Schriftliche Stellungnahme zum Referentenentwurf des NIS2UmsuCG vom 24.06.2024

Mit dem vorliegenden Referentenentwurf des NIS2UmsuCG wird die Umsetzung der EU NIS2-Richtlinie (2022/2555) angestrebt. Damit einher geht eine Ausweitung des Geltungsbereiches von Betreibern kritischer Anlagen (ehem. sogenannte KRITIS-Betreiber) und der als wichtige und besonders wichtige Einrichtungen definierten sonstigen Unternehmen.

Das NIS2UmsuCG ist ein Artikelgesetz, welches insgesamt über 23 Gesetze und Verordnungen ändern soll. Unsere Kommentierung bezieht sich hierbei ausschließlich auf die unter Artikel 1 und in Teilen unter Artikel 2 eingebrachte Änderung des BSI-Gesetzes.

Der Gesetzesentwurf bringt grundsätzlich einige Klarheiten und tiefgreifende Regulierungen im KRITIS-Umfeld mit sich. Gleichzeitig bewirken unnötige Komplexität und Ausschlüsse eine zerklüftete Regelung insgesamt, aber insbesondere auch der KRITIS-Sektoren. Im Ergebnis ergibt sich die Einstufung einer konkreten Einrichtung als auch der daraus abzuleitenden erforderlichen Tätgikeiten leider erst nach ausführlicher und individueller Betroffenheitsanalyse.

Mit dem neuen Referentenentwurf vom 24.06.2024 werden aus unserer Sicht keine Verbesserungen zum Referentenentwurf vom 07.05.2024 erreicht und lediglich neue Defizite eingebaut.

Zur Berücksichtigung der Zivilgesellschaft (gemäß Kolaitionsvertrag!) stellt die AG KRITIS fest:

Definitionen wie „kritische Anlagen“ können § 58 entsprechend durch Rechtsverordnungen konkretisiert werden. Diese werden durch das BMI im Zusammenwirken mit anderen Ministerien erarbeitet. Bereits im Entwurf vom 07.05.2024 wurde in Absatz 4 die Einbindung der Zivilgesellschaft für die Definition von „kritischen Anlagen“ entfernt. Im aktuellen Referentenentwurf wurde diese fehlgeleitete Anpassung auf alle 5 Absätze des Artikels ausgeweitet und betrifft somit die Definition von kritischen Anlagen, erheblichen Sicherheitsvorfällen, die Verfahren zur Erteilung von Sicherheitszertifikaten, wann die Sicherheitszertifikate verpflichtend sind, sowie das Sicherheitskennzeichen. Entgegen der bisherigen Praxis sollen Akteure aus der Wirtschaft und der Wissenschaft nicht (mehr) eingebunden werden.

Für alle Regelungen des § 58 fordern wir weiterhin die verbindliche Einbindung der Zivilgesellschaft, die bisher und offenbar auch zukünftig weiterhin keine Berücksichtigung finden soll.

Abschließend betonen wir als AG KRITIS erneut, dass ein transparenter Prozess in der Gesetzgebung sowie umfassende und zeitlich angemessene Beteiligungsverfahren der Wirtschaft, Wissenschaft und Zivilgesellschaft bei derart tiefgreifenden und weitreichenden Gesetzgebungsverfahren dringend geboten ist.

Insbesondere hinsichtlich einer einheitlichen und kongruenten Regulierung im KRITIS-Umfeld betrachten wir als AG KRITIS eine gleichzeitige Veröffentlichung und Diskussion von Gesetzesentwürfen zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) und CER-Richtlinie (KRITIS-Dachgesetz) sowie der im NIS2UmsuCG vorgesehenen Verordnungen für zwingend erforderlich.

Es scheint, als sei keine vollständige Harmonisierung der Regelungen zwischen den beiden Gesetzesvorlagen erfolgt – was aktuell aufgrund der mangelnden Transparenz nicht überprüfbar ist. Übrig bleibt eine unsichere Lage bei allen potenziell betroffenen Einrichtungen und ihren Lieferketten, sowie bei allen verantwortlichen Aufsichtsbehörden und Zuständigen für die Umsetzung und Einhaltung der kommenden Regulierungen als auch bei der Wissenschaft, Forschung und zuletzt auch der fachkundigen Bevölkerung, die willens sind, ihren Beitrag durch Fachexpertise ehrenamtlich und kostenfrei beizutragen, dies aber nicht angemessen in den intransparenten Dialog einbringen können.

