Liebe Leserinnen und Leser,
„NIS2-Umsetzung und Kritis-Dachgesetz endgültig gescheitert“ – So oder ähnlich wurde vermeldet, dass die Noch-Regierung auch bei diesen – im Kern durchaus begrüßenswerten Gesetzen – die Umsetzung vergeigt hat.
Bei manchem Kommentar zu diesem Scheitern entsteht der Eindruck, dass die NIS2 Richtlinie in ihrer Auswirkung immer noch irgendwo zwischen Datenschutzgrundverordnung (= nackte Panik) und „Tethered Caps“-Verordnung (= was soll der Mist mit diesem Deckel?) wahrgenommen wird. Entsprechend groß ist die Erleichterung, sich erstmal nicht mit dem rätselhaften Thema NIS2 plagen zu müssen.
Wenn wir die NIS2- und RCE-Richtlinien und die dazugehörigen Gesetzentwürfe (NIS2-Umsetzungs- und KRITIS-Dachgesetz) lesen, dann ist deren Ziel die Schaffung eines einheitlichen sicheren Niveaus an Cyber- und physikalischer Sicherheit. Ein Großteil der Texte befasst sich dabei ohnehin mit Vorgaben für die EU-Mitgliedsstaaten selbst, nicht für deren Wirtschaft. Bei NIS2 sind für Unternehmen im Kern nur die §§ 21 und 22 von Bedeutung. Was darin gefordert ist, findet sich im Wesentlichen in den wohlbekannten Standards ISO 27001/2 oder BSI-IT-Grundschutz wieder. Also Sicherung und Schutz der Daten- und Informationstechnik incl. deren Infrastruktur – gemeinhin auch mit Cybersicherheit überschrieben.
Das KRITIS-Dachgesetz schlägt in die gleiche Kerbe, aber aus einer anderen Richtung, nämlich Resilienz für Wirtschaft, Industrie und Organisationen in punkto physikalischer Sicherheit und Business Continuity zu erreichen. Beide Ansätze sind absolut richtig, absolut erforderlich und gehören zusammen. Die „Kernforderungen“ umzusetzen, ist im Interesse jedes Unternehmens.
Deshalb lautet die Empfehlung: machen Sie weiter mit jeder Aktivität, die die Cybersicherheit Ihres Unternehmens stärkt. NIS2 hin oder her: eine an Risiken orientierte Aufstellung jeder Art von IT, klare Vorgaben und Verantwortlichkeiten, eine Bildung von Schutzzonen für die IT nach Vorbild der physischen Sicherheit usw. sind im eigenen Interesse. Und denken Sie an jede IT. Nicht nur die vielen PC, sondern auch ihre Heizung und ihre Zutrittskontrollanlage sind mittlerweile vernetzt.
Diese Themen müssen bei der heutigen „Cyber-Sicherheitslage“ Aufmerksamkeit und genügend „Manpower“ erhalten. Wie das zugehörige deutsche Gesetz dereinst dann im Detail aussehen wird, ist dagegen von geringer Bedeutung. Man darf in seiner Wirkung auf Ähnlichkeit zur Realität der DSGVO setzen. Es sind weder tausende von Kontrolleuren unterwegs, noch wurden ihre angeblich existenzbedrohenden Bußgelder irgendwo verhängt.
Traurig wäre nur wenn die derzeit enthaltene Idee bliebe, behördliche IT von Verpflichtungen zur besseren Cybersicherheit auszunehmen. Dieser gedankliche Ansatz schont zwar irgendwelche staatlichen Budgets und folgt dem Trend zu schimmeligen Schulen und einstürzenden Brückenbauten, dennoch beeinträchtigt eine IT-lose, weil verschlüsselte Stadtverwaltung in fühlbarem Maße.
