Weiter geht es in Sachen #NIS2 – heute findet im #Bundestag die erste #Lesung zum Gesetz für mehr flächendeckende #Cybersicherheit in Deutschland statt! Das haben Dr. Tilmann Dittrich, Mitglied im Scientific Advisory Board des cyberintelligence institute und ich zum Anlass genommen, für die aktuelle Ausgabe der Zeitschrift für Informationssicherheit „kes“ eine umfassende Analyse und einen Vergleich der neuesten Entwurfsfassungen beizusteuern.
Unsere wichtigsten Punkte:
– Auch wenn der Bund natürlich keine Regelungshoheit für die kommunale Cybersicherheit besitzt, wäre es im Sinne der flächendeckenden Verbesserung der digitalen #Resilienz in Deutschland wünschenswert, kommunalen Trägern der Daseinsvorsorge Informations- und Austauschformate an die Hand zu geben, um Best Practices zu entwickeln und knappe Ressourcen zu bündeln. Gegenwärtig sind zu viele Kommunen und Städte noch jeweils selbst damit befasst, ihre IT-Systeme abzusichern und werden dabei weitestgehend sich selbst überlassen.
– Die Anforderungen an die Meldepflicht für IT-Sicherheitsvorfälle sollten noch deutlicher konkretisiert werden. Dass bei 30.000+ durch NIS2 betroffenen Unternehmen alle gleichsam ihren Meldepflichten nachkommen und dies vom BSI auch überprüft und im Zweifelsfall sanktioniert wird, ist illusorisch. Vielmehr müssen den betroffenen und einmeldenden Unternehmen aktiv noch mehr Anreize zur Verfügung gestellt werden, von einer Sicherheitsmeldung zu profitieren, indem man als Betrieb in ein deutschlandweites Informationsnetzwerk zur Cybersicherheit einbezogen wird – zum Beispiel durch konkrete Feedback- und Informationskanäle an die Meldenden.
– Schon jetzt hat das BSI mehr Aufgaben, als es mit seinen eigenen personellen Kapazitäten erfüllen kann – und mit NIS2 treten noch einige weitere hinzu. Sinnvoll ist es deshalb, dass wie geplant das Budget des BSI aufgestockt wird – ob dies allein jedoch ausreichend sein kann, ist gegenwärtig noch unklar. Trotz des Nutzens aller Befugniszentralisierung in der Cybersicherheit sollte daher erwogen werden, bestimmte Kompetenzen auch auf andere Behörden in Deutschland zu übertragen, die ebenfalls Fachkompetenz in sicherer Digitalisierung besitzen. So wäre es denkbar, anstelle des BSI die BNetzA mit der Aufsicht über den EU CRA zu betrauen.
– Der „10+1“-Maßnahmenkatalog zur Cybersicherheit für die betroffenen Unternehmen ist schon im Text der NIS2-Richtlinie willkürlich gewählt – und in dieser Form daher irreführend, indem er suggeriert, dass Cybersicherheit (und damit NIS2 Compliance) vor allem durch den Kauf und das Abonnement von Cybersecurity-Produkten und Diensten gewährleistet werden kann. Hier sollte unbedingt eine Konkretisierung aufgenommen werden, dass Cybersicherheit nach dem Stand der Technik vor allem den Aufbau eines geordneten Prozessmanagements erfordert, das auch unabhängig von bestimmten Produkten stattfinden kann.
– Last but not least ist der deutsche Vorschlag zur Umsetzung von NIS2 nach wie vor kopflastig, indem er private Wirtschaftsbetriebe umfassend adressiert, die Einrichtungen der öffentlichen Verwaltung aber immer noch weitestgehend ausnimmt. Diese systematische Problematik zieht sich bislang durch alle nationalen NIS2-Entwürfe. Andere europäische Mitgliedstaaten sind hier schon deutlich weiter, indem sie auch stärker Einrichtungen auf allen Verwaltungsebenen sowohl der Zentralregierung wie auch auf lokaler und regionaler Ebene einbeziehen. Denn öffentliche Einrichtungen und Behörden sind Cyberbedrohungen genauso ausgesetzt wie mittelständische Unternehmen.
#denniskenjikipker #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen