Politik macht Tempo
Neues Cyber- und IT-Sicherheitsrecht auf dem Weg

Kommunale Unternehmen sind häufig Betreiber von Kritischen Infrastrukturen und müssen besonders hohen Cyber- und IT-Sicherheitsstandards entsprechen. Die gesetzlichen und politischen Vorgaben für die Cyber- und IT-Sicherheit werden im Moment grundlegend überarbeitet. Der VKU hat sich an den Konsultationen zur NIS-2 Richtlinie auf europäischer Ebene und zur Cybersicherheitsstrategie auf nationaler Ebene beteiligt.

23.04.21

Cyber- und IT-Sicherheit ist ein zentrales Thema der digitalen Transformation. Deshalb haben es sowohl die EU als auch die bundesdeutsche Ebene zu einem wichtigen Fokus ihrer Politik gemacht. Auf EU-Ebene soll die NIS-2 Richtlinie zentrale Kriterien und Anforderungen zur Sicherheit Kritischer Infrastrukturen definieren. Auf nationaler Ebene hat der Bundestag kürzlich das IT-Sicherheitsgesetz 2.0 verabschiedet. Zudem soll noch in dieser Legislaturperiode eine neue Cybersicherheitsstrategie verfasst werden, die den Rahmen für das bundesdeutsche Regierungshandeln im Bereich der Cybersicherheit setzen soll.

Am 16. Dezember 2020 hat die Europäische Kommission einen Entwurf für eine Richtlinie über Maßnahmen für ein hohes gemeinsames Maß an Cybersicherheit in der gesamten Union (NIS 2-Richtlinie) vorgelegt, die Neufassung der NIS-Richtlinie aus dem Jahr 2016. Im Vergleich zur Vorgängerrichtlinie will die Kommission nunmehr sowohl den Anwendungsbereich als auch die betroffenen Sektoren erheblich ausweiten. Betroffene Unternehmen müssten einen umfangreichen Katalog an Cybersicherheitsmaßnahmen umsetzen. Der Vorschlag für die NIS 2-Richtlinie enthält zudem Maßgaben zur Zertifizierung kritischer Komponenten, Berichtspflichten bei IT-Sicherheitsvorfällen und neue Bußgelder bei Verstößen gegen die Cybersicherheitspflichten. Zur NIS-2 Richtlinie hat die Kommission einen Konsultationsprozess gestartet, an dem sich auch der VKU beteiligt hat. Die gemeinsame Stellungnahme des VKU mit der Bundesvereinigung der kommunalen Spitzenverbände ist am Ende des Textes zu finden. Zudem begleitet der VKU den Gesetzgebungsprozess in Brüssel eng.

Weiterhin hat der Bundestag am 23. April 2021 das IT-Sicherheitsgesetz 2.0 verabschiedet. Hieraus ergeben sich weitreichende Änderungen im Vergleich zum aktuellen IT-Sicherheitsgesetz. Zukünftig werden auch Unternehmen im Bereich der Siedlungsabfallentsorgung als Betreiber von Kritischen Infrastrukturen angesehen und müssen den strengen Pflichten des IT-Sicherheitsgesetz 2.0 genügen. Zudem werden die Anforderungen an sämtliche Betreiber von Kritischen Infrastrukturen erhöht. Diese müssen zukünftig beispielsweise Systeme zur Angriffserkennung aufbauen. Außerdem drohen bei Verstößen gegen die Pflichten aus dem IT-Sicherheitsgesetz 2.0 drastische Bußgelder von bis zu 20 Millionen Euro. Im parlamentarischen Verfahren haben sich jedoch noch Verbesserungen zum ursprünglichen Gesetzesvorschlag ergeben. So soll das BSI zukünftig aufgespürte Sicherheitslücken den betroffenen Unternehmen mitteilen müssen. Auch soll der Stand der Technik für IT-Sicherheitssysteme weiterhin vom Markt bestimmt werden. Zumindest für die Einführung von Systemen zur Angriffserkennung wurden die Übergangsfristen verlängert. Das Gesetz muss noch den Bundesrat passieren und tritt nach Verkündung in Kraft. Die VKU Mitgliederinformation „IT-Sicherheit in kommunalen Unternehmen – Ein Überblick“ wird im Anschluss überarbeitet und im Mitgliederbereich bereitgestellt.

Zudem hat die Bundesregierung in ihrer Datenstrategie zuletzt angekündigt, noch in dieser Legislaturperiode auch eine Cybersicherheitsstrategie zu beschließen. Dafür hat sie zunächst einen Konsultationsprozess zu Eckpunkten der Strategie gestartet. Am Prozess hat sich auch der VKU beteiligt. Die Stellungnahme des Verbandes ist unten zu finden. Die Regierung plant, die fertige Cybersicherheitsstrategie noch Mitte 2021 vom Kabinett beschließen zu lassen. Der VKU wird den Prozess weiter eng begleiten und die Position der kommunalen Unternehmen einbringen.