In dieser Legislaturperiode kommt kein Gesetz zur Umsetzung der EU-Richtlinie NIS-2. Nach monatelangen Verhandlungen konnten sich SPD, Grüne und FDP nicht zur Umsetzung der EU-Vorgabe einigen. Unternehmen stehen weiter ohne klare Vorgaben da. Aber Vorsicht: Wer nichts tut, verstößt womöglich gegen das Recht anderer EU-Länder. Florian Korhammer, CISO bei Retarus, kommentiert die aktuelle Situation.
NIS-2-Umsetzung gescheitert
Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die gesetzliche Grundlage in Deutschland aus. Die Umsetzungsfrist wird weiter überschritten. Nach der Bundestagswahl wird die neue Bundesregierung einen komplett neuen, zweiten Anlauf nehmen müssen. Doch auch ohne ein neues nationales Gesetz gilt die NIS-2-Richtlinie bereits in der EU. Unternehmen sollten prüfen, ob sie neben Strafen auch Sicherheitslücken riskieren, wenn sie nicht handeln.
Die aktuelle Lage
Schwachstellen- und Risikomanagement, Meldewesen, Bedrohungserkennung – NIS-2 ist ein komplexes Werk mit dem Ziel, die Cyber-Resilienz des europäischen Gemeinwesens zu fördern. Angesichts der sich international verschärfenden Bedrohungslage ist die Richtlinie überfällig. Jetzt kommt es darauf an, dass die betroffenen Unternehmen und Institutionen die Anforderungen zügig und gewissenhaft umsetzen.
Bisher sieht es bei der Umsetzung der NIS-2-Richtlinie eher durchwachsen aus. Kaum einer der 27 Mitgliedstaaten konnte die neue Richtlinie bisher vollständig implementieren, auch wenn einige Länder mittlerweile einen respektablen Reifegrad erreicht haben. Für die Säumer auf der anderen Seite gibt es zwar noch einen zweimonatigen Aufschub.
Kritische Infrastruktur verlangt im Anbetracht der stetig steigenden Bedrohungslage eine höhere Cyber-Resilienz. Die NIS-2-Verordnung ist dafür ein geeignetes Instrument – solange die Umsetzung nicht weiter lahmt und gewissenhaft erfolgt. Die gescheiterten Gespräche in Deutschland verdeutlichen, dass sich Unternehmen nicht auf eine schnelle politische Lösung verlassen können. Umso wichtiger ist es, dass sie selbst aktiv werden und sich auf die Umsetzung von NIS-2 konzentrieren. Doch woran scheitert die erfolgreiche Umsetzung der neuen Verordnung?
Ist NIS-2 zu anspruchsvoll?
Die Anforderungen von NIS-2 sind sinnvoll und realistisch umsetzbar, darin sind sich fast alle Sicherheitsexperten einig. Auch das Ziel, die allgemeine Cyber-Resilienz europäischer Institutionen und Lieferketten durch ein verbessertes Risiko- und Schwachstellenmanagement sowie Meldewesen zu stärken, ist lobenswert. Angesichts der aktuellen Bedrohungslage reichen punktuelle Cybersicherheitsmaßnahmen nicht aus, vielmehr ist ein ganzheitlicher Ansatz erforderlich. Idealerweise gäbe es dazu globale Initiativen, aber eine EU-weit einheitliche Strategie für mehr Cyber-Resilienz ist zumindest ein guter Anfang.
