POSITION | DIGITALPOLITIK | CYBERSICHERHEIT
Cybersicherheitsregulierung Überlappungsfreie gesetzliche IT-Sicherheitsanforderungen forcieren
01. Februar 2024 Durch die aktuell laufende Implementierung der Anforderungen der NIS-2-Richtlinie in nationales Recht wird es zu einer Verzehnfachung des Betroffenenkreises kommen. Die in den Anwendungsbereich des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes fallenden Unternehmen müssen gemäß § 30 weitreichende technische und organisatorische Risikomanagementmaßnahmen umsetzen, nach § 32 bis zu fünf Meldungen pro erheblichem Cybersicherheitsvorfall gegenüber dem BSI vornehmen und sich nach § 33 bei diesem registrieren. Eine aktuelle Bitkom-Studie zeigt, dass im letzten Jahr mehr als 80 Prozent der Unternehmen von Cyberkriminalität betroffen waren. Nicht zuletzt vor dem Hintergrund dieser erhöhten Bedrohungslage und der fortschreitenden digitalen Transformation von Geschäftsprozessen und Produkten sind sich deutsche Industrieunternehmen der Notwendigkeit zur Umsetzung geeigneter Cyber-Resilienzmaßnahmen bewusst. Angesichts des eklatanten Fachkräftemangels, der im Bereich IT-Security aktuell ca. 105.000 Expertinnen und Experten allein in Deutschland beträgt, ist es von herausgehobener Bedeutung, dass der Gesetzgeber dafür Sorge trägt, dass Unternehmen nicht durch überlappende gesetzliche Anforderungen inhaltsgleiche Nachweise erbringen, kostspielige Audits durchlaufen, redundante Meldewege sowie widerstreitende Risikominimierungsmaßnahmen implementieren müssen. Kernforderungen der deutschen Industrie ▪
Harmonisierung der im NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) enthaltenen Anforderungen an Prozesse zur Risikominimierung – sowie soweit als möglich damit verbundene Maßnahmen – mit denen, die sich aus dem Bundes-Immissionsschutzgesetz (BImSchG), dem Gesetz über überwachungsbedürftige Anlagen (ÜAnlG) – sowie den entsprechenden nachgelagerten Umsetzungsverordnungen –, der Durchführungsverordnungen (EU) 2019/1583 für Luftsicherheit sowie (EU) 2023/203 und (EU) 2022/1645 für die Flugsicherheit sowie den zwei Sicherheitskatalogen nach Energiewirtschaftsgesetz (EnWG) ergeben.
▪
Harmonisierung und Bündelung von Audit-, Prüf- und Nachweispflichten zu Cybersicherheitsanforderungen aus NIS2UmsuCG mit denen, die sich aus BImSchG und ÜAnlG – sowie den entsprechenden nachgelagerten Umsetzungsverordnungen –, den Durchführungsverordnungen (EU) 2019/1583, (EU) 2023/203 und (EU) 2022/1645 und den zwei Sicherheitskatalogen nach EnWG ergeben.
▪
Etablierung des Bundesamts für Sicherheit in der Informationstechnik (BSI) als maßgeblicher Ansprechpartner für alle Cybersicherheitsanliegen der Wirtschaft. Dabei sind zwingend widerspruchsfreie Anforderungen, maximale Rechtssicherheit für Unternehmen sowie ein Höchstmaß von Kooperation zwischen Behörden auf Bundes- und Landesebene zu gewährleisten.
▪
Etablierung eines einheitlichen volldigitalen Informations- und Meldeweges an eine zentrale Meldestelle unter Einbindung der einschlägigen sektorspezifischen Behörden.
Bundesverband der Deutschen Industrie e.V. Steven Heckler | Stellvertretender Abteilungsleiter Digitalisierung und Innovation | s.heckler@bdi.eu | www.bdi.eu