Mehr Flexilibität für Unternehmen, insbesondere kleine und mittlere Unternehmen (KMU), und Abstimmung mit geplanten EU-Normen fordert der Bundesverband der Deutschen Industrie (BDI). Anlass sind die Verhandlungen über die Novelle der EU Netz- und IT-Sicherheitsrichtlinie (NIS2). Der Verband erkennt Optimierungspotenzial. Auf keinen Fall dürfe die öffentliche Verwaltung von den Sicherheitsanforderungen ausgenommen werden.

Der Rat der EU, Vertreter des Europäischen Parlaments und der Kommission beraten aktuell die endgültige Fassung der NIS2. In diesen sogenannten Trilog-Verhandlungen werden Kompromisse zwischen den Positionen der drei EU-Einrichtungen festgezurrt. Beispielsweise waren sie sich uneins darüber, ob das globale DNS Root Server Sytem der Aufsicht der EU unterfallen soll. Der BDI schlägt sich in seiner ausführlichen Stellungnahme teils auf die Seite des Rats, teils auf die des Parlaments oder der Kommission.

Statt Hackbacks internationale Vereinbarungen

Klare Kante zeigt der Verband in der Frage eines geordneten Schwachstellenmanagements, bei Verschlüsselung und beim Verzicht auf Hack-Backs. Jede Maßnahme, die Verschlüsselung in irgendeiner Weise schwäche, müsse vermieden, Ende-zu-Ende Verschlüsselung rechtlich abgesichert werden. Zugleich befürwortet der Verband eine Abkehr von Hack-Back-Konzepten, für die private Unternehmen in Anspruch genommen werden.

"Eine Spirale der Eskalation zwischen den Mitgliedsstaaten und mit internationalen Cyberkriminellen muss vermieden werden", steht ihm BDI Positionspapier. Stattdessen empfiehlt es die Entwicklung von Regeln für verantwortliches Handeln von Staaten im digitalen Raum.

Keine Extrawurst für die Verwaltung

Sinnlos könnte die NIS2 werden, würde der öffentliche Sektor von der Absicherung der eigenen Infrastrukturen ausgenommen. Der Rat hat das tatsächlich vorgeschlagen. Dabei verfügen Finanzämter, Bauämter oder Gesundheitsämter über sensible Daten und sind für wichtige öffentliche Dienstleistungen zuständig.

Eine Ausnahme von den Sicherheits- und Berichtspflichtauflagen ist aus Sicht des Verbands komplett kontraproduktiv. Immerhin würden weite Teile der Wirtschaft von den Klauseln erfasst. Die NIS2 wird für insgesamt acht Sektoren und in vielen Einzelbestimmungen auch für KMU verbindend.

KMU nicht überlasten

Gerade für KMU plädiert der BDI für Flexibilität. Am liebsten hätte der Verband den Ausschluss aller KMU befürwortet, die nicht Teil einer kritischen Lieferkette sind. Wenigstens aber sollten mittlere Unternehmen nicht auch noch zu umfangreichen Berichtspflichten gezwungen werden. Dazu fehle es, im Krisenfall allemal, schlicht an qualifiziertem IT-Personal. Bei der Wahl von Sicherheitsscans sollen die Unternehmen flexibler entscheiden können, ob ein Pentest, ein Portscan oder ein anderer Test geeignet sei. Auch die mindestens jährlichen Sicherheitsaudits sind aus Sicht des Verbandes eine zu hohe finanzielle Belastung.

Das sieht man übrigens im Nachbarland Frankreich ganz anders. Von dort kam im Verlauf der NIS2 Debatte bereits die Klage, dass die NIS2 Bestimmungen hinter dem französischen Sicherheits-Goldstandard zurückbleiben. Da Frankreich aktuell die Ratspräsidentschaft innehat und sich den Abschluss des Dossiers auf die Fahnen geschrieben hat, könnten französische Ratsvertreter im Trilog nochmals nachlegen.

Flickenteppich

Weil die NIS2 erneut als Richtlinie ausgestattet ist, kann national auch jeweils unterschiedlich umgesetzt werden. Auf Unternehmen, die in mehreren Ländern tätig sind, könnte dadurch Mehraufwand zukommen.

Eine weitere erhebliche Belastung kann sich aus parallel vorangetriebenen und sich teils überschneidenden Rechtsakten ergeben. Der EU-Gesetzgeber will parallel zur NIS2 die Critical Entities Resilience Directive schaffen, die nicht-IT-bezogene Sicherheitsfragen großer Unternehmen regeln soll. Ein integrierter Ansatz wäre da doch besser gewesen, meint der BDI.

Auf der Werkbank der Kommission liegt ein weiteres Instrument zur Cyberresilienz; dabei geht es um Produkte und Software. Wiederum mahnt der BDI Harmonisierung an. Denn bereits jetzt gebe es Sicherheitsvorschriften, etwa in der Funkanlagen-Richtlinie oder der Maschinen-Richtlinie.

Umsetzung 3.0

Schließlich könnten all jene, die gerade das deutsche IT-Sicherheitsgesetz 2.0 umsetzen, unmittelbar danach mit dem IT-Sicherheitsgesetz 3.0 weitermachen. Das würde 2024 fällig, wenn die NIS2 wirklich schon Mitte des Jahres fertig wird.

(ds)