SECURITY12. November 2024

NIS2: Verwirrung und Chaos von Anfang an

Sebastian von Bomhard, Vorstand SpaceNet, kritisiert die schleppende Umsetzung von NIS2.
Sebastian von Bomhard, Vorstand SpaceNetSpaceNet

Die Umsetzung der Netzwerks- und Informationsrichtlinie (NIS2), die Europas Cybersicherheit eigentlich in allen EU-Mitgliedstaaten stärken soll, offenbart in Deutschland zahlreiche Versäumnisse der Regierung und wächst sich zu einer immer größeren Herausforderung aus.

von Sebastian von Bomhard, Vorstand SpaceNet

Was in­ter­na­tio­nal als wert­vol­ler Schritt zum Schutz der kri­ti­schen In­fra­struk­tur und Un­ter­neh­men vor Cy­ber­kri­mi­na­li­tät an­ge­kün­digt wur­de, wird hier­zu­lan­de durch ei­nen lang­wie­ri­gen par­la­men­ta­ri­schen Pro­zess deut­lich ver­zö­gert. Schon von An­fang an schien die Her­an­ge­hens­wei­se an die Um­set­zung der eu­ro­päi­schen Vor­ga­be in Deutsch­land eher chao­tisch als koordiniert.

Auch deshalb, da mit vermutlich 40.000 Unternehmen wesentlich mehr betroffen sind, als zunächst angenommen wurde – wobei für viele Unternehmen schwer festzustellen bleibt, ob sie nun unter diese Richtlinie fallen.

Es fehlt an Informationskampagnen und Kontaktpersonen, um Unternehmen bei der Umsetzung der komplexen Anforderungen von NIS2 zu unterstützen.”

Zeitplan bricht zusammen – keine NIS2-Umsetzung vor 2025

Autor Sebastian von Bomhard, SpaceNet
Sebastian von Bomhard (Jahrgang 1961) lei­tet als Vor­stand die Un­ter­neh­mens- und Wachs­tums­stra­te­gie der Spa­ce­Net (Website), die er im Jahr 1993 in Mün­chen ge­grün­det hat. Da­vor war er frei­be­ruf­lich als DV-Un­ter­neh­mens­be­ra­ter, Soft­ware-Ent­wick­ler und Jour­na­list für di­ver­se IT-Ma­ga­zi­ne tä­tig. Seit Be­ginn der In­ter­net-Ära in Deutsch­land en­ga­giert sich Se­bas­ti­an von Bom­hard netz­po­li­tisch und in wich­ti­gen Gre­mi­en der Bran­che. Er rief den Non-Pro­fit-Ver­ein MUC.DE ins Le­ben, der sich be­reits seit 1992 für die Ver­brei­tung des In­ter­nets in Mün­chen ein­setz­te. Er ge­hör­te au­ßer­dem seit sei­ner Grün­dung dem Auf­sichts­rat der DE­NIC an, der Re­gis­trie­rungs­stel­le für die deut­schen .de-Do­mains. Von 1998 bis 2008 hat­te er dort den Vor­sitz in­ne. Se­bas­ti­an von Bom­hard stu­dier­te Ma­the­ma­tik und Lo­gik in Hei­del­berg, Ber­lin und Wien. Er er­hielt sei­nen Ma­gis­ter­ab­schluss (rer. nat.) an der Universität Wien.
Als wäre das nicht problematisch genug, steht nun fest, dass der ursprünglich geplante Zeitplan in Deutschland gescheitert ist.

Das Gesetz, das eigentlich Mitte Oktober dieses Jahres in allen EU-Mitgliedstaaten eingeführt werden sollte, wird hierzulande wohl kaum vor März 2025 in Kraft treten.”

Damit verfehlt die Bundesregierung den Zeitplan der Europäischen Union um mindestens ein halbes Jahr. Der Nachweis, dass die Bundesrepublik trotz der Verzögerungen fest mit der Implementierung plant, schützt voraussichtlich zwar vor einer Klage der EU und es muss mit keinem Vertragsverletzungsverfahren gerechnet werden.

Dennoch offenbart sich durch den Aufschub auf 2025, dass die Regierung die Dringlichkeit von mehr Cybersicherheit immer noch grundsätzlich unterschätzt.”

