POSITION | CYBERSICHERHEIT | EUROPÄISCHE GESETZGEBUNG
NIS 2-Richtlinie Stellungnahme zum Vorschlag der EU-Kommission für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der Union und zur Aufhebung der Richtlinie (EU) 2016/1148 März 2021 Kurzfassung Die deutsche Industrie begrüßt das Ziel der Europäischen Kommission, die Cyberresilienz Europas deutlich zu stärken und EU-weit gleiche Wettbewerbsbedingungen für wesentliche und wichtige Einrichtungen zu schaffen. Cybersicherheit ist die Basis für eine langfristig sichere digitale Transformation von Staat, Wirtschaft und Gesellschaft und das reibungslose Funktionieren hochgradig digitalisierter Prozesse. Alle Beteiligten – von Hard- und Softwareherstellern über kommerzielle Betreiber bis hin zu Privatanwendern und staatlichen Stellen – müssen aktiv in die Stärkung der Cyberresilienz eingebunden werden. Die deutsche Industrie wird dazu auch weiterhin ihren Beitrag leisten. Damit die NIS 2-Richtlinie eine gute Balance zwischen gezielten regulatorischen Maßnahmen und einer ganzheitlichen Stärkung der Cyberresilienz der EU schafft, schlägt die deutsche Industrie folgende Änderungen am Richtlinienentwurf der Europäischen Kommission vor: Verschlüsselung (Erwägungsgrund 54) Die EU und ihre Mitgliedstaaten sollten sich für den flächendeckenden Einsatz von Verschlüsselung stark machen und von jedweder Maßnahme absehen, die kryptographische Verfahren schwächen könnte. Wir lehnen technische Lösungen wie Backdoors oder Generalschlüssel strikt ab, da ihre reine Existenz die Verschlüsselung in der EU schwächen würde. Für eine erfolgreiche digitale Transformation braucht Europa nicht weniger, sondern mehr vertrauenswürdige und sichere IT-Lösungen. Anwendungsbereich (Anhang I und II in Verbindung mit Artikel 2) Wir erkennen die Notwendigkeit zur Ausweitung des Anwendungsbereichs der NIS 2-Richtlinie an. Die EU-Kommission sollte sich jedoch mehr auf die Kritikalität eines Unternehmens für die Lieferkette denn auf die Größe eines Unternehmens konzentrieren. Zudem bedarf es einer Fokussierung auf die Geschäftsbereiche eines Unternehmens, die für die Betriebskontinuität von größter Bedeutung sind. Neben Kleinst- und Kleinunternehmen sollten auch die meisten mittelständischen Unternehmen vom Anwendungsbereich ausgenommen werden (mit Ausnahme von Herstellern kritischer Hardware- und Softwarelösungen). Koordinierte Schwachstellen-Offenlegung & EU-Schwachstellenregister (Artikel 6) Wir begrüßen den Ansatz der EU-Kommission, die Cyberresilienz der EU ganzheitlich zu stärken und dabei auch Produkte und Dienstleistungen stärker in den Blick zu nehmen. Die EU sollte eine koordinierte Offenlegung von Schwachstellen institutionalisieren, die auf internationalen Industrie-/De-facto-Standards basiert, wie z.B. CVE.