Warum Kuschelkurs in Sachen #Cybersecurity allein nicht mehr ausreicht: Die Zwischenbilanz nach Ablauf der dreimonatigen #Registrierungsfrist zu #NIS2 für besonders wichtige und wichtige Einrichtungen fällt ernüchternd aus. Von den seitens der Bundesregierung erwarteten rund 29.500 betroffenen Unternehmen hatte sich bis zum Stichtag noch nicht einmal die Hälfte registriert.
Neben der Frage, ob das deutsche NIS‑2‑Umsetzungsgesetz zu spät verabschiedet wurde oder zu komplex und zu unklar geraten ist, wirft dieses desaströse Ergebnis vor allem eine zentrale Frage auf: Ist das Bundesamt für Sicherheit in der Informationstechnik (#BSI) bereit, seine neue Rolle als Cybersicherheitsaufsicht nun auch konsequent auszufüllen?
Wenn mehr als die Hälfte der betroffenen Einrichtungen zentrale Pflichten eines Gesetzes zur Stärkung der Cybersicherheit nicht umsetzt, handelt es sich nicht um ein Randphänomen, sondern um ein ernstzunehmendes Risiko für die kollektive #Cybersicherheit und damit für die gesamtgesellschaftliche und wirtschaftliche Resilienz Deutschlands.
Eine Mitverantwortung an diesem Ergebnis trägt auch das BSI selbst als zentrale Cybersecurity Behörde. Denn statt einer klaren, pragmatischen Leitlinie – im Zweifel: Registriert euch! – hat sich die Behörde scheinbar in einer Vielzahl teils sehr kleinteiliger Hilfsangebote verloren. Besonders deutlich wurde dies beim sogenannten nis2know‑Paket für das Gesundheitswesen, in dem Rettungsdienste zunächst pauschal als nicht betroffen eingeordnet wurden, nur um diese Einschätzung nach massiver Kritik aus der Fachwelt ohne transparente Begründung wieder zu revidieren und ebenso pauschal ins Gegenteil zu verkehren. Transparente und nachvollziehbare Cybersecurity Compliance sieht anders aus.
Noch gravierender ist die fortlaufende Ankündigung des BSI von höchster Ebene, das geltende Recht vorerst nicht durchzusetzen und im Zuge dessen auch auf Sanktionen zu verzichten. Dass eine Aufsichtsbehörde trotz eines klaren gesetzlichen Auftrags ein inoffizielles NIS-2-Durchsetzungsmoratorium verkündet und sich im Vergleich zu Versicherern als den vermeintlich kleineren Hebel sieht, ist rechtsstaatlich bedenklich.
Nach dem desaströsen Ergebnis bei der Registrierung sollte die Behörde nun zeitnah über Informationsangebote und strategische Partnerschaften hinaus in die Umsetzung geben und notfalls auch Zähne zu zeigen. Ansonsten bleibt mehr flächendeckende Cybersicherheit in Deutschland eine theoretische Verpflichtung.
Darüber schreibe ich heute zusammen mit Stefan Hessel im Tagesspiegel Background Cybersecurity: https://background.tagesspiegel.de/it-und-cybersicherheit/briefing/das-bsi-muss-bei-nis-2-zaehne-zeigen