Beiträge

Artikel: heise.de – Bundesrat schiebt Ausschussempfehlungen zu NIS2 wortlos durch​

Manuel ‚HonkHase‘ Atug erklärt bei heise.de, was es mit den aktuellen Ausschussempfehlungen zu NIS2 auf sich hat.

Mit der Formulierung „durch vergleichbare landesrechtliche Vorschriften“ müssten verschiedene Gebietskörperschaften der Bundesländer zukünftig das BSI-Gesetz als Maßstab nehmen, selbst wenn es gegebenenfalls über die in der EU geforderten NIS2-Mindestmaßnahmen hinaus geht. Damit das nicht passiert, soll diese Formulierung auf „die NIS-2-Richtlinie umsetzende landesrechtliche Vorschriften“ geändert werden. Sonst müsste man in den 16 Bundesländern zu viele und vor allem bundeseinheitliche Cybersicherheitsmaßnahmen umsetzen.

Auch im Entwurf des KRITIS-Dachgesetzes sind – wie im NIS2-Entwurf – die Schwellenwerte grundsätzlich zu hinterfragen, aufgrund der besonderen Stellung der Daseinsvorsorge im Gesundheitsbereich. Die Sinnhaftigkeit der alleinig entscheidenden Schwellenwerte solle daher vor diesem Hintergrund erneut geprüft werden. Die AG KRITIS sieht diesen Punkt seit vielen Jahren bei fast allen KRITIS-Sektoren und -Branchen ebenfalls so und würde es begrüßen, wenn das endlich entsprechend der tatsächlichen Lagesituation angepasst werden würde.

Da Krankenhäuser nach § 108 SGB V erst nach einer Übergangsfrist von fünf Jahren Nachweise vorlegen müssen, wurde eine entsprechend verlängerte Übergangsfrist auch für die wichtigen Einrichtungen gefordert. Erste Nachweise kommen damit erst frühestens 2030.

Alle aktuellen NIS2UmsuCG Referentenentwürfe veröffentlichen wir wie immer hier:

Ergebnis der Sachverständigenanhörung zum IT-Sicherheitsgesetz 2.0

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben unserer Stellungnahme gab es von allen Sachverständigen enorme Kritik an dem geplanten Gesetzesvorhaben. Wir fordern daher weiterhin die Notbremse für den Entwurf, damit die dringend erforderlichen umfangreichen Änderungen durchgeführt werden können. Weiterhin muss die vorgesehene Evaluierung des ersten IT-Sicherheitsgesetzes durchgeführt werden.

Als Sachverständige wurden geladen:

  • Sebastian Artz, Branchenverband Bitkom
  • Manuel Atug, Arbeitsgemeinschaft Kritische Infrastrukturen (AG KRITIS)
  • Prof. Dr. Klaus F. Gärditz, Staatsrechtler
  • Dr. Sven Herpig, Stiftung Neue Verantwortung
  • Linus Neumann, Chaos Computer Club
  • Martin Schallbruch, Digital Society Institute der European School of Management and Technology Berlin

Die geladenen Sachverständigen waren sich einig, dass der vorliegende Gesetzesentwurf mangelhaft ist. Bereits vor der Einbringung des Entwurfs in den Bundestag hat das Ministerium des Inneren, für Bau und Heimat existierende Entwürfe des Gesetzestexts nicht oder nur mit sehr kurzen Rückmeldefristen für eine Stellungnahme der zivilgesellschaftlichen Organisationen veröffentlicht, sodass erste Kommentare auf geleakten Versionen des Texts beruhen. Zusätzlich handelt es sich bei den vorliegenden Texten um sogenannte Änderungsgesetze, die ein einfaches Lesen des aus den Änderungen resultierenden Gesetzestexts nicht möglich machen.

In der Stellungnahme erläuterte Manuel Atug die von uns bereits mehrfach kritisierten Punkte: Fehlende Unabhängigkeit des BSIs, fehlende Evaluierung des ersten IT-Sicherheitsgesetzes, die Streichung der Stärkung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie insbesondere die Einführung der Möglichkeit des Zurückhalten von Schwachstellen durch das BSI, da sich die Behörde damit zum „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ mache und das Vertrauen in den Responsible Disclosure Prozess des BSI erschüttert werden würde.

Auch die anderen Sachverständigen formulierten teils erhebliche Kritik. Dr. Sven Herpig äußerte Kritik an wirkungslosen Passagen bezüglich des digitalen Verbraucherschutzes, da „[…] es in Deutschland weiter möglich sein werde, unsichere IT-Produkte auf den Markt zu bringen“. Linus Neumann vermisst eine Strategie, die „kompromisslos auf IT-Sicherheit“ setzt, beispielsweise durch ein Mindesthaltbarkeitsdatum für Softwarekomponenten und kritisiert das freiwillige IT-Sicherheitskennzeichen. Der Verfassungsrechtler Dr. Klaus F. Gärditz formuliert zusätzlich zu der inhaltlichen Kritik der anderen Sachverständigen verfassungs- und verwaltungsrechtliche Bedenken an § 9b des Entwurfs.

Die Aufzeichnung der kompletten Sitzung ist auf der Webseite des Bundestags abrufbar. Unsere Stellungnahme [AG KRITIS], [Deutscher Bundestag], die Stellungnahmen der anderen Sachverständigen sowie die Rede von Manuel Atug und das Wortprotokoll sind öffentlich einsehbar.

Stellungnahme zum IT-Sicherheitsgesetz 2.0 im Innenausschuss des Bundestag

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben der mündlichen Stellungnahme im Innenausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.