Aktuelles, Experten - geschrieben von cp am Dienstag, November 21, 2023 14:41 - ein Kommentar
NIS-2-Nicht-Umsetzung: Offener Brief des TeleTrusT an den IT-Planungsrat
Aufforderung zur Rücknahme des Beschlusses 2023/39 aus der 42. Sitzung vom 03.11.2023
[datensicherheit.de, 21.11.2023] In einem offenen Brief fordert der Bundesverband IT-Sicherheit e.V. (TeleTrusT) die Rücknahme des Beschluss des IT-Planungsrates zur Nicht-Umsetzung der NIS-2-Richtlinie vom 03.11.2023. IT-Sicherheit ließe sich nur flächendeckend umsetzen, daher sei der Beschluss kontraproduktiv:
Offener Brief an den IT-Planungsrat: Nehmen Sie den Beschluss zur Nicht-Umsetzung der NIS-2-Richtlinie zurück!
Der Bundesverband IT-Sicherheit e. V. (TeleTrusT) fordert den IT-Planungsrat auf, den Beschluss 2023/39 zurückzunehmen.
Im Beschluss 2023/39 hat der IT-Planungsrat die Länder und den Bund gebeten, den Anwendungsbereich der NIS-2-Richtlinie nicht auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene sowie Bildungseinrichtungen zu erstrecken. Das Gegenteil ist notwendig: zur Herstellung eines angemessenen IT-Sicherheitsniveaus in Deutschland ist es erforderlich und dringend geboten, insbesondere die Kommunen, aber auch die Bildungseinrichtungen gesetzlich auf IT-Sicherheit zu verpflichten und diese nicht pauschal aus dem Anwendungsbereich herauszulassen.
Zur Umsetzung der NIS-2-Richtlinie
An der Umsetzung der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148) der EU wird derzeit intensiv gearbeitet. Der vom Bundesministerium des Innern und für Heimat federführend entwickelte Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) befindet sich derzeit in der Ressortabstimmung. Nach zwei an die Öffentlichkeit gelangten Referentenentwürfen, einem nicht mit der Bundesregierung abgestimmten „Diskussionspapier“ und dem anschließenden „Werkstattgespräch“ des BMI mit den Verbänden ist deutlich geworden: die durch die NIS2-Richtlinie umzusetzenden Regelungen sind anspruchsvoll, aber für das Gemeinwohl, die Bürgerinnen und Bürger, die Unternehmen und auch Behörden und öffentlichen Stellen als wichtig und wesentlich erkannt. Die Anstrengungen, funktionierende Regeln auf Bundesebene zu definieren, wird von den unmittelbar und mittelbar Beteiligten mit großer Ernsthaftigkeit betrieben. Das tut auch nicht zuletzt Not, da die Umsetzungsfrist am 17.10.2024 endet.
Der Bund darf mit einem NIS2UmsuCG die Umsetzung der NIS-2-Richtlinie jedoch nur im Rahmen seiner Kompetenzen für den Bund regeln. Die europäischen Umsetzungsvorgaben gehen darüber allerdings hinaus und umfassen zum einen auch „Einrichtungen der öffentlichen Verwaltung auf regionaler Ebene“. Die Bundesländer haben also eigene IT-Sicherheitsgesetze zu schaffen respektive anzupassen.
Zum anderen bestimmt die NIS-2-Richtlinie, dass die Mitgliedstaaten die Anwendbarkeit für „Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene“ sowie „Bildungseinrichtungen“ vorsehen können. Die lokale Ebene sind in Deutschland die Kommunen. Ob die Kommunen und Bildungseinrichtungen gesetzlich auf IT-Sicherheit verpflichtet werden, liegt also im Ermessen der Mitgliedstaaten, hier der Bundesländer.
Der IT-Planungsrat veröffentlicht nun am 03.11.2023 den Beschluss 2023/39, in dem es unter anderem heißt:
„2. Er [der IT-Planungsrat] nimmt den Sachstandsbericht der AG Informationssicherheit zur Kenntnis und bittet die Länder und den Bund, von der Option, den Anwendungsbereich der NIS-2-Richtlinie auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen zu erstrecken, keinen Gebrauch zu machen.“
Diese ausdrückliche Bitte an Bund und Länder beinhaltet, die Kommunen und Bildungseinrichtungen vom Anwendungsbereich der NIS2-Richtlinie kategorisch auszunehmen. Würde dieser Bitte Folge geleistet, gäbe es auch in Zukunft keinen gesetzlichen Mindestanforderungen an die IT-Sicherheit für die genannten Bereiche. Und dies bei einer IT-Sicherheitslage, die noch zu keiner Zeit schlechter war als sie dieser Tage ist.
Deshalb fordert TeleTrusT den IT-Planungsrat auf, den Beschluss zurückzunehmen und zu Ziff. 2 des Beschlusses das Gegenteil zu beschließen. Das gemeinsame Ziel muss eine IT-Sicherheit auf bestmöglichem Niveau sein. Dazu leisten IT-Sicherheitsgesetze einen wichtigen Beitrag. Der Anspruch muss sein, auf jeder staatlichen Ebene alles dafür zu tun, IT-Sicherheit bestmöglich zu planen und umzusetzen.
