Die NIS-2-Richtlinie („The Network and Information Security (NIS) Directive“) wurde am 27. Dezember 2022 im EU-Amtsblatt veröffentlicht und ist am 16. Januar 2023 in Kraft getreten. Hierbei werden die Cyber- und Informationssicherheit von Unternehmen und Institutionen geregelt. Bis zum Oktober 2024 müssen die EU-Mitgliedsstaaten die Richtlinie in nationales Recht umsetzen. Das IDW hat in seinem Schreiben vom 24. Mai 2024 Stellung zum Referentenentwurf des Bundesinnenministeriums, NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG), genommen.
Hintergrund:
Durch die NIS-2-Richtlinie sollen EU-weit die Cybersicherheit bei kritischen Infrastrukturen gestärkt und einheitliche Standards gesetzt werden. In Deutschland erfolgt die Umsetzung der Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Hierbei sollen die EU-Vorgaben vor allem durch eine Änderung des BSI-Gesetzes (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, BSIG) umgesetzt werden Die Frist für die nationale Umsetzung der europäischen Vorgaben endet im Oktober 2024. Im Rahmen der neuen Regelungen werden erheblich mehr Unternehmen als bisher einbezogen; in Deutschland rechnet man mit etwa 30.000 Unternehmen.
Stellungnahme des IDW zum Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
Das IDW hat mit dem Schreiben vom 24. Mai 2024 Stellung zum Referentenentwurf des Bundesministeriums des Innern und für Heimat (BMI) für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) genommen.
In seiner Stellungnahme empfiehlt das IDW aufgrund der gegenwärtigen Bedrohungslage im Cyberbereich die Implementierung zusätzlicher Maßnahmen zur externen Qualitätssicherung sowie zur Erhöhung der Cyberresilienz.
Des Weiteren kritisiert das IDW in seinem Schreiben, dass die Pflicht, die Erfüllung von Sicherheitsmaßnahmen nachzuweisen, nur für Betreiber kritischer Anlagen vorgesehen ist. Nach Auffassung des IDW sollte in Anbetracht der erhöhten Cyberbedrohungslage die Sicherheit der besonders wichtigen Einrichtungen gesteigert werden. Das IDW legt nahe, dass ein Nachweis durch externe Sicherheitsaudits, Prüfungen oder Zertifizierungen eine zusätzliche Qualitätssicherung durch unternehmensunabhängige Dritte gewährleisten würde. Folglich wird in der Stellungnahme empfohlen, dass die Nachweispflicht auf besonders kritische Einrichtungen auszuweiten ist.
Das IDW hält die im Referentenentwurf vorgesehene Verlängerung des Nachweiszeitraums von zwei auf mindestens drei Jahre für nicht zielführend. Ein zweijähriger Nachweiszeitraum, um Risiken rechtzeitig zu erkennen und zu beheben, sei angesichts der dynamischen Bedrohungslage im Bereich der Cybersicherheit, die durch den russischen Angriffskrieg auf die Ukraine nochmals verschärft wurde, angemessen. Daher erachtet das IDW es für sinnvoll, den Nachweiszeitraum für Betreiber kritischer Anlagen bei zwei Jahren zu belassen, wie es derzeit gesetzlich geregelt ist.