Der ZVEI hat in einer Stellungnahme zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) seine Bedenken geäußert. Der Verband der Elektro- und Digitalindustrie kritisiert insbesondere den hohen Ressourcenaufwand, den der aktuelle Referententwurf des Gesetzes erfordert, um die geforderten Standards zu erfüllen. Vor allem kleine und mittelständische Unternehmen (KMU) stehen vor großen Herausforderungen, weshalb der ZVEI fordert, dass diesen Unternehmen unterstützende Orientierungshilfen bereitgestellt werden.
NIS-2-Richtlinie muss effektiv und unbürokratisch umgesetzt werden
Angesichts der wachsenden Bedrohung durch Cyberangriffe bietet das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) eine Gelegenheit, die Cyberresilienz von Staat und Wirtschaft zu stärken. Dabei ist es jedoch entscheidend, dass die Vorgaben des Gesetzes effektiv und mit minimalem bürokratischem Aufwand umgesetzt werden. Leider müssen wir feststellen, dass die von uns im Oktober 2023 als kritisch identifizierten Punkte des damaligen Diskussionspapiers in dem nun veröffentlichten Referentenentwurf in nahezu unveränderter Form vorkommen.
Durch die Ausweitung des Anwendungsbereiches der NIS-2-Richtlinie ist die Elektro- und Digitalindustrie deutlich stärker von dem Rechtsakt betroffen als noch unter der ersten NIS-Richtlinie. Für die betroffenen Unternehmen erfordert dies eine intensivere Auseinandersetzung mit dem nationalen Umsetzungsgesetz in Begleitung von mit hohem Ressourcenaufwand verbundenen Anpassungen. Der jetzt vorliegende Referentenentwurf des NIS2UmsuCG wurde weniger als 6 Monate vor Ablauf der Umsetzungsfrist der EU-Richtlinie in die Anhörung gegeben. Umfassende und tiefgreifende Anforderungen – z.B. die Gewährleistung der Sicherheit der Lieferkette (gem. § 30 Abs. 2 S. 4) – konfrontieren insbesondere kleinere Unternehmen mit Herausforderungen, auf die sie heute noch keine adäquaten Lösungen haben. Vor diesem Hintergrund sollte auf eine sensible und praxisnahe Ausgestaltung des NIS2UmsuCG geachtet werden.
Orientierungshilfen für betroffene Unternehmen
Betroffenen Unternehmen sollten Orientierungshilfen zur Seite gestellt werden, damit diese ihre begrenzten Ressourcen zielführend einsetzen können. Zusätzlich sollte EU-weite Einheitlichkeit das oberste Prinzip bei der nationalen Umsetzung der NIS-2-Richtlinie sein. Viele unserer Unternehmen sind mindestens europäisch, wenn nicht international tätig, jegliche Abweichung in den einzelstaatlichen Umsetzungen hat unnötige Mehraufwände zur Konsequenz. Regulatorische Diskrepanzen erfordern Anpassungen, die Ressourcen binden und die deutsche Wirtschaftskraft hemmen. Es ist daher essenziell, dass die Mitgliedstaaten eng zusammenarbeiten, um konsistente und harmonisierte Regelungen zu entwickeln und umzusetzen.
Aus Sicht des ZVEI sind folgende Aspekte für eine effektive Umsetzung des NIS2UmsuCG problematisch:
- Die aktuell verwendete Definition des „Managed Service Provider“ oder „MSP“ gem. § 2 Abs. 1 S. 30 ist in der Hinsicht problematisch, dass hierrüber Einrichtungen als besonders wichtige Einrichtungen eingestuft werden könnten, deren Einstufung ursprünglich lediglich als wichtige Einrichtungen vorgesehen war.
- Die antizipierte Änderung des Energiewirtschaftsgesetzes birgt das Risiko einer Doppelregulierung für bestimmte Einrichtungen. Zudem sollten auch sog. virtuelle Kraftwerke in den Anwendungsbereich aufgenommen werden.
- Die Nutzung von CSA-Schemata entsprechend § 30 (6) sollte mit Augenmaß und zielgerichtet erfolgen. Die Festlegung mittels Rechtsverordnungen wirft prinzipielle rechtliche Fragen auf, vor allem, ob eine so umfassende Vorgabe wie ein potenzielles Verwendungsverbot lediglich mittels einer Rechtsverordnung erfolgen sollte.
- Die praktische Umsetzung der Meldepflichten gem. § 32 bleibt unklar. Die aktuelle Vorgabe ließe sich so auslegen, dass die 24-Stunden-Frist für Erstmeldungen ab dem Zeitpunkt beginnt, an dem die betroffene Einrichtung von einem Sicherheitsvorfall erfährt, ohne dass diese die Möglichkeit hatte diesen auf seine „Erheblichkeit“ i.S.v § 30 Abs. 1 S. 1 zu prüfen.
- Es sollte sichergestellt werden, dass Registrierungspflichten gem. §§ 33 und 34 nur im Land des Hauptsitzes erfolgen müssen. Eine europäisch einheitliche Lösung ist unbedingt national abweichenden Regelungen vorzuziehen.
- Die mit § 55 eingeführte nationale Zertifizierung führt zu Unsicherheiten in Folge von inkonsistenten Regelungen im EU-Binnenmarkt
Die gesamte Stellungnahme des ZVEI ist kostenfrei zum Download verfügbar.