Stellungnahme zum NIS-2-Umsetzungsgesetz

Stellungnahme zum NIS-2-Umsetzungsgesetz

Der Innenausschuss des Bundestages behandelt am 04.11.2024 den Entwurf für ein Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) - BT-Drs. 20/13184.

Aus Sicht der GDD werden Begriffe im Gesetz nicht klar definiert sowie teilweise auch viele unterschiedliche und verwechslungsfähige Begriffe verwendet. Hier wünscht sich die GDD im Gesetz mehr Klarheit für die Rechtanwender.

Zudem fordert die GDD einen klaren Auftrag für das BSI. Das laufende Gesetzgebungsverfahren sollte genutzt werden, um im BSI-Gesetz unmissverständlich klarzustellen, dass das BSI für alle Zielgruppen nur auf Basis technisch-wissenschaftlicher Erkenntnisse und im Sinne der IT-Sicherheit agiert. Nicht nur Ministerien, sondern alle Verwender von IT brauchen die Gewissheit, dass das BSI ausschließlich der Förderung und Herstellung von IT-Sicherheit verpflichtet ist und nicht aufgrund sonstiger politischer Erwägungen an deren Schwächung mitwirkt, etwa in dem es Informationen zu Schwachstellen zurückhält bzw. an andere Behörden zur Ausnutzung weitergibt.

Während die Wirtschaft bereits seit Jahren zunehmend mit gesetzlichen IT-Sicherheitsverpflichtungen belegt wird, finden sich im nun vorgelegten Entwurf endlich auch konkretere Pflichten für Einrichtungen der Bundesverwaltung. Leider werden diese durch umfassende Ausnahmen wieder verwässert. Das kritisiert die GDD ausdrücklich. Gerade öffentliche Stellen sollten hier als Vorbild vorangehen und dementsprechend auch nicht von solchen Regelungen ausgenommen werden.

Im Hinblick auf die Meldepflicht wünscht die GDD im Sinne der Entbürokratisierung, dass der Gesetzgeber die Möglichkeit prüft, verschiedene Meldeverpflichtungen (z.B. nach NIS-2 und DS-GVO) über eine konsolidierte Meldung erfüllen zu können.

Auch im Bereich der Bußgeldvorschriften des Umsetzungsgesetzes besteht Nachbesserungsbedarf. IT-Sicherheitsvorfälle können sowohl nach den Regelungen des künftigen BSIG als auch nach der DS-GVO Bußgelder auslösen. Der vorgelegte Entwurf sieht eine Regelung vor, die doppelte Bußgelder für den selben Sachverhalt verhindern soll. Allerdings führt diese nur dann zur Vermeidung von Doppelbußgeldern, wenn die Datenschutzaufsichtsbehörden zuerst ein Bußgeld verhängt haben. Dann darf das BSI nach dem Regierungsentwurf keines mehr verhängen. Umgekehrt gilt dies bisher nicht. Das sollte aus Sicht der GDD geändert werden.

Das Gesetz zur NIS-2-Umsetzung ist das vierte große Gesetzgebungsvorhaben zur Änderung des BSI-Gesetzes seit 2015. Die Befugnisse des BSI wurden ebenso ausgebaut, wie die Verpflichtungen für die Wirtschaft. Eine Evaluierung der Regelungen in Bezug auf die Wirksamkeit wurde zwar immer wieder in den Gesetzen vorgesehen, aber mit jedem neuen Vorhaben auch wieder vertagt. Aus Sicht der GDD sollte diese Evaluierung endlich stattfinden. Nur dadurch kann Klarheit geschaffen werden, ob 1. die mit den Befugnissen des BSI verbundenen Eingriffe und 2. die hohen Aufwände in der Wirtschaft durch materielle aber auch formale Pflichten aus dem Gesetz auch in einem angemessenen Verhältnis zum erreichten Nutzen stehen.

Zu guter Letzt erinnert die GDD noch einmal daran, dass auch Verpflichtungen für die Landes- und Kommunalverwaltung notwendig sind. Dafür hatte sich die GDD bereits im Dezember 2023 durch Unterzeichnung des offenen Briefes des TeleTrust stark gemacht (https://www.gdd.de/aktuelles/gdd-unterzeichnet-offenen-brief-von-teletrust-zur-nichtumsetzung-nis-2-richtlinie-zuruecknehmen/). Die Mitglieder des Bundestages können entsprechende Gesetze nicht selbst erlassen. Die GDD appelliert jedoch im Rahmen der aktuellen Stellungnahme an sie, sich bei ihren zuständigen Kollegen in den Ländern für entsprechende gesetzliche Verpflichtungen einzusetzen.

Die Stellungnahme der GDD finden Sie hier

Stellungnahme