Beiträge

Schriftliche Stellungnahme zum Gesetzentwurf der Bundesregierung des NIS2UmsuCG vom 02.10.2024

Update auf v1.1 am 27.10.2024: Ergänzungen durch Feedback von den Mitgliedern der AG KRITIS als auch aus der Zivilgesellschaft.

Mit dem vorliegenden Referentenentwurf (Gesetzentwurf der Bundesregierung, Drucksache 20/13184) des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), kurz NIS2UmsuCG, wird die Umsetzung der EU NIS2-Richtlinie (2022/2555) angestrebt. Damit einher geht eine Ausweitung des Geltungsbereiches von Betreibern kritischer Anlagen (ehem. sogenannte KRITIS-Betreiber) und der als wichtige und besonders wichtige Einrichtungen definierten sonstigen Unternehmen.

Das NIS2UmsuCG ist ein Artikelgesetz, welches insgesamt über 23 Gesetze und Verordnungen ändern soll. Unsere Kommentierung bezieht sich hierbei ausschließlich auf die unter Artikel 1 eingebrachte Änderung des BSI-Gesetzes.

Der Gesetzesentwurf bringt grundsätzlich einige Klarheiten und tiefgreifende Regulierungen im KRITIS-Umfeld mit sich. Gleichzeitig bewirken unnötige Komplexität und Ausschlüsse eine zerklüftete Regelung insgesamt, aber insbesondere auch der KRITIS-Sektoren. Im Ergebnis ergibt sich die Einstufung einer konkreten Einrichtung als auch der daraus abzuleitenden erforderlichen Tätgikeiten leider erst nach ausführlicher und individueller Betroffenheitsprüfung.

Mit dem neuen Referentenentwurf vom 02.10.2024 werden aus unserer Sicht keine wesentlichen Verbesserungen zu den bisherigen Referentenentwürfen erreicht und lediglich Defizite aufrechtgehalten.

Zur Berücksichtigung der Zivilgesellschaft (gemäß Kolaitionsvertrag!) stellt die AG KRITIS fest:

Definitionen wie „kritische Anlagen“ können § 56 entsprechend durch Rechtsverordnungen konkretisiert werden. Diese werden durch das BMI im Zusammenwirken mit anderen Ministerien erarbeitet. Bereits im Entwurf vom 07.05.2024 wurde in Absatz 4 die Einbindung der Zivilgesellschaft für die Definition von „kritischen Anlagen“ entfernt. Im aktuellen Referentenentwurf wurde diese fehlgeleitete Anpassung auf alle 5 Absätze des Artikels ausgeweitet und betrifft somit die Definition von kritischen Anlagen, erheblichen Sicherheitsvorfällen, die Verfahren zur Erteilung von Sicherheitszertifikaten, wann die Sicherheitszertifikate verpflichtend sind, sowie das Sicherheitskennzeichen. Entgegen der bisherigen Praxis sollen Akteure aus der Wirtschaft und der Wissenschaft nicht (mehr) eingebunden werden.

Für alle Regelungen des § 56 fordern wir weiterhin die verbindliche Einbindung der Zivilgesellschaft, die bisher und offenbar auch zukünftig weiterhin keine Berücksichtigung finden soll.

Abschließend betonen wir als AG KRITIS erneut, dass ein transparenter Prozess in der Gesetzgebung sowie umfassende und zeitlich angemessene Beteiligungsverfahren der Wirtschaft, Wissenschaft und Zivilgesellschaft bei derart tiefgreifenden und weitreichenden Gesetzgebungsverfahren dringend geboten ist.

Insbesondere hinsichtlich einer einheitlichen und kongruenten Regulierung im KRITIS-Umfeld betrachten wir als AG KRITIS eine gleichzeitige Veröffentlichung und Diskussion von Gesetzesentwürfen zur Umsetzung der NIS2-Richtlinie (NIS2UmsuCG) und CER-Richtlinie (KRITIS-Dachgesetz) sowie der im NIS2UmsuCG vorgesehenen Verordnungen für zwingend erforderlich.

Es scheint, als sei weiterhin keine vollständige Harmonisierung der Regelungen zwischen den beiden Gesetzesvorlagen erfolgt – was aktuell aufgrund der mangelnden Transparenz nicht überprüfbar ist. Übrig bleibt eine unsichere Lage bei allen potenziell betroffenen Einrichtungen und ihren Lieferketten, sowie bei allen verantwortlichen Aufsichtsbehörden und Zuständigen für die Umsetzung und Einhaltung der kommenden Regulierungen als auch bei der Wissenschaft, Forschung und zuletzt auch der fachkundigen Bevölkerung, die willens sind, ihren Beitrag durch Fachexpertise ehrenamtlich und kostenfrei beizutragen, dies aber nicht angemessen in den intransparenten Dialog einbringen können.

Alle NIS2UmsuCG Referentenentwürfe findet ihr hier:

Ergebnis der Sachverständigenanhörung zum IT-Sicherheitsgesetz 2.0

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben unserer Stellungnahme gab es von allen Sachverständigen enorme Kritik an dem geplanten Gesetzesvorhaben. Wir fordern daher weiterhin die Notbremse für den Entwurf, damit die dringend erforderlichen umfangreichen Änderungen durchgeführt werden können. Weiterhin muss die vorgesehene Evaluierung des ersten IT-Sicherheitsgesetzes durchgeführt werden.

Als Sachverständige wurden geladen:

  • Sebastian Artz, Branchenverband Bitkom
  • Manuel Atug, Arbeitsgemeinschaft Kritische Infrastrukturen (AG KRITIS)
  • Prof. Dr. Klaus F. Gärditz, Staatsrechtler
  • Dr. Sven Herpig, Stiftung Neue Verantwortung
  • Linus Neumann, Chaos Computer Club
  • Martin Schallbruch, Digital Society Institute der European School of Management and Technology Berlin

Die geladenen Sachverständigen waren sich einig, dass der vorliegende Gesetzesentwurf mangelhaft ist. Bereits vor der Einbringung des Entwurfs in den Bundestag hat das Ministerium des Inneren, für Bau und Heimat existierende Entwürfe des Gesetzestexts nicht oder nur mit sehr kurzen Rückmeldefristen für eine Stellungnahme der zivilgesellschaftlichen Organisationen veröffentlicht, sodass erste Kommentare auf geleakten Versionen des Texts beruhen. Zusätzlich handelt es sich bei den vorliegenden Texten um sogenannte Änderungsgesetze, die ein einfaches Lesen des aus den Änderungen resultierenden Gesetzestexts nicht möglich machen.

In der Stellungnahme erläuterte Manuel Atug die von uns bereits mehrfach kritisierten Punkte: Fehlende Unabhängigkeit des BSIs, fehlende Evaluierung des ersten IT-Sicherheitsgesetzes, die Streichung der Stärkung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie insbesondere die Einführung der Möglichkeit des Zurückhalten von Schwachstellen durch das BSI, da sich die Behörde damit zum „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ mache und das Vertrauen in den Responsible Disclosure Prozess des BSI erschüttert werden würde.

Auch die anderen Sachverständigen formulierten teils erhebliche Kritik. Dr. Sven Herpig äußerte Kritik an wirkungslosen Passagen bezüglich des digitalen Verbraucherschutzes, da „[…] es in Deutschland weiter möglich sein werde, unsichere IT-Produkte auf den Markt zu bringen“. Linus Neumann vermisst eine Strategie, die „kompromisslos auf IT-Sicherheit“ setzt, beispielsweise durch ein Mindesthaltbarkeitsdatum für Softwarekomponenten und kritisiert das freiwillige IT-Sicherheitskennzeichen. Der Verfassungsrechtler Dr. Klaus F. Gärditz formuliert zusätzlich zu der inhaltlichen Kritik der anderen Sachverständigen verfassungs- und verwaltungsrechtliche Bedenken an § 9b des Entwurfs.

Die Aufzeichnung der kompletten Sitzung ist auf der Webseite des Bundestags abrufbar. Unsere Stellungnahme [AG KRITIS], [Deutscher Bundestag], die Stellungnahmen der anderen Sachverständigen sowie die Rede von Manuel Atug und das Wortprotokoll sind öffentlich einsehbar.

Stellungnahme zum IT-Sicherheitsgesetz 2.0 im Innenausschuss des Bundestag

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben der mündlichen Stellungnahme im Innenausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.