Ende September äußerte schon der Bundesrechnungshof scharfe Kritik an der Regierung für ihren Umgang mit NIS2. Die Bonner Behörde bemängelt insbesondere, dass auf deutliche Defizite in der Umsetzung mit keinerlei Nachbesserungen reagiert wurde. Auch im Bundestag zeigt man sich mit dem schleppenden Engagement der Regierung unzufrieden.

Unterdessen hat der Bundesrat den Gesetzentwurf in nur einer Minute durchgewunken und dabei alle Abschlussempfehlungen der Ausschüsse, die sich im Vorfeld mit NIS2 beschäftigt haben, wortlos angenommen.

Für Fragen, auf die dringend Antworten gesucht werden, wie beispielsweise nach Übergangsfristen oder Sonderregelungen für Krankenhäuser, gab es in den rund 61 Sekunden keine Lösungen.”

Während die Netzwerk- und Informationsrichtlinie also weiter im Gesetzgebungsprozess steckt, floriert die Cyberkriminalität ungetrübt. Nach dem aktuellen „Bundeslagebild Cyberkriminalität“ des Bundesinnenministeriums vom Frühsommer haben Cyberangriffe aus dem Ausland im letzten Jahr erneut um 28 Prozent im Vergleich zum Vorjahr zugenommen. Kleine und mittlere Unternehmen ohne eigene IT-Abteilungen sind wie immer besonders hart getroffen. Nun könnten die Unternehmen zwar von sich aus tätig werden, aber nachdem die Details der neuen Regelung noch nicht feststehen, werden wichtige Investitionen aus leicht nach vollziehbaren Gründen zurückgestellt werden.

Tatsächlicher Mehrwert schwer auszumachen

Bevor die gemeldeten Sicherheitsvorfälle in Anzahl und Schwere ausgewertet und sich Unternehmen und Behörden in Zusammenarbeit erprobt haben, wird sich die Wirksamkeit von NIS2 kaum evaluieren lassen. Auch wenn die Idee von einheitlicher Cybersicherheit in der EU in vielen Aspekten attraktiv ist, bleiben in der Praxis zahlreiche Fragezeichen.

Mit dem Mangel an Kommunikation zu NIS2 und dem schleppenden Zeitmanagement wurde eine Atmosphäre der Unklarheit geschaffen, und durch immer mehr Betroffene von Cyberverbrechen explodieren auch die Kosten, die auf eine ohnehin wackelnde Wirtschaft zukommen.”

Der Branchenverband Bitkom schätzt die Verluste, die deutsche Unternehmen allein im Jahr 2023 aufgrund von Attacken verzeichnen mussten, auf fast 150 Milliarden Euro.

Handlungsempfehlungen für Unternehmen

Die Botschaft ist klar: Die Zeit drängt.

Auch wenn sich Unternehmen buchstäblich kaum leisten können, mit der Implementierung belastbarer IT-Sicherheit bis 2025 zu warten, sollten sie die Verzögerungen durch den Gesetzgebungsprozess nun so effizient wie möglich nutzen.”

Betroffene können jetzt Schritte unternehmen, um spätere zeitliche Engpässe bei der Implementierung zu vermeiden. Es bleibt zu hoffen, dass den Unternehmen für die Umsetzung mindestens so viel Zeit eingeräumt wird, wie sich die Regierung bei der Einführung gelassen hat.

Die stockende Umsetzung von NIS2 ist insgesamt ein Symptom eines größeren Problems. Die Ampelregierung reagierte auf konkrete Gefahren für die deutsche Wirtschaft jüngst wiederholt unzureichend.

Um die wirtschaftlichen Interessen des Landes nicht kontinuierlich im Ungewissen zu lassen, braucht es klarere Leitlinien und eine strategische Neuausrichtung hin zum Schutz der Wettbewerbsfähigkeit heimischer Betriebe.”

Es wäre Aufgabe der Regierung, den Unternehmen bei der Einführung verbesserter Sicherheitsmaßnahmen beizustehen und nicht, vermeidbare Belastungen als weitere Bedrohung der ohnehin brisanten Lage hinzuzufügen.Sebastian von Bomhard, SpaceNet

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert