Die vor inzwischen 2 Jahren in Kraft getretene NIS-2-Richtline der EU, die wichtige Standards für mehr IT-Sicherheit bringt, hätte bis zum Oktober 2024 in nationales Recht umgesetzt werden müssen. Dass die Bundesregierung ausgerechnet bei diesem sicherheitskritischen Thema bummelt und bereits ein Vertragsverletzungsverfahren gegen Deutschland eröffnet werden musste, ist verantwortungslos und auch nicht mit dem Ampel-Aus im November zu erklären. Aber das ist nur die Spitze des Eisbergs: Der Entwurf der Bundesregierung wird außerdem der gestiegenen Gefährdungslage nicht gerecht, sondern hangelt sich kläglich nur an den absoluten Minimalanforderungen der EU entlang: So soll es zwar einen Bundes-CISO geben, aber er soll von vorneherein als zahnloser Tiger angelegt werden, ohne angemessene Ressourcen und ohne Vetorecht – mehr Sicherheit wird diese Rolle so kaum schaffen können.
Auch die von NIS-2 geforderte Entkriminalisierung der IT-Sicherheitsforschung konnte die Bundesregierung trotz Koalitionsversprechen nicht auf den Weg bringen, und so bleiben vermutlich aufgedeckte Sicherheitslücken trotzdem unbekannt und können nicht geschlossen werden, weil Sicherheitsforschende weiterhin mit einem Bein im Knast stehen.
Kommunen im Gesetzentwurf zur NIS-2 Umsetzung ausgeschlossen
Besonders irritierend ist aber der Ausschluss der Kommunen in der geplanten Umsetzung, obwohl gerade Kommunen vielfach von Cyberattacken betroffen sind und ohne Frage zur kritischen Infrastruktur zählen. Wenn die kommunale Ebene wegen einer Cyberattacke lahm gelegt ist, geht vor Ort nichts mehr. Deshalb wurde im Landkreis Anhalt-Bitterfeld nach einer Ransomware Attacke sogar der Katastrophenfall ausgerufen. Wenn Geburten nicht mehr gemeldet, Sozialleistungen nicht mehr abgerufen, Kitaplätze nicht mehr verwaltet und Gehälter nicht mehr gezahlt werden können, ist das ein Riesenproblem.
Das habe ich deshalb auch in meiner Rede zur NIS-2 Umsetzung am 11.10.24 im Bundestag kritisiert. Kritik kam auch von der AG KRITIS und der VITAKO, dem Verband der kommunalen IT-Dienstleister.
BMI: „Kommunen? Das erlaubt EU-Recht gar nicht“
Ich habe schon viele schräge Begründungen für schlechte Gesetze gehört, aber vom BMI gab es für den Ausschluss der Kommunen einen echten Tiefpunkt: Andreas Reisen, Referatsleiter CI 3 „Cybersicherheit für Wirtschaft und Gesellschaft“ beim BMI entgegnete auf mein Plädoyer für den Einbezug der Kommunen bei der NIS-2 Umsetzung in Deutschland auf dem VOICE Entscheiderforum im November 2024, dass die NIS-2-Richtlinie der EU die Beteiligung von Kommunen gar nicht erlaube. Weil ich das reichlich seltsam fand, habe ich den Wissenschaftlichen Dienst des Bundestags beauftragt, diese Aussage wissenschaftlich zu prüfen.
Gutachten Wiss. Dienst: „Kommunen? Gar kein Problem mit EU-Recht!“
Der Sachstand des Wissenschaftlichen Dienstes des Bundestages ist eindeutig: Kommunen können explizit einbezogen werden, das ist Sache der Umsetzung in den Mitgliedsstaaten und nichts in der NIS-2-Richtline spricht dagegen, dies zu tun! Im Gutachten wird sogar hin- und her interpretiert, ob sich ggf. eine Verpflichtung ergeben könnte, die Kommunen unbedingt einzubeziehen, aber da gäbe es Spielräume und eine Pflicht sei unwahrscheinlich.
Dass die Bundesregierung NIS-2 und damit die Sicherheit kritischer Infrastrukturen vernachlässigt, ist das eine, das aber auch noch mit angeblichen EU-Hürden zu begründen und sich auf diese Weise herauszureden, ist wirklich dreist!
Weiterführende Links:
Pressemitteilung der EU-Kommission zu den Vertragsverletzungsverfahren vom 28.11.2024
Entwurf der Bundesergierung zu Umsetzung der NIS-Richtlinie:
https://dserver.bundestag.de/btd/20/131/2013184.pdf
Meine Rede zur NIS-Umsetzungim Bundestag am 11.10.2024:
https://mdb.anke.domscheit-berg.de/2024/10/rede-zum-nis-2/
Stellungnahme der AG KRITIS vom 27.10.2024:
Stellungnahme des VITAKO vom 12.6.2024:
VOICE-Entscheider Forum:
https://voice-entscheiderforum.org
Gutachten des Wissenschaftlichen Dienstes zur NIS-Umsetzung für Kommunen vom 22.01.2025:
