Beiträge

Schriftliche Stellungnahme zum Referentenentwurf des NIS2UmsuCG vom 29.05.2024

Mit dem vorliegenden Referentenentwurf des NIS2UmsuCG wird die Umsetzung der EU NIS2-Richtlinie (2022/2555) angestrebt. Damit einher geht eine Ausweitung des Geltungsbereiches von Betreibern kritischer Anlagen (ehem. sogenannte KRITIS-Betreiber) und der als wichtige und besonders wichtige Einrichtungen definierten sonstigen Unternehmen.

Das NIS2UmsuCG ist ein Artikelgesetz, welches insgesamt über 23 Gesetze und Verordnungen ändert. Unsere Kommentierung bezieht sich hierbei ausschließlich auf die unter Artikel 1 und in Teilen unter Artikel 2 eingebrachte Änderung des BSI-Gesetzes.

Der Gesetzesentwurf bringt einige Klarheiten und tiefgreifende Regulierungen im KRITIS-Umfeld mit sich. Gleichzeitig bewirken unnötige Komplexität und Ausschlüsse eine zerklüftete Regelung insgesamt, aber insbesondere auch der KRITIS-Sektoren. Im Ergebnis ergibt sich die Einstufung einer konkreten Einrichtung als auch der daraus abzuleitenden erforderliochen Tätgikeiten leider erst nach ausführlicher und individueller Betroffenheitsanalyse.

Für den Sektor Staat und Verwaltung argumentiert die AG KRITIS:

Für den KRITIS Sektor Staat und Verwaltung gelten im Zuge des NIS2UmsuCG unzählige Sonderregelungen und Ausnahmen. Damit unterliegt die Verwaltung insbesondere des Bundes wieder zahlreichen Sonderregelungen und die Verwaltungen auf Kommunaler und Bundeslandebene werden vollständig außen vor gelassen und überhaupt nicht adressiert. Dies ist im Hinblick auf die vielen und teilweise sehr weitreichenden Cybersicherheitsvorfälle wie Landkreis Anhalt Bitterfeld oder SIT.NRW (über 100 Kommunen waren monatelang betroffen und faktisch handlungsunfähig!) nicht mehr nachvollziehbar, offensichtlich soll der Jahrzehnte gepflegte Investitionsstau weiterhin aufrecht gehalten werden. Die Kette an Cybersicherheitsversagen und Verantwortungsdiffusion kann beispielsweise unter der ehrenamtlich gepflegten Webseite https://kommunaler-notbetrieb.de eingesehen werden und erweitert sich derweil kontinuierlich.

Abschließend betonen wir als AG KRITIS erneut, dass ein transparenter Prozess in der Gesetzgebung sowie umfassende und zeitlich angemessene Beteiligungsverfahren der Wirtschaft, Wissenschaft und Zivilgesellschaft bei derart tiefgreifenden und weitreichenden Gesetzgebungsverfahren dringend geboten ist.

Insbesondere hinsichtlich einer einheitlichen und kongruenten Regulierung im KRITIS-Umfeld betrachten wir als AG KRITIS eine gleichzeitige Veröffentlichung und Diskussion von Gesetzesentwürfen zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) und CER-Richtlinie (KRITIS-Dachgesetz) für zwingend erforderlich.

Es scheint, als sei keine vollständige Harmonisierung der Regelungen zwischen den beiden Gesetzesvorlagen erfolgt – was aber aktuell aufgrund der mangelnden Transparenz nicht überprüfbar ist. Übrig bleibt eine unsichere Lage bei allen potentiell betroffenen Einrichtungen und ihren Lieferketten als auch bei allen verantwortlichen Aufsichtsbehörden und Zuständigen für die Umsetzung und Einhaltung der kommenden Regulierungen sowie der Wissenschaft, Forschung und zuletzt auch der fachkundigen Bevölkerung, die willens sind, ihren Beitrag durch Fachexpertise ehrenamtlich und kostenfrei beizutragen, dies aber nicht angemessen in den intransparenten Dialog einbringen können.

Alle NIS2UmsuCG Referentenentwürfe findet ihr hier:

Referentenentwurf des BMI: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG

Hier stellt die AG KRITIS zur Transparenz allen Interessierten die öffentlich gewordenen Referentenentwürfe des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)“ bereit.

Über mehrere voneinander unabhängige Quellen wurde uns der derzeit aktuellste „Bearbeitungsstand: 22.12.2023 09:58“ des RefE NIS2UmsuCG zugespielt, so dass wir diese hier für den demokratischen Diskurs veröffentlichen.

Dem BMI ist durch die Festlegungen der gemeinsamen Geschäftsordnung der Ministerien bedauerlicherweise untersagt, Referentenentwürfe dieser Art zu veröffentlichen. Um dieses grundlegende Problem für frühzeitige zivilgesellschaftliche Einbindung zu beheben, hat das BMI zumindest das Diskussionspapier veröffentlicht und die AG KRITIS veröffentlicht im Sinne der zivilgesellschaftlichen Transparenz alle Versionen, die uns zugespielt werden.

Sollten zukünftig neue Versionen in Umlauf kommen, werden wir diese hier sammeln und veröffentlichen.

Du hast eine Version, die hier noch nicht gelistet ist? Gerne bei uns melden und bereitstellen. Danke im Voraus.

Timeline der NIS2UmsuCG Versionen:

03.06.2024 Foliensatz des BMI (Referentenentwurf für ein NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) (19 Seiten)

07.05.2024 NIS2UmsuCG (189 Seiten)

22.12.2023 NIS2UmsuCG (164 Seiten)

27.09.2023 Diskussionspapier des BMI (Wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland) (58 Seiten)

03.07.2023 NIS2UmsuCG (146 Seiten)

03.04.2023 NIS2UmsuCG (243 Seiten)

To be continued…

 

Bei weiteren sachdienlichen Hinweisen wenden Sie sich bitte an Ihre nächste Kontaktperson der AG KRITIS.

Für Risiken und Nebenwirkungen kontaktieren Sie Ihre Abgeordneten.

 

Alle Veröffentlichungen zu NIS2UmsuCG Referentenentwürfen findet ihr hier:

Alle Veröffentlichungen zu KRITIS Dachgesetz Referentenentwürfen findet ihr hier:

Alle Veröffentlichungen zu IT-SiG 2.0 Referentenentwürfen findet ihr hier: