10 März Umsetzung der NIS-2-Richtlinie muss neu aufgerollt werden
Kommt es, oder kommt es nicht? Das lange Hin und Her zur nationalen Umsetzung der NIS-2-Richtlinie
Als eines von noch wenigen Gesetzesvorhaben war bei dem sogenannten NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) vieles bis zuletzt noch sehr offen. Als Entwurf – der mit der Verabschiedung neue Pflichten für Unternehmen bedeutet hätte – wurde es zuletzt Anfang Dezember 2024 vom federführenden Bundesinnenministerium überarbeitet und zwischen den Fraktionen zur Diskussion gebracht. Ein Umstand, der auch bei der Telekommunikationsbranche zu erheblichen Verunsicherungen geführt hat.
Doch worum geht es? Die Richtlinie schreibt vor, dass jeder Mitgliedstaat eine nationale Cybersicherheitsstrategie annimmt, die Strategien für die Sicherheit der Lieferkette, das Schwachstellenmanagement und die Aufklärung und Sensibilisierung im Bereich Cybersicherheit umfasst. Im Rahmen der NIS-2-Umsetzung hatten sich SPD und Grüne nach dem Ampelbruch auf einen Entwurf für das Umsetzungsgesetz geeinigt. Damit öffneten sie ein Fenster für eine Verabschiedung – wohlwissend, dass CDU/CSU oder FDP im Bundestag hätten zustimmen müssen. Die Unionsfraktion hatte im Verlauf sehr früh ihre Ablehnung geäußert. Nicht aber die FDP.
Deren innenpolitischer Sprecher Manuel Höferlin, MdB äußerte sich in internen Arbeitsgruppen zwischenzeitlich positiv zum Entwurf, da unter anderem die Unabhängigkeit des BSI mit seiner zentralen Stellung – ebenfalls mit dem Chief Information Security Officer (Ciso) – gestärkt würde.
Im Fokus der Kritik stand für uns als Telekommunikationsbranche aber die geplante alleinige Entscheidungsbefugnis des Bundesinnenministeriums zur Untersagung kritischer Komponenten (§ 41 des Entwurfs). Ohne verbindliche Abstimmung mit anderen Ministerien enthielt es umfangreiche Risiken, die extreme Planungsunsicherheit für Unternehmen, die jährlich Milliarden in den Netzausbau investieren, zur Folge hätten. Diese Regelung wirkte in der Kürze wie ein massiver Eingriff und untergrub auch die bisherigen Beschlüsse zwischen den Netzbetreibern und der Bundesregierung. Wichtig wäre hier eine breite politische Debatte gewesen und die Einbindung aller betroffenen Akteure – das fand so nicht statt.
Der VATM hatte dieses Thema umfangreich an die Politik adressiert und zur Diskussion gebracht. Schlussendlich führte diese Kritik mit vielen weiteren Verhandlungspunkten zu einer Nicht-Abstimmung zwischen SPD, Grünen und FDP. Somit fällt die nationale Umsetzung der NIS-2-Richtlinie in die Diskontinuität. Wir erwarten, dass die neue Bundesregierung das Thema zügig nach der Bildung der Koalition wieder aufgreifen wird, zumal die von der EU-Kommission gesetzten Umsetzungsfristen bereits gerissen sind. Hier bleiben wir ebenfalls weiter am Ball.