Alle NIS2UmsuCG Referentenentwürfe findet ihr hier:

Schriftliche Stellungnahme zum Gesetzentwurf des Thüringer Brand- und Katastrophenschutzgesetzes

Der Innen- und Kommunalausschuss des Thüringer Landtags hat in seiner 57. Sitzung am 15. März 2024 beschlossen, ein schriftliches Anhörungsverfahren durchzuführen zum Gesetzentwurf des Thüringer Gesetzes über den Brandschutz, die Allgemeine Hilfe und den Katastrophenschutz (Thüringer Brand- und Katastrophenschutzgesetz – ThürBKG).

Der zur Diskussion stehende Gesetzentwurf wurde auf Drucksache 7/9658 von den drei Regierungsfraktionen DIE LINKE, der SPD und BÜNDNIS90/DIE GRÜNEN eingebracht. Auch der AG KRITIS wurde dabei Gelegenheit zu einer schriftlichen Stellungnahme gegeben.

Wir empfehlen dabei unter anderem allen Bundesländern folgende Maßnahmen gemeinsam umzusetzen:

1. Ausnahmslos alle Behörden und Organisationen mit Sicherheitsaufgaben (BOS) der Bundesländer müssen verbindlich das abhörsichere und hochverfügbare BOS-Digitalfunknetz nutzen. Denn im Bereich der nicht-polizeilichen Gefahrenabwehr (Rettungsdienst, Feuerwehr, Katastrophenschutz) kommen bundesweit aktuell immer noch analoger Sprechfunk und unverschlüsselte digitale Alarmierungstechnik zum Einsatz. Sie können lokal einfach abgehört werden und wurden in der Vergangenheit im großen Umfang im Internet frei zugänglich gemacht. Lediglich die Polizei nutzt flächendeckend den abhörsicheren BOS-Digitalfunk.

2. Die Alarmierung der Einsatzkräfte (insbesondere Rettungsdienst, Feuerwehr, Psychosoziale Notfallversorgung) muss zwingend verschlüsselt erfolgen.

3. Die Mittel zur Warnung der Bevölkerung müssen flächendeckend vorhanden und regelmäßig getestet werden.

4. Wir fordern die Errichtung eines Kommunal-CERT in jedem Landes-CERT in allen Bundesländern. Dieses sollte für alle Einrichtungen auf kommunaler Ebene zum Einsatz kommen, wie z.B. Rathäuser, Kreisverwaltungen und Rettungsleitstellen. Nur so kann das Gemeinwesen der Bundesländer auf allen Ebenen resilienter gestaltet werden, insbesondere gegen Bedrohungen aus dem Cyber-Raum und großflächige Ausfälle landesweiter IT-Infrastruktur. Denn in einigen Bundesländern ist das Landes-CERT nicht zuständig für kommunale Einrichtungen, sondern nur für Behörden und Ämter des Landes und landeseigene Betriebe.

Der Gesetzentwurf zielt vordergründig auf den Bereich des Brand- und Katastrophenschutzes im engeren Sinne ab. Um eine gesamtstaatliche und gesamtgesellschaftliche Resilienz zu erreichen, wäre ein wesentlich breiterer Ansatz erforderlich. Hierfür sei verwiesen auf das Sendai-Rahmenwerk für Katastrophenvorsorge 2015–2030, sowie dessen nationale Umsetzung durch die Resilienzstrategie des Bundes.

Titelbild wurde von Alupus angefertigt und via Wikimedia Commons veröffentlicht. Das Bild steht unter CC BY-SA 3.0 Lizenz.

Schriftliche Stellungnahme zum Referentenentwurf des NIS2UmsuCG vom 07.05.2024

Mit dem vorliegenden Referentenentwurf des NIS2UmsuCG vom 07.05.2024 wird die Umsetzung der EU NIS2-Richtlinie (2022/2555) angestrebt. Damit einher geht eine Ausweitung des Geltungsbereiches von Betreibern kritischer Anlagen (ehem. sogenannte KRITIS-Betreiber) und der als wichtige und besonders wichtige Einrichtungen definierten sonstigen Unternehmen.

Das NIS2UmsuCG ist ein Artikelgesetz, welches insgesamt über 23 Gesetze und Verordnungen ändert. Unsere Kommentierung bezieht sich hierbei ausschließlich auf die unter Artikel 1 und in Teilen unter Artikel 2 eingebrachte Änderung des BSI-Gesetzes.

