Liebe Leserinnen und Leser,
NIS-2 wurde im Bundesrat beschlossen. Der Vorgang liest sich bei unserer Regierung wie folgt: „Die Bundesregierung will neue (!!!) europäische Sicherheitsstandards für Wirtschaft und Verwaltung in deutsches Recht umsetzen. Der Bundesrat hat einen entsprechenden Gesetzentwurf der Bundesregierung gebilligt.“
Während sich die Szene also feiert und gegenseitig auf die Schulter klopft, weil der Vermittlungsausschuss nicht angerufen wurde, bekräftigen die meisten der teils selbsternannten Experten ihre seit Monaten vorgebrachte Kritik an NIS-2: „Too little, too late.“
Zu spät: Eigentlich hätte diese EU-Richtlinie schon im Herbst 2024 in nationales Recht überführt werden müssen. Und zuu wenig und zu zahnlos, lautet die Kritik weiter. So wird beispielsweise die „unklare Rolle des BSI“ nicht angetastet, sondern massiv gestärkt. Außerdem verfällt teilweise die Behörden-Regulierung der Kritik. Denn hier wird zwischen den Ministerien und dem Kanzleramt auf der einen Seite, die höhere Anforderungen erfüllen müssen, und den Bundesbehörden auf der anderen Seite unterschieden. Letztere fallen unter den bereits erreichten Regulierungsstand zurück.
Einrichtungen und Unternehmen im NIS-2-Geltungsbereich müssen jedenfalls künftig potenziell wirksame Schutzmaßnahmen, wie Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen, nachweisen können. Für die rund 30.000 Unternehmen und Organisationen, die künftig vom noch in diesem Jahr überarbeiteten IT-Sicherheitsgesetz betroffen sind, dürfte die Verschärfung der Meldepflicht bei Sicherheitsvorfällen weiterhin beachtenswert sein. So muss beispielsweise eine erste Meldung innerhalb von 24 Stunden erfolgen. Als „Incentive“ ist der ganze Apparat mit nennenswerten Bußgeldern ausgestattet, die bei Regelverstößen fällig werden können. Es geht um bis zu zwei Prozent des Jahresumsatzes bzw. bis zu zehn Millionen Euro.
Die Geschäftsleitungen werden über persönliche Verantwortung stärker in die Pflicht genommen. Regelmäßige Schulungen für die Geschäftsführung und die Mitarbeitenden betroffener Organisationen werden obligatorisch. Denn Sicherheit entsteht nicht (nur) durch Gesetze, Vorschriften und Maßnahmen. Sicherheit kann nur durch Sicherheitsbewusstsein und durch Menschen entstehen, die Maßnahmen ergreifen. Apropos: Unser Titelthema, der erste Teil einer dreiteiligen Miniserie, stellt den „Faktor Mensch in der Krise“ in den Mittelpunkt.
Zwei weitere Beiträge runden diesen kleinen Schwerpunkt zu Krisenkommunikation und Resilienz ab. Anschließend geht es mit dem Thema Brandschutz(kataster) und gleichzeitig dem Beginn eines weiteren, lesenswerten Dreiteilers weiter. Ein kurzer Veranstaltungsrückblick soll dann belegen, dass sich Brandprävention und Spaß nicht ausschließen müssen.
Abschließend stellt Sicherheitsberater Rochus Zalud verblüffende Parallelen zwischen einer Fahrt mit dem ICE L (Wikipedia: „Die Züge sind barrierefrei; der Buchstabe L steht für low floor, englisch für Niederflur“) und der Begehung einer Leitwarte fest. Wir wünschen bewegende Lektüre.