IT-Sicherheit lässt sich nur flächendeckend verbessern.
Ohne eine funktionierende IT-Sicherheit kann der Staat bei Erfüllung seiner Aufgaben seinen Schutzpflichten nicht nachkommen und gefährdet das notwendige Vertrauen für eine Digitalisierung aller Lebensbereiche nachhaltig. Der „Weg für eine effiziente, sicherere und gut vernetzte digitale Verwaltung in Deutschland“ (gemäß Selbstbeschreibung des IT-Planungsrats) wird so nicht geebnet.
Der Ausschluss aus dem Regelungsregime ignoriert auch die Signalwirkung auf Unternehmen und Gesellschaft. Wie vermieden werden soll, dass die vom künftigen Recht erfassten Unternehmen keine sachlich ungerechtfertigte Ungleichbehandlung erkennen, bleibt offen. Zumal sich die fatalen Folgen unzureichender digitaler Infrastruktur und fehlender IT-Sicherheitsmaßnahmen in den Kommunen aktuell besonders bemerkbar machen: eine Vielzahl von Cyberattacken führt gegenwärtig zu einem flächendeckenden Ausfall zahlreicher Bürgerämter, wodurch Bürger und Bürgerinnen über einen längeren Zeitraum Verwaltungsleistungen nicht in Anspruch nehmen können. Prognosen zeigen, dass Angriffe auf informationstechnische Systeme kommunaler Behörden in Zukunft weiter ansteigen werden. Auch Bildungseinrichtungen, wie Schulen oder Universitäten, sind vermehrt betroffen.
Im Bericht „Die Lage der IT-Sicherheit in Deutschland 2023“ des BSI wird dazu festgestellt: „Kleine und mittlere Unternehmen (KMU) sowie besonders Kommunalverwaltungen und kommunale Betriebe wurden überproportional häufig angegriffen“. „Im Berichtszeitraum wurden insgesamt 27 kommunale Verwaltungen und Betriebe als Opfer von Ransomware-Angriffen bekannt.“ Die betroffenen Kommunen hatten dabei knapp sechs Millionen Einwohnerinnen und Einwohner.
Die Gefahr eines weitreichenden Zusammenbruchs von Verwaltungs- und Bildungseinrichtungen ist evident, ebenso das damit einhergehende datenschutzrechtliche Risiko.
Der Beschluss des IT-Planungsrats ist kontraproduktiv.
Denn er negiert eine konstruktive Beteiligung an den Aufgaben und enthält zudem auch keinerlei Vorschläge, wie auf anderem Weg für IT-Sicherheit gesorgt werden solle.
Es ist wichtig, die offensichtlichen Handlungsnotwendigkeiten für eine gute IT-Sicherheit allseits zu erkennen und konsequent zu handeln. Wer eine Regulierung ablehnt, womöglich auch aus Gründen praktischer Umsetzungsschwierigkeiten, dem wird man schwerlich zutrauen, die IT-Sicherheit auch ohne eine solche Regulierung freiwillig umzusetzen.
Der Möglichkeit, Kommunen und Bildungseinrichtungen auf nationaler Ebene von den europarechtlichen Vorgaben freizuhalten, sollten Bund und Länder verantwortlich entgegentreten. Der IT-Planungsrat sollte hier als politisches Steuerungsgremium von Bund und Ländern in Fragen der Informationstechnik und der Digitalisierung von Verwaltungsleistungen seiner Aufgabe gerecht werden.
Der Bundesverband IT-Sicherheit bietet seine Mitwirkung auf dem Weg zu mehr IT-Sicherheit auf allen Ebenen an und ist für Gespräche jederzeit offen.
Unterzeichner:
Vorstand und Geschäftsführung Bundesverband IT-Sicherheit e. V. (TeleTrusT)
- RA Karsten U. Bartels LL.M.
- Prof. Dr. Norbert Pohlmann
- Dr. André Kudra
- Dr. Holger Mühlbauer
Erstzeichner:
CISO Alliance e.V., Ron Kneffel, Vorstandsvorsitzender
Weitere Informationen zum Thema:
IT-Planungsrat
Umsetzung NIS-2-Richtlinie
datensicherheit.de, 13.06.2023
TeleTrusT begrüßt geplantes NIS-2-Gesetz
ein Kommentar
BCM-News Daily Digest » Business Continuity Management News
Kommentieren
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
[…] NIS-2-Nicht-Umsetzung: Offener Brief des TeleTrusT an den IT-Planungsrat – datensicherheit.deIn einem offenen Brief fordert der Bundesverband IT-Sicherheit e.V. (TeleTrusT) die Rücknahme des Beschluss des IT-Planungsrates zur Nicht-Umsetzung der NIS-2-Richtlinie vom 03.11.2023. IT-Sicherheit ließe sich nur flächendeckend umsetzen, daher sei der Beschluss kontraproduktiv […]