Je länger wir warten, umso gespannter blicken wir auf die nationale Umsetzung der #NIS2-Richtlinie in Deutschland. Nun wurde das Warten zumindest vorerst belohnt, denn das #Bundeskabinett hat den Entwurf für das nationale Umsetzungsgesetz in seiner Sitzung am vergangenen Mittwoch beschlossen. Was aber wird uns die NIS-2-Richtlinie hierzulande perspektivisch bringen? Für das Dossier der Süddeutschen Zeitung habe ich in einem Gastbeitrag meine Einschätzung formuliert und den technischen und strukturellen Weg von der NIS-1-Richtlinie im Jahr 2016 bis heute gezeichnet.
Digitale #Resilienz ist vom abstrakten Thema für Insider zur ganz konkreten Anforderung für jedermann geworden – nicht umsonst hat die Europäische Union im Jahr 2022 mit der NIS-2-Richtlinie strengere Richtlinien zur #Cybersicherheit geschaffen. Und in der Tat ist NIS-2 ein Meilenstein in der europäischen #Cybersecurity-Regulierung: Wo man lange Jahre zuvor Cybersicherheit vornehmlich nur als eine Aufgabe für kritische Infrastrukturen und in Teilen auch der Behörden ansah, avanciert die Cybersicherheit unter NIS-2 zur Aufgabe des allgemeinen Wirtschaftsschutzes.
Eine Lehre, die man dabei aus der Vorgänger-Richtlinie NIS-1 aus dem Jahr 2016 ziehen konnte, war das Problem der fehlenden Harmonisierung der nationalen Cybersicherheitsvorgaben in den Mitgliedstaaten. Die Hoffnungen sind daher groß, dass sich dies mit NIS-2 nun ändern könnte, denn die EU hat in Anlehnung an die europäische KMU-Definition nicht nur grundsätzlich die Schwellenwerte für die quantitative Betroffenheit vereinheitlicht, sondern auch die qualitative, also sektorale Betroffenheit erheblich ausgedehnt.
Damit allein ist es aber nicht getan. Schon jetzt ist für Cybersecurity-Expertinnen und Experten eines klar: Auch mit NIS-2 wird es kein flächendeckend einheitlich hohes Cybersicherheitsniveau in der gesamten EU geben – zu unterschiedlich sind die Voraussetzungen nach wie vor auch mit Blick auf die nationalen Umsetzungsgesetze, zu gering die Realisierungsbereitschaft an vielen Stellen, zu wenig ausgeprägt die nationalen Kontrollstrukturen selbst in Deutschland. Die vollständige Analyse kann man auf der Website der SZ lesen (Paywall):