Der Gesetzesentwurf bringt einige Klarheiten und tiefgreifende Regulierungen im KRITIS-Umfeld mit sich. Gleichzeitig bewirken unnötige Komplexität und Ausschlüsse eine zerklüftete Regelung insgesamt, aber insbesondere auch der KRITIS-Sektoren. Im Ergebnis ergibt sich die Einstufung einer konkreten Einrichtung als auch der daraus abzuleitenden erforderliochen Tätgikeiten leider erst nach ausführlicher und individueller Betroffenheitsanalyse.

Für den Sektor Staat und Verwaltung argumentiert die AG KRITIS:

Für den KRITIS Sektor Staat und Verwaltung gelten im Zuge des NIS2UmsuCG unzählige Sonderregelungen und Ausnahmen. Damit unterliegt die Verwaltung insbesondere des Bundes wieder zahlreichen Sonderregelungen und die Verwaltungen auf Kommunaler und Bundeslandebene werden vollständig außen vor gelassen und überhaupt nicht adressiert. Dies ist im Hinblick auf die vielen und teilweise sehr weitreichenden Cybersicherheitsvorfälle wie Landkreis Anhalt Bitterfeld oder SIT.NRW (über 100 Kommunen waren monatelang betroffen und faktisch handlungsunfähig!) nicht mehr nachvollziehbar, offensichtlich soll der Jahrzehnte gepflegte Investitionsstau weiterhin aufrecht gehalten werden. Die Kette an Cybersicherheitsversagen und Verantwortungsdiffusion kann beispielsweise unter der ehrenamtlich gepflegten Webseite https://kommunaler-notbetrieb.de eingesehen werden und erweitert sich derweil kontinuierlich.

Abschließend betonen wir als AG KRITIS erneut, dass ein transparenter Prozess in der Gesetzgebung sowie umfassende und zeitlich angemessene Beteiligungsverfahren der Wirtschaft, Wissenschaft und Zivilgesellschaft bei derart tiefgreifenden und weitreichenden Gesetzgebungsverfahren dringend geboten ist.

Insbesondere hinsichtlich einer einheitlichen und kongruenten Regulierung im KRITIS-Umfeld betrachten wir als AG KRITIS eine gleichzeitige Veröffentlichung und Diskussion von Gesetzesentwürfen zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) und CER-Richtlinie (KRITIS-Dachgesetz) für zwingend erforderlich.

Es scheint, als sei keine vollständige Harmonisierung der Regelungen zwischen den beiden Gesetzesvorlagen erfolgt – was aber aktuell aufgrund der mangelnden Transparenz nicht überprüfbar ist. Übrig bleibt eine unsichere Lage bei allen potentiell betroffenen Einrichtungen und ihren Lieferketten als auch bei allen verantwortlichen Aufsichtsbehörden und Zuständigen für die Umsetzung und Einhaltung der kommenden Regulierungen sowie der Wissenschaft, Forschung und zuletzt auch der fachkundigen Bevölkerung, die willens sind, ihren Beitrag durch Fachexpertise ehrenamtlich und kostenfrei beizutragen, dies aber nicht angemessen in den intransparenten Dialog einbringen können.

Alle NIS2UmsuCG Referentenentwürfe findet ihr hier:

Schriftliche Stellungnahme für Anhörung im Schleswig-Holsteinischen Landtag zum Thema Cybersicherheit

Der Wirtschafts- und Digitalisierungsausschuss des Schleswig-Holsteinischen
Landtags führt eine Anhörung zum „Bericht über die Cybersicherheit unserer Infrastruktur“, Bericht der Landesregierung, Drucksache 20/1584 durch und hat unter anderem die AG KRITIS um schriftliche Stellungnahme gebeten.

Der zur Diskussion stehende Bericht ist unter Drucksache 20/1584 und die Beratung des Landtags darüber im Plenarprotokoll einsehbar.

Unsere Stellungnahme findet sich hier zum Download, alle Stellungnahmen sind als Umdruck beim Landtag Schleswig-Holstein zu finden.

Anhörung zu 27. Sitzung des Ausschusses für Inneres, Sicherheit und Ordnung am 11.12.2023 im Abgeordnetenhaus von Berlin

Am 11. Dezember 2023 war Manuel ‚HonkHase‘ Atug, Gründer und Sprecher der unabhängigen AG KRITIS, in der Anhörung des Ausschusses für Inneres, Sicherheit und Ordnung im Abgeordnetenhauus von Berlin als Sachverständiger zum Thema „Schutz vor Cyberangriffen: Stand und Entwicklungen“ geladen. Die mündliche Stellungnahme im Ausschuss veröffentlichen wir hier.

