EU-Richtlinie für mehr Cybersicherheit : Fraktionen dringen auf besseren Schutz kritischer Infrastrukturen
Im Bundestag kommt es zu einer Kontroverse über die Umsetzung der EU-Cybersicherheitsrichtlinie NIS-2.
Wie sehr Cybersicherheit und der Schutz Kritischer Infrastrukturen in unserer digitalisierten Welt jeden einzelnen betrifft, haben diese Woche im Bundestag Vertreter der Koalition wie der Opposition mit drastischen Beispielen deutlich gemacht. So malte Bengt Bergt (SPD) am Mittwoch die Folgen eines Cyberangriffs auf die Energieinfrastruktur aus: "Wenn kein Strom fließt, gehen die Lichter aus, und wenn kein Gas fließt, wird es kalt, und in der Produktion stehen die Bänder still". Und Wasser gebe es bei einer Cyberattacke auf den Strom auch nicht mehr , warnte er. Silke Launert (CSU) sprach von einem "Horrorszenario", wenn kein Wasser zur Verfügung steht, "Abwasser nicht abtransportiert wird, der Strom nicht funktioniert, man keine Lebensmittel einkaufen kann". Das sei indes nicht nur ein Horrorszenario, fügte sie hinzu, sondern eine reale Bedrohung, die sich seit dem Angriff Russlands auf die Ukraine noch massiv verstärkt habe.
Zwei Vorlagen, zwei Debatten in einer Woche
Für mehr Sicherheit soll die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit, kurz: NIS-2-Richtlinie, sorgen, eine Weiterentwicklung der Richtlinie "über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" von 2016. In einem CDU/CSU-Antrag vom Juni, über den der Bundestag am Mittwoch debattierte, verwies die Fraktion darauf, dass die NIS-2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen sei, und forderte von der Bundesregierung die unverzügliche Vorlage eines entsprechenden Gesetzentwurfes.
Am Freitagnachmittag stand nun dieser Regierungsentwurf des “NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes” in erster Lesung auf der Tagesordnung des Parlaments . Damit sollen der mit dem IT-Sicherheitsgesetz von 2015 und dem "IT-Sicherheitsgesetz 2.0" von 2021 geschaffene Ordnungsrahmen entsprechend der unionsrechtlichen Vorgaben "auf den Bereich bestimmter Unternehmen erweitert" und zusätzlich entsprechende Vorgaben für die Bundesverwaltung eingeführt werden.
Die Maßnahmen für Verwaltung und Wirtschaft sollen verbindlich werden
Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten EU ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, wie die Bundesregierung in der Vorlage darlegt. Danach sollen wichtige und besonders wichtige Einrichtungen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden.
Zu den im Gesetzentwurf vorgesehenen Änderungen zählt die "Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht". Daneben sollen unter anderem wesentliche nationale Anforderungen an das Informationssicherheitsmanagement des Bundes gesetzlich verankert und die Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben harmonisiert werden.
In der Debatte am Mittwoch hielt die Union der Ampel-Koalition vor, nichts für die Cybersicherheit im Land getan zu haben. Erst nachdem der CDU/CSU-Antrag gestellt worden sei, habe sie den Regierungsentwurf kurz vor Ende der Umsetzungsfrist auf die Tagesordnung gesetzt, kritisierte Moritz Oppelt (CDU). Sein Fraktionskollege Marc Henrichmann (CDU) warf der Koalition vor, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Aufgaben aufbürden zu wollen, zugleich aber dessen Mittel um 21 Millionen Euro zu kürzen.
Für Daniel Baldy (SPD) finden sich die Forderungen des CDU/CSU-Antrags im Gesetzentwurf der Bundesregierung "eins zu eins wieder". Gleichwohl gebe es darin Punkte, die im parlamentarischen Verfahren verbessert werden könnten,
Auch Manuel Höferlin (FDP) betonte, die 15 Punkte des CDU/CSU-Antrags würden von der Regierungskoalition längst angegangen und umgesetzt. Zugleich hob er hervor, dass Cybersicherheit die "Achillesferse der modernen Informationsgesellschaft" sei. Das gelte insbesondere für die kritischen Infrastrukturen, IT-Netze und IT-Betreiber.
Sabine Grützmacher (Grüne) klagte, der Schutz kritischer Infrastruktur sei in den vergangenen Jahren vor allem von den Vorgängerregierungen vernachlässigt worden. Der effektive Schutz dieser Infrastrukturen müsse zu einem Teil einer Sicherheitspolitik werden, "die innere und äußere Bedrohungslagen zusammen denkt".
Steffen Janich (AfD) nannte Cybersicherheit "eine zentrale Herausforderung unseres Jahrhunderts". Die AfD begrüße grundsätzlich, wenn der Schutz kritischer Dienste im digitalen Bereich verbessert wird.
Am Ende der Debatte wurde der CDU/CSU-Antrag mit den Stimmen der Koalition bei Enthaltung der AfD und der Linken abgelehnt. Der Gesetzentwurf der Bundesregierung sollte dagegen am Freitag zur weiteren Beratung an die Ausschüsse überwiesen werden.