Debatte um EU-Richtlinie : NIS 2 sorgt für heftige Kritik seitens der Industrie
Die NIS2-Richtlinie wird im Trilog weiterverhandelt, noch heuer soll die Richtlinie dann zur Abstimmung gebracht werden. Insbesondere kleine Unternehmen würde dadurch eine erhebliche finanzielle Belastung aufgebürdet, hinzu kämen große Rechtsunsicherheiten, hat der VDMA vor einem Jahr kritisiert. Wurde auf Ihre Kritik inzwischen reagiert, wie schätzen Sie den Stand der Verhandlungen derzeit ein?
Steffen Zimmermann: Im Verlauf der Verhandlungen wurden an einigen Stellen Erleichterungen und Konkretisierungen vorgeschlagen, die die Umsetzung in den Unternehmen erleichtern würden. Allerdings bleibt der Aufwand erheblich. Insbesondere ist bedauerlich, dass nach wie vor nicht ausreichend differenziert wird, ob ein Unternehmen als „wichtig“ oder „essentiell“ eingestuft wird: In beiden Fällen sind dieselben Anforderungen zu erfüllen. Salopp gesagt sind somit Mittelständler mit 50 Mitarbeitern Betreibern von Kernkraftwerken gleichgestellt. Gleichzeitig muss aber auch gesagt werden, dass vor dem Hintergrund zunehmender Cyberbedrohungen die Vorgaben der NIS2-Richtlinie grundsätzlich sinnvoll sind. Die Kritik richtet sich daher nicht auf den Kern der Cybersecurity-Anforderungen, mit denen sich jedes Unternehmen ohnehin und auch im eigenen Interesse auseinandersetzen sollte, sondern auf fehlende Abstufung der Anforderungen und stellenweise übertriebene Vorgaben. Für eine endgültige Bewertung bleibt aber abzuwarten, welche Vorschläge im Trilog als Verhandlungsergebnis angenommen werden.
Die deutsche Industrie kritisiert unter anderem die Höhe der Strafzahlungen, die ja bis zu 10 Millionen Euro betragen sollen. Diese Strafzahlungen wurden auch im Ausschuss für Industrie, Forschung und Energie diskutiert, aber nicht in die Liste der Änderungen aufgenommen. Was würden solche Strafzahlungen für die Industrie bedeuten?
Zimmermann: Grundsätzlich handelt es sich hier ja um Maximalbeträge für Strafzahlungen, die so nicht zur Anwendung kommen müssen. Aber hohe Strafandrohungen sorgen insbesondere bei kleineren Unternehmen eher für Verunsicherung als für Motivation. Die Politik sollte besser aufklären, zielgerichtet fördern und Hilfestellung anbieten, um eine zügige Anwendung der Vorschrift zu unterstützen. In diesem Bereich sind noch erhebliche Verbesserungen notwendig, um eine wirksame Umsetzung bei den Unternehmen erreichen zu können und dem befürchteten volkswirtschaftlichen Schaden etwas entgegen setzen zu können.
Die entsprechenden Überwachungsbehörden sind auf Ebene der Mitgliedsstaaten angesiedelt und es gibt auf EU-Ebene keine entsprechenden Stellen.
Kritisch wird auch kommentiert, dass in Zukunft CEOs bzw. Aufsichtsräte für die Nichtumsetzung zur Verantwortung gezogen werden sollen – z. B. wenn Angriffe nicht zeitgerecht gemeldet werden. Wie stehen Sie zu diesem Vorschlag?
Zimmermann: Grundsätzlich sind Geschäftsführer immer für die Einhaltung gesetzlicher Vorgaben verantwortlich. Die explizite Nennung dieser Akteure rückt diesen Aspekt in den Fokus. Der Maschinenbau kann die Motivation erkennen, ob dadurch die gewünschte Wirkung erzielt werden kann, wird die praktische Anwendung zeigen.
Öffentliche Stellen solle ja hingegen von Sanktionen ausgenommen werden. Wie erklären Sie sich diese Unterscheidung?
Zimmermann: Dafür haben wir keine Erklärung. Insbesondere wenn man schaut, wie lange öffentliche Stellen zuletzt gebraucht haben, um die Schäden von Cyberangriffen zu beseitigen. Um die durch Sanktion beabsichtigte Motivation nicht zu schwächen und dem gesellschaftlichen Interesse an angemessener Cybersecurity Rechnung zu tragen, sollte es für öffentliche Stellen auch Folgen für die Nichtanwendung geben. Wir sitzen alle im selben Boot.
Die Einhaltung der Vorschriften soll ja national überwacht werden. Wer soll diese Aufgabe übernehmen und kommt es dann nicht eben wieder zu Unterschieden in den Mitgliedstaaten?
Zimmermann: Das ist die Konsequenz der Wahl des Formats „Richtlinie“. Ja, das Risiko besteht. Aber es gibt kaum eine Alternative: Die entsprechenden Überwachungsbehörden sind auf Ebene der Mitgliedsstaaten angesiedelt und es gibt auf EU-Ebene keine entsprechenden Stellen. Ohne Zweifel müssen bei der Bewertung der Sicherheit und Vertrauenswürdigkeit nationale Interessen berücksichtigen werden. Die Forderungen für eine EU-Vollzugsbehörde sollte nach Meinung des Maschinenbaus gut abgewogen werden. Große Behörden haben nicht nur Vorteile, insbesondere hinsichtlich der Flexibilität, Effizienz und Wirksamkeit. Ob solch eine EU-Behörde sich zu einer Entscheidung gegenüber Kaspersky geäußert hätte, kann gewiss bezweifelt werden. Für KMUs ist ein möglichst „schlanker“ und unbürokratischer Vollzug wichtig, der bei nationalen Behörden erfahrungsgemäß sehr wirksam ist und die gesteckten Ziele wirklich erreichen lässt. Und grundsätzlich ist es gut, wenn Behörden nah an den Unternehmen sind. Das BSI ist daher einer ENISA jederzeit vorzuziehen.
Was raten Sie KMUs, die keine eigene Security-Abteilung im Haus haben. Wie sollte man sich auf die kommende Richtlinie vorbereiten?
Zimmermann: Ein guter Start ist frühzeitig zu klären, ob man im Scope der Richtlinie ist und welche Anforderungen dadurch zu erwarten sind. Auch wenn die Security-Stelle fehlt, bleibt die Geschäftsführung verantwortlich und muss in Zukunft die notwendige Qualifikation zur Bewertung von Risiken nachweisen. Wir gehen davon aus, dass der Beratungsbedarf das Angebot bei weitem überschreiten wird, je näher der Umsetzungstermin in nationales Recht rückt. Mit dem IT-Sicherheitsgesetz 3.0 wird es in Deutschland 2023/24 dann soweit sein, am besten also jetzt loslegen. Als VDMA bieten wir unseren Mitgliedsunternehmen Unterstützung durch ein umfassendes Hilfsprogramm, unter anderem mit Weiterbildungen zu Security, digitale Lernbausteinen, einem eigenen Cybersecurity Portal sowie einem Erfahrungsnetzwerk im Competence Center Industrial Security. Perspektivisch werden wir das Thema für unsere Mitglieder weiter ausbauen, um auch zukünftig jederzeit eine praxisnahe Unterstützung im Maschinen- und Anlagenbau zu bieten.