„Wie steht es um die gesamte Sicherheit oder die Sicht der Sicherheit in Berlin? – Kurz und knapp: Gruselig und desolat wie in allen Bundesländern und auch auf der Bundesebene, weil alle von Befugnissen, Tätern oder Palantir und KI und Quellen-TKÜ reden, statt von Resilienz und Basissicherheitsmaßnahmen. Ich komme immer wieder auf diese zwei Punkte, weil das die wirkliche Abwehr von Angriffen ist, und dann verpuffen die wirkungslos.“ Manuel Atug in der Anhörung.

Die Anhörung ist öffentlich verfügbar und die Aufzeichnung kann hier abgerufen werden.

Stellungnahme zu KRITIS in der Enquetekommission „Krisen- und Notfallmanagement“ im Landtag NRW

Am 01. März 2024 war Manuel ‚HonkHase‘ Atug, Gründer und Sprecher der unabhängigen AG KRITIS, in der Anhörung der Enquetekommission „Krisen- und Notfallmanagement“ – durch die Lehren der Vergangenheit die Zukunft sicher gestalten zum Themenkomplex „KRITIS“ als Sachverständiger geladen. Neben der mündlichen Stellungnahme im Ausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.

„Machen ist wie dran denken, nur krasser.“ Manuel Atug in der Anhörung.

Die Anhörung ist öffentlich verfügbar und die Aufzeichnung kann hier abgerufen werden.

Stellungnahme zum Ref-E des KritisDachgesetz

Am 21.12.2023 kontaktierte uns das Bundesministerium des Inneren und bat um Stellungnahme zum aktuellen Referentenentwurf der Neufassung des Kritis-Dachgesetz.

Erstmalig bekamen wir die neue Version in einem offenen Format im Änderungsmodus geschickt – dieses Vorgehen möchten wir ausdrücklich loben. Im Vergleich zu allen anderen Kommentierungen und Stellungnahmen waren wir zum ersten Mal direkt in der Lage alle Änderungen direkt zu sehen – das hat viel Zeit gespart.

Ziel der Richtlinie soll sein, „einheitliche Mindestverpflichtungen für kritische Einrichtungen festzulegen und deren Umsetzung durch kohärente, gezielte Unterstützungs- und Aufsichtsmaßnahmen zu garantieren.“

Dazu stellen wir fest: Der vorgelegte Gesetzesentwurf enthält keine Mindestverpflichtungen. Stattdessen regelt der Gesetzesentwurf, welche Behörde die Verordnungen erlassen müssen durch die wiederum Mindestverpflichtungen vorgeben würden.

Ob also die vorgesehenen Mindestverpflichtungen zum Ziel der Erhöhung der Resilienz der kritischen Anlagen und Systeme führen würden, lässt sich anhand des vorgelegten Referentenentwurfes nicht bewerten. Konkrete Handlungsanweisungen für KRITIS-Betreiber sind nicht enthalten.

Unsere Stellungnahme steht hier zum Download bereit:

Den bewerteten Referentenentwurf stellen wir hier zur Verfügung:

Herzlichen Dank für die Erlaubnis das Bild zu verwenden, es stammt von: C. Müller, und steht unter CC BY-SA 3.0 Lizenz – via Wikimedia Commons

Schriftliche Stellungnahme für Anhörung im Thüringer Landtag zur Änderung des Thüringer Brand- und Katastrophenschutzgesetzes

Der Innen- und Kommunalausschuss des Thüringer Landtags hat in seiner 53. Sitzung am 30. November 2023 beschlossen, ein schriftliches Anhörungsverfahren durchzuführen zum beratenen Gesetz zur Änderung des Thüringer Brand- und Katastrophenschutzgesetzes.

Der zur Diskussion stehende Gesetzentwurf wurde auf Drucksache 7/8909 von den drei Regierungsfraktionen DIE LINKE, SPD und BÜNDNIS90/DIE GRÜNEN eingebracht .

Teil der Anhörung ist auch ein Entwurf der FDP. Dieser Entwurf regelt ausschließlich die Altersversorgung von Feuerwehrangehörigen. Da die AG KRITIS diese Fragestellungen bisher nicht diskutiert hat, sehen wir von einer Stellungnahme zur entsprechenden Drucksache 7/8910 ab.

