Mit dem Ziel, die Resilienz der digitalen Infrastruktur in Deutschland zu stärken, hat das Bundesministerium des Innern und für Heimat (BMI) einen aktualisierten Referentenentwurf zur Umsetzung der NIS-2-Richtlinie in Deutschland vorgelegt. Dieses Ziel begrüßt der TÜV-Verband, empfiehlt jedoch diverse Anpassungen.
Die Kernforderungen im Überblick
- Unternehmen ganzheitlich betrachten: § 28 (3) BSIG-E erlaubt es Unternehmen, sich bei der Feststellung der Art von Einrichtungen auf Unternehmensteile zu beschränken. In der NIS-2-Richtlinie ist dies nicht vorgesehen und sie erfordert zudem eine ganzheitliche Betrachtung.
- Nachweispflichten ausweiten: Der TÜV-Verband kritisiert, dass § 39 BSIG-E nur stichprobenartige Nachweise für "besonders wichtige" Einrichtungen vorsieht und fordert regelmäßige Nachweise und gezielte Überprüfungen.
- Nachweiszyklen auf zwei Jahre festlegen: Die Verlängerung der Nachweiszyklen auf drei Jahre betrachtet der TÜV-Verband als unangemessen.
- Mindestmaßnahmen im Risikomanagement definieren: Der TÜV-Verband empfiehlt deshalb, die Mindestmaßnahmen im Gesetzestext so zu konkretisieren, dass die mit dem ehemals verwendeten Begriff "Cyberhygiene" verbundenen grundlegenden Sicherheitspraktiken verpflichtend verankert bleiben.
- Aufsichts- und Durchsetzungsmaßnahmen stärken: Der TÜV-Verband bemängelt die eingeschränkte Handlungsfähigkeit des BSI in § 61 BSIG-E und fordert die Wiedereinführung der Benennung eines Überwachungsbeauftragten.
- Vertrauen schaffen durch akkreditierte unabhängige Zertifizierungsstellen: Der TÜV-Verband fordert verbindliche Zertifizierungen durch qualifizierte Drittstellen, um Vertrauen in die Umsetzung von Cybersicherheitsanforderungen zu schaffen.
- Praxishilfe zur Absicherung der Lieferkette: Der TÜV-Verband fordert detaillierte Handreichungen zur Gestaltung der Maßnahmen zur Absicherung der Lieferkette, um betriebswirtschaftliche Erwägungen und Interpretationsspielräume zu klären.
- Regulatorische Konsistenz herstellen: Die Änderungen bei den Mindestmaßnahmen zum Risikomanagement gemäß § 30 (2) BSIG-E sollten im § 5c (4) EnWG-E entsprechend angeglichen werden.
