NIS-2-Richtlinie: Höhere Anforderungen an die Cybersicherheit von KRITIS-Unternehmen

Am 02. Dezember des letzten Jahres fand als Kooperationsveranstaltung mit der Landesgruppe Rheinland-Pfalz eine digitale Veranstaltung für VKU-Mitgliedsunternehmen zu „Cyberangriffen auf Kritische Infrastruktur“ statt. Dort berichteten die Stadtwerke Mainz, über ihre Erfahrungen mit einem Hackerangriff und welche Lehre sie daraus gezogen haben.

In diesem Zusammenhang gilt es nun, auch über die NIS-2-Richtlinie (Network and Information Security-RL) zu informieren, die am 27. Dezember im Amtsblatt veröffentlicht wurde. Deren Umsetzung durch die Mitgliedstaaten muss bis spätestens Oktober 2024 erfolgt sein. Die Richtlinie hat den Zweck, das Cybersicherheitsniveau in der EU zu erhöhen und zu vereinheitlichen.
Von dieser Richtlinie betroffen sind Unternehmen, die in einem der 18 einschlägigen Sektoren wie Energie, Transport, Trinkwasser, Abwasser, digitale Infrastruktur und Abfallwirtschaft tätig sind.

In diesem Rahmen bitten wir Herrn Buchholz, Referent für Recht der Digitalisierung, Bereich Recht, VKU, um eine kurze Einschätzung:

1. Herr Buchholz, wie bewerten Sie die NIS-2-Richtlinie aus Sicht unserer Mitgliedsunternehmen?

Für unser Mitgliedsunternehmen, die bereits jetzt den IT-Sicherheitspflichten nach dem IT-Sicherheitsgesetz 2.0 unterliegen, wird sich voraussichtlich nicht so viel ändern. Allerdings wird die Umsetzung der NIS-2-Richtlinie zur Ausweitung von IT-Sicherheitsregeln auf eine Vielzahl von Unternehmen führen, die bisher hiervon nicht erfasst wurden. Dies liegt daran, dass zukünftig nicht mehr die Anzahl der versorgten Kunden maßgeblich für die Anwendung des Gesetzes ist, sondern die Unternehmensgröße. Hier ist man in den erfassten Sektoren bereits ab einer Mitarbeiterzahl von 50 Mitarbeitern oder ab 10 Millionen Euro Jahresumsatz betroffen.

Höhere IT-Sicherheitsstandards sind sinnvoll, deswegen sollten gerade kleinere Unternehmen aus dem kommunalen Mittelstand bei der Umsetzung unterstützt werden, zum Beispiel durch eine staatliche Form der Unterstützung.

2. Wo sehen Sie allgemein Entwicklungspotenzial, wenn es um den Schutz von Kritischen Infrastrukturen gegen Cyberattacken in Deutschland generell geht?

Zum einen ist es teilweise ein Wahrnehmungsproblem – teilweise wird die Brisanz des Themas noch nicht hinreichend erkannt. Im Grundsatz handelt es sich jedoch um ein Ressourcenproblem: IT-Sicherheit kostet und es herrscht ein deutlicher Mangel an entsprechenden Fachkräften für die Umsetzung. Die beste Cyber-Sicherheitsstrategie nützt wenig, wenn es kein Personal für die Umsetzung gibt. Diese Probleme sollten dringend angegangen werden – im Optimalfall von Staat und Wirtschaft im Schulterschluss.

3. Wie hängt Cybersicherheit mit der physischen Sicherheit von Kritischen Infrastrukturen zusammen?

Beides lässt sich kaum sinnvoll voneinander trennen. So kann ein Server nicht nur durch einen Hackerangriff unbrauchbar gemacht werden, sondern auch schlicht durch rohe Gewalt zerstört werden. Teilweise werden solche Angriffe auch miteinander kombiniert, um maximalen Schaden anzurichten. Man denke hierbei nur an die Anschläge auf die Telekommunikationsinfrastruktur der Deutschen Bahn. Deshalb ist es wichtig, dass auch der Gesetzgeber immer beide Formen der Bedrohung zusammendenkt. Die Eckpunkte des KRITIS-Dachgesetzes gehen bereits in die richtige Richtung, auch wenn sicherlich noch Optimierungspotenzial für das KRITIS-Dachgesetz selbst vorhanden ist.

Wenn Sie weitere Fragen oder Anmerkungen zu dem Thema haben, können Sie sich gerne bei uns melden.