Der Regierungsentwurf will die alten analogen und unverschlüsselten Alarmierungsnetze der 14 Rettungsleitstellen durch moderne Technologie ersetzen. In unserer Stellungnahme geben wir Empfehlungen für daraus folgende technische Entscheidungen.

Unsere Stellungnahme findet sich hier zum Download.

Titelbild wurde von Alupus angefertigt und via Wikimedia Commons veröffentlicht. Das Bild steht unter CC BY-SA 3.0 Lizenz.

 

Schriftliche Stellungnahme für den Landtag Thüringen

Wir wurden eingeladen, zu dem von der CDU-Fraktion eingebrachten Antrag 7/6817 trägt den Titel „Gewappnet für den Ernstfall? Reform des Thüringer Katastrophenschutzes endlich angehen!“ als AG KRITIS Stellung zu nehmen. Der Antrag aus der Opposition versucht mit offensiven Einzelmaßnahmen den Katastrophenschutz in Thüringen zu verbessern.

Außer acht gelassen wird dabei, dasss nur mehr Geld und mehr Ausrüstung nicht helfen, die Wirksamkeit des Katastrophenschutzes zu erhöhen: stattdessen braucht es systemische und strukturelle Veränderungen, Standardisierung und stärkere Digitalisierung, gerade in dem eher tradierten Feld des Katastrophenschutzes. Auch auf die Bereiche Ausbildung und Übung gehen wir in unserer Stellungnahme ein.

Unsere Schlußfolgerung zu dem Antrag:

Der föderale Staat stellt ein strukturelles Problem im Katastrophenschutz dar, denn Katastrophen und deren Bewältigung halten sich nicht an Landesgrenzen. Es ist dem Bürger nicht erklärbar, wenn zwischen Ländern der Katastrophenschutz unterschiedlich ausgerüstet ist, funktioniert oder reagiert.

Sowohl die Vorgehensweisen, als auch die eingesetzten Technologien und Strukturen des Katastrophenschutzes müssen so einheitlich wie irgendwie möglich aufgestellt sein, um nahtlose gegenseitige Unterstützung jederzeit gewährleisten zu können. Eine solche Harmonisierung ist daher auch innerhalb der Bundesländer dringend zu verwirklichen.

Hier muss viel Verantwortung von den Kreisen und Kommunen zurück auf das Land übertragen werden, denn Kreise und Kommune haben oft nicht die Ressourcen, dieser Verantwortung gerecht zu werden.

Download der Stellungnahme als PDF

Drucksache_7-6817_Stellungnahme_AG_KRITIS_20230825

 

Image: Landtag Thüringen

 

Schriftliche Stellungnahme für den Landtag Nordrhein-Westfalen

Die FDP-Fraktion des Landtags NRW hat uns eingeladen, eine schriftliche Stellungnahme zu einem Antrag abzugeben. Dieser Antrag trägt den Titel: „Kommunikation und IT-Sicherheit im Falle eines Katastrophenfalles durch einheitliche Planbarkeit sicherstellen“. Die schriftliche Anhörung wird vom Innenausschuss durchgeführt. Der Antrag auf Drucksache 18/2564 fordert die Ausrüstung der Behörden in NRW mit Satelliteninternet, die Schaffung von Katastrophenschutzleuchttürmen sowie die Schaffung eines Cyberhilfswerks. Wir haben diesen Antrag bewertet und in unserer Stellungnahme weitere, aus unserer Sicht sinnvolle, Maßnahmen vorgeschlagen.

Wir unterbreiten den Mitgliedern der Innenausschusses, neben einer Bewertung des Antrags,
auch darüber hinausgehende, konkrete Handlungsempfehlungen und Verbesserungsvorschläge.
Unserer Ansicht nach sind diese erforderlich, um das nordrhein-westfälische Gemeinwesen im
Hinblick auf künftige Krisen besser vorzubereiten und handlungsfähiger zu machen.

[…]

Die AG KRITIS begrüßt die vorgeschlagenen Maßnahmen in der Beschlussfassung und erachtet
die Umsetzung dieser als sinnvoll, notwendig und verhältnismäßig

Download der Stellungnahme als PDF

Image: Olaf Kosinsky (kosinsky.eu)
Licence: CC BY-SA 3.0-de