Berlin (ots)
Das Bundeskabinett hat heute das nationale Umsetzungsgesetz der europäischen NIS-2-Richtlinie beschlossen. Dazu sagt Marc Fliehe, Fachbereichsleiter Digitalisierung und Bildung beim TÜV-Verband:
„Deutschland ist Ziel hybrider Angriffe und Cyberattacken auf Unternehmen, kritische Infrastrukturen und politische Institutionen gehören zur Tagesordnung. Die Umsetzung der NIS-2-Richtlinie in nationales Recht ist ein wichtiger Schritt, um die Cybersicherheit in der deutschen Wirtschaft zu verbessern. Das Gesetz ist längst überfällig und muss angesichts der Bedrohungslage im Cyberraum zügig beschlossen werden. Mit dem aktuellen Entwurf liegt eine solide Grundlage vor – jetzt braucht es den politischen Willen, offene Punkte im parlamentarischen Verfahren konstruktiv und schnell zu klären.“
Aus Sicht des TÜV-Verbands ist es nun Aufgabe des Bundestags, den Gesetzesentwurf an entscheidenden Stellen zu schärfen, um die Wirksamkeit in der Praxis zu erhöhen. Besonders relevant sind dabei folgende Punkte:
1. Ausnahmeregelungen klar definieren oder streichen
Aus Sicht des TÜV-Verbands wirft die neu eingeführte Ausnahme für „vernachlässigbare“ Geschäftstätigkeiten erhebliche Fragen auf. Der Begriff ist unbestimmt und wird im Gesetz nicht näher definiert. Es bleibt unklar, nach welchen Kriterien eine Tätigkeit als vernachlässigbar gelten soll. „Ohne präzise Vorgaben besteht die Gefahr uneinheitlicher Auslegung und einer Rechtsunsicherheit für Unternehmen“, sagt Fliehe. Zudem könnte diese nationale Sonderregelung zu einem faktischen Ausschluss regulierungspflichtiger Tätigkeiten führen, die laut NIS-2-Richtlinie eigentlich erfasst sein sollten. Der TÜV-Verband sieht daher die Gefahr, dass der deutsche Gesetzgeber mit dieser Öffnungsklausel vom europäischen Harmonisierungsziel abweicht und fordert eine eindeutige und EU-rechtskonforme Ausgestaltung dieser Ausnahme.
2. Nachweispflichten überarbeiten
In der NIS-2-Richtlinie ist eine regelmäßige Nachweispflicht für „besonders wichtige Einrichtungen“ vorgesehen, die aus Sicht des TÜV-Verbands im deutschen Gesetz nicht ausreichend umgesetzt ist. „In der Praxis läuft es auf stichprobenartige Einzelfallprüfungen hinaus, was nicht der Intention der Richtlinie entspricht und sicherheitstechnisch bedenklich ist“, sagt Fliehe. „Die Behörden müssen die Umsetzung der Sicherheitsmaßnahmen überprüfen und durchsetzen können.“
In diesem Zusammenhang sieht der TÜV-Verband auch die Verlängerung der Nachweisfristen für die Betreiber kritischer Infrastrukturen von zwei auf drei Jahre sehr negativ. Fliehe: „Die Betreiber kritischer Infrastrukturen sind regelmäßig gezielten Cyberangriffen ausgesetzt. Eine Verlängerung des Nachweiszyklus ist vor diesem Hintergrund mehr als kontraproduktiv.“
3. Vertrauen schaffen durch unabhängige Zertifizierungen
Nur bei Einbindung unabhängiger Dritter ist aus Sicht des TÜV-Verbands sichergestellt, dass das notwendige Vertrauen in die Umsetzung von Cybersicherheitsanforderungen geschaffen werden kann. Deshalb regt der TÜV-Verband an, Zertifizierungen durch akkreditierte und unabhängige Konformitätsbewertungsstellen verbindlich in dem Prozess der Nachweiserbringung (§ 39 BSIG-E) durch die Hersteller vorzusehen.
4. Absicherung der Lieferketten ausformulieren
Mit Blick auf die weitgefassten Formulierungen zur Absicherung der Lieferkette ist es erforderlich, den Unternehmen eine Handreichung und Orientierungshilfe zur Gestaltungstiefe der Maßnahmen zur Absicherung der Lieferkette an die Hand zu geben. In diesem Sinne ist beispielsweise die Forderung „Security by Design“ recht vage und bedarf weiterer Detaillierungen. Eine Orientierungshilfe kann sowohl Mindestmaßnahmen aufzeigen als auch Interpretations- und Auslegungsspielräume reduzieren und leistet somit einen Beitrag zur Erhöhung der Klarheit und Handlungssicherheit der Verpflichteten.
Hintergrund: Das NIS-2-Umsetzungsgesetz (NIS2UmsuCG) gilt für rund 30.000 Unternehmen in Deutschland. Es verpflichtet die Unternehmen unter anderem zur Durchführung und Einführung von Risikoanalysen und Sicherheitskonzepten, Maßnahmen zur Vorbeugung und Reaktion auf IT-Sicherheitsvorfälle, Zugangskontrollen, Verschlüsselung, Multi-Faktor-Authentifizierung, Mitarbeiterschulungen, Notfallplänen sowie Maßnahmen für die Absicherung der Lieferkette. Diese Anforderungen müssen „dem Stand der Technik“ entsprechen und unterscheiden sich je nach Größe, Branche und Kritikalität des Unternehmens.
Über den TÜV-Verband: Als TÜV-Verband e.V. vertreten wir die politischen Interessen der TÜV-Prüforganisationen und fördern den fachlichen Austausch unserer Mitglieder. Wir setzen uns für die technische und digitale Sicherheit sowie die Nachhaltigkeit von Fahrzeugen, Produkten, Anlagen und Dienstleistungen ein. Grundlage dafür sind allgemeingültige Standards, unabhängige Prüfungen und qualifizierte Weiterbildung. Unser Ziel ist es, das hohe Niveau der technischen Sicherheit zu wahren, Vertrauen in die digitale Welt zu schaffen und unsere Lebensgrundlagen zu erhalten. Dafür sind wir im regelmäßigen Austausch mit Politik, Behörden, Medien, Unternehmen und Verbraucher:innen.
Pressekontakt:
Maurice Shahd
Pressesprecher
TÜV-Verband e. V.
Friedrichstraße 136 | 10117 Berlin
030 760095-320, [email protected]
www.tuev-verband.de | www.linkedin.com/company/tuevverband |
www.x.com/tuevverband
Original-Content von: TÜV-Verband e. V., übermittelt durch news aktuell
Zur Quelle wechseln
Author:
