Illustration von digitalen Sicherheitsmaßnahmen: Schutzschild um kritische Infrastruktur

NIS-2 und das Chaos ist Perfekt!

Die Umsetzung der NIS-2-Richtlinie in Deutschland soll die Cybersicherheit maßgeblich stärken – doch viele Details werfen Fragen auf. In seiner Stellungnahme zum geplanten NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz fordert der Bundesrat konkrete Nachbesserungen, um besonders kritische Infrastrukturen besser zu schützen. Dazu zählen Maßnahmen wie eine Identitätsprüfung bei Domainregistrierungen zur Eindämmung von Fake-Shops, stärkere Unterstützung für Polizeibehörden, erweiterte Sicherheitsstandards im Gesundheitswesen und eine transparentere Verbraucherinformation. Doch das Fazit ist klar: Es bleibt noch einiges zu tun, bis das Gesetz praxistauglich wird und einen umfassenden Schutz vor Cyberbedrohungen gewährleisten kann.

Verbesserte Cybersicherheit: Der Bundesrat fordert strengere Maßnahmen zum Schutz kritischer Infrastrukturen

Der Bundesrat hat in seiner 1047. Sitzung am 27. September 2024 eine Stellungnahme zum Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes abgegeben. Der Entwurf soll die NIS-2-Richtlinie der EU in nationales Recht umsetzen und die Cybersicherheit in Deutschland verbessern. Also sind nun alle Klarheiten beseitigt, und keiner weiß was er zu tun hat. Wir bei hosting.de haben uns den Entwurf mal genauer angesehen und nachfolgend zusammengefasst. Der Bundesrat begrüßt das Ziel der Bundesregierung, die Cybersicherheit zu erhöhen, fordert aber Nachbesserungen in mehreren Punkten, um den Schutz kritischer Infrastrukturen zu stärken.

Ein zentraler Punkt der Stellungnahme des Bundesrats ist die Verbesserung der Bekämpfung von Fake-Shops. Der Bundesrat fordert eine Identitätsprüfung bei der Domainregistrierung und -übertragung von “.de”-Domains, um die missbräuchliche Nutzung dieser Domains für Fake-Shops zu verhindern. Die Verfügbarkeit vollständiger Domain-Registrierungsdaten für berechtigte Zugangsnachfrager, wie Behörden und Verbraucherzentralen, soll in Echtzeit gewährleistet werden. Der Bundesrat fordert zudem, die Möglichkeit der Domainblockierung bei Missbrauch zu regeln.

Der Bundesrat setzt sich außerdem für eine stärkere Unterstützung der Länder bei der Informationssicherheit ein. Er fordert, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch die Polizei- und Verfassungsschutzbehörden der Länder bei ihren Aufgaben unterstützt. Weiterhin soll den Ländern der Zugriff auf technische Richtlinien und Referenzarchitekturen des BSI ermöglicht werden, um eine länderübergreifende Standardisierung und Reduzierung von Verwaltungsaufwand zu fördern.

Um die Cybersicherheit im Gesundheitswesen zu verbessern, fordert der Bundesrat, die Finanzierung der durch die Umsetzung des NIS-2-Gesetzes entstehenden Kosten für Krankenhäuser sicherzustellen. Außerdem soll geprüft werden, ob die Frist zur Vorlage von Nachweisen über die Erfüllung der Informationssicherheitsverpflichtungen, die für Krankenhäuser vorgesehen ist, auch für andere wichtige Einrichtungen im Gesundheitssektor gelten kann. Der Bundesrat sieht das Risiko, dass viele Krankenhäuser, insbesondere im ländlichen Raum, nicht in den Anwendungsbereich des Gesetzes fallen, obwohl sie durch Cyberangriffe gefährdet sind. Er regt an, neben dem branchenspezifischen Schwellenwert weitere Kriterien zur Bestimmung kritischer Einrichtungen im Gesundheitswesen zu prüfen.

Der Bundesrat spricht sich zudem für eine Erweiterung des BSI-Sicherheitskennzeichens aus, um die Transparenz von Sicherheitseigenschaften für Verbraucher zu verbessern. Das Kennzeichen soll Fragen des Datenschutzes berücksichtigen, auf alle verbrauchernahen Produkte mit digitalen Elementen ausgeweitet werden und eine einfach verständliche Bewertung der Sicherheit des Produkts in Form einer Sterneskala enthalten.

Weitere Punkte der Stellungnahme des Bundesrates betreffen:

  • Die Klarstellung, dass die Entwicklung und der Betrieb länderübergreifender IT-Verfahren durch die Regelungen des NIS-2-Gesetzes nicht berührt werden.
  • Die Verpflichtung zur Authentifizierung mit einem elektronischen Identitätsnachweis auf Vertrauensniveau “hoch” für den Zugang zur Informationsplattform des BSI.
  • Die Integration einer medienbruchfreien, digitalisierten Meldestelle für IT-Sicherheitsvorfälle in die Online-Plattform des BSI.
  • Die Verpflichtung des BSI, Online-Formulare für Meldungen von Datenschutzverletzungen gemäß DSGVO bereitzustellen.
  • Die Schaffung von Musterverträgen für IT-Dienstleister, die Leistungen für die Bundesverwaltung erbringen.
  • Die Klarstellung, dass die bestehenden Haftungsregelungen für öffentliche Einrichtungen und deren Bedienstete unberührt bleiben.
  • Die Verpflichtung der Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen, ihren Mitarbeitern regelmäßig Schulungen zur Informationssicherheit anzubieten.

Der Bundesrat betont die Bedeutung einer kohärenten Gesetzgebung zum Schutz kritischer Infrastrukturen und einer effektiven Zusammenarbeit zwischen Bund und Ländern. Die Stellungnahme des Bundesrates zeigt, dass es noch einige Punkte gibt, die im weiteren Gesetzgebungsverfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz geklärt werden müssen, um ein hohes Niveau an Cybersicherheit in Deutschland zu gewährleisten.

Neuer: Dubai Domain Days: Das führende Domain-Event im Nahen Osten hosting.de Blog Älter: Warum ist eine ISO-Zertifizierung wichtig für Webhosting Unternehmen?

05.11.2024