“, sie sind „nur“ aufgeschoben. Sie werden kommen. Es ist nur eine Frage der Zeit. Genauso wie IT-Knock-Outs und physische Angriffe und Ausfälle.
Die Inhalte der EU-Richtlinien und Gesetzesentwürfe sind im Wesentlichen bekannt. Es gibt nichts, was abhalten könnte, es zu tun. Richtiger: es gibt’s nichts, was abhalten darf es zu tun. Wer es aussitzen will, dem wird es um so schwerer auf die Füße fallen. NIS2 und RCE (KRITIS-Dachgesetz) sind der Sicherheitsgurt für Wirtschaft, Industrie und Verwaltung. Und wer würde ohne Sicherheitsgurt ins Auto oder auf den Everest steigen?
Machen Sie weiter mit jeder Aktivität, sowohl bei der physikalischen Sicherheit mit Schaffung von Resilienz als auch bei der Cybersicherheit Ihres Unternehmens: Eine risikoorientierte Aufstellung von IT und Sicherheit, klare Vorgaben und Verantwortlichkeiten, die Bildung von Schutzzonen auch für die IT nach dem Vorbild der physischen Sicherheit, die Absicherung von Kernprozessen etc. müssen in Ihrem eigenen Interesse sein. Und denken Sie an die gesamte IT. Nicht nur die vielen PCs, sondern auch Ihre Heizungs-, Klima-, Zutrittskontrollsysteme etc. sind mittlerweile vernetzt. Und vielleicht aus dem Internet angreifbar.
Die Themen müssen in der aktuellen „Sicherheitslage“ Aufmerksamkeit und genügend „Manpower“ erhalten. Wie die entsprechende deutsche Gesetzgebung im Detail aussehen wird, ist demgegenüber von untergeordneter Bedeutung. Die Kerninhalte sind bekannt und werden sich nicht grundlegend ändern. Viel wichtiger als die konkreten Formulierungen muss unser aller Eigeninteresse sein, Unternehmen, Industrie und Verwaltung und deren kritische Prozesse stabil und resilient abzusichern und damit verfügbar zu halten. Genau das ist der Ansatz, der hinter allen Bemühungen steht: Verfügbarkeit.
Traurig wäre es nur, wenn die derzeit enthaltene Idee, die behördliche IT von den Verpflichtungen zu mehr Cybersicherheit auszunehmen, Bestand haben sollte. Dieser gedankliche Ansatz schont zwar den einen oder anderen Staatshaushalt und folgt dem Trend zu schimmelnden Schulen und einstürzenden Brücken, aber eine IT-lose, weil ransomverschlüsselte Stadtverwaltung hat spürbare Auswirkungen. Das muss aber nicht die Wirtschaft interessieren, sondern jeden einzelnen Bürger.
