Trotz des erheblichen Zeitraums, der seit Veröffentlichung des ersten Entwurfs im Juli letzten Jahres vergangen ist, besitzt das NIS2UmsuCG in der Fassung aus Dezember 2023 nach wie vor nicht die Reife, um ein widerspruchsfreies nationales Cybersicherheitsrecht zu errichten – im Gegenteil: Viel von der auch aus den Verbänden geäußerten Kritik wurde bislang nicht berücksichtigt. Das betrifft einerseits die Verschränkung von Politik und Cybersicherheit, indem bei den Warnbefugnissen immer noch der Begriff der „IT-Sicherheitslücke“ durch die „Schwachstelle“ ausgetauscht wird, womit schwer nachvollziehbarem Handeln des BSI Tür und Tür geöffnet wird, andererseits aber auch das Problem, dass das Umsetzungsgesetz nach wie vor nicht in der Lage ist, einheitliche Cybersicherheitsanforderungen für Bundeseinrichtungen zu definieren. Hinzu kommt für die Privaten, dass das babylonische Begriffswirrwarr zwischen europäischem Recht und nationalem Umsetzungsgesetz nach wie vor aufrechterhalten wird. Der Anwendungsbereich ist ohnehin schon hochkomplex und mit der aufrecht erhaltenen Unterscheidung zwischen „besonders wichtigen Einrichtungen“ und „wichtigen Einrichtungen“ wird es nicht besser. Doch es gibt nicht nur Negatives: Sinnvoll ist jedenfalls die Ergänzung bei den umzusetzenden Maßnahmen, dass nun explizit „Konzepte in Bezug auf Risikoanalyse und auf die Sicherheit in der Informationstechnik“ hervorgehoben werden. Das zeigt, dass die Risikoanalyse der Anfang aller durchzuführenden Maßnahmen sein muss. Auch positiv ist, dass das BSI die explizite Aufgabe zugewiesen bekommt, die Betroffenen beim Rollout aktiv zu unterstützen, indem „praxisnahe Handreichungen“ bereitgestellt werden – das ist auch dringend nötig, denn es wird keinen einheitlichen Best Practices Standard geben können, weil die betroffenen Sektoren und Branchen viel zu unterschiedlich sind. Überarbeitungswürdig sind aber nach wie vor die Kommunikationskanäle aus dem BSI in die betroffenen Einrichtungen hinein – hier besteht schon seit Langem der Wunsch, in jedem Falle ein Feedback auf Cybersicherheitsmeldungen zu erhalten und der aktuelle Entwurf schwächt dies leider wieder ab, vermutlich aber auch aus innerbehördlichen Kapazitätsgründen. Sinnvoll ist in jedem Falle die neu hinzugetretene Evaluierungsvorschrift über die Wirksamkeit der gesetzlichen Maßnahmen. Hier kann man nur hoffen, dass die Einbeziehung von „wissenschaftlichem Sachverstand“ ernster gemeint ist als nach dem IT-Sicherheitsgesetz.
#cybersecurity #compliance #nis2 #nis2umsucg