IT-Sicherheit
Stellungnahme zum Referentenentwurf des NIS-2-Umsetzungsgesetzes eingereicht
Das BMI hat den offiziellen Entwurf des Referