Bundeskabinett genehmigt NIS-2-Umsetzungsgesetz: TÜV-Verband äußert Bedenken
Berlin (ots)
Das Bundeskabinett hat heute das nationale Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie verabschiedet. Marc Fliehe, Leiter des Fachbereichs Digitalisierung und Bildung beim TÜV-Verband, kommentierte dies folgendermaßen:
Deutschland ist ein Ziel für hybride Angriffe. Cyberattacken auf Unternehmen, kritische Infrastrukturen sowie politische Institutionen sind alltäglich. Die Umsetzung der NIS-2-Richtlinie in nationales Recht ist ein unverzichtbarer Schritt zur Verbesserung der Cybersicherheit in der deutschen Wirtschaft. Das Gesetz kommt spät, ist aber dringend nötig, um den aktuellen Bedrohungen im Cyberraum zu begegnen. Der vorliegende Entwurf bietet eine solide Grundlage – nun ist politischer Wille gefragt, um offen gebliebene Fragen im Gesetzgebungsverfahren rasch und konstruktiv zu klären.
Der TÜV-Verband fordert den Bundestag auf, den Gesetzesentwurf entscheidend zu optimieren, um die Wirksamkeit in der Praxis zu erhöhen. Besonders wichtig sind dabei die folgenden Punkte:
1. Klare Definition oder Streichung von Ausnahmeregelungen
Der TÜV-Verband hat Bedenken bezüglich der neu eingeführten Ausnahme für „vernachlässigbare“ Geschäftstätigkeiten. Der unklare Begriff führt zu Unsicherheiten, da keine Präzisierung im Gesetz erfolgt. Fliehe warnt:
Ohne klare Vorgaben besteht die Gefahr einer uneinheitlichen Auslegung und rechtlichen Unsicherheit für Unternehmen. Diese Sonderregelung könnte dazu führen, dass regulierungspflichtige Tätigkeiten, die gemäß NIS-2-Richtlinie erfasst werden sollten, tatsächlich ausgeschlossen werden. Daher fordert der TÜV-Verband eine eindeutige und konforme Ausgestaltung dieser Ausnahme im Einklang mit dem europäischen Recht.
2. Überarbeitung der Nachweispflichten
Die NIS-2-Richtlinie sieht regelmäßige Nachweispflichten für „besonders wichtige Einrichtungen“ vor, die im deutschen Gesetz unzureichend umgesetzt sind. Fliehe stellt fest:
In der Praxis läuft es auf stichprobenartige Einzelfallprüfungen hinaus, was nicht dem Ziel der Richtlinie entspricht und sicherheitstechnisch bedenklich ist. Die Behörden müssen die Umsetzung der Sicherheitsmaßnahmen überprüfen und durchsetzen können.
Der TÜV-Verband kritisiert auch die Verlängerung der Nachweisfristen für Betreiber kritischer Infrastrukturen von zwei auf drei Jahre:
Betreiber kritischer Infrastrukturen sind häufig Ziel gezielter Cyberangriffe. Eine Verlängerung des Nachweiszyklus ist daher äußerst kontraproduktiv.
3. Vertrauen durch unabhängige Zertifizierungen fördern
Der TÜV-Verband betont die Notwendigkeit, unabhängige Dritte in den Prozess einzubeziehen, um das erforderliche Vertrauen in die Umsetzung von Cybersicherheitsanforderungen zu gewährleisten:
Zertifizierungen durch akkreditierte und unabhängige Konformitätsbewertungsstellen sollten verbindlich in den Nachweisprozess (§ 39 BSIG-E) der Hersteller integriert werden.
4. Konkrete Formulierungen zur Absicherung von Lieferketten
Angesichts vager Formulierungen zur Absicherung von Lieferketten ist es wichtig, Unternehmen eine klare Orientierungshilfe anzubieten:
Die Forderung „Security by Design“ ist ungenau und erfordert weitere Konkretisierungen. Eine Orientierungshilfe kann minimale Anforderungen festlegen und Interpretationsspielräume verringern, was zur Erhöhung der Klarheit und Sicherheit für die betroffenen Unternehmen beitragen würde.
Hintergrundinformationen
Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) betrifft etwa 30.000 Unternehmen in Deutschland und verpflichtet diese unter anderem zur Durchführung von Risikoanalysen, der Implementierung von Sicherheitskonzepten sowie zur Einführung von Maßnahmen zur Reaktion auf IT-Sicherheitsvorfälle. Diese Anforderungen müssen „dem Stand der Technik“ entsprechen und variieren je nach Unternehmensgröße, Branche und Kritikalität.
Über den TÜV-Verband
Der TÜV-Verband e.V. repräsentiert die politischen Interessen der TÜV-Prüforganisationen und fördert den fachlichen Austausch seiner Mitglieder. Wir engagieren uns für technische und digitale Sicherheit sowie für die Nachhaltigkeit von Produkten, Anlagen und Dienstleistungen, basierend auf allgemeinen Standards, unabhängigen Prüfungen und qualifizierter Weiterbildung. Unser Ziel ist es, hohe Standards in der technischen Sicherheit zu bewahren und Vertrauen in die digitale Welt zu schaffen.
Pressekontakt
Maurice Shahd
Pressesprecher
TÜV-Verband e. V.
Friedrichstraße 136 | 10117 Berlin
030 760095-320, presse@tuev-verband.de
www.tuev-verband.de | www.linkedin.com/company/tuevverband | www.x.com/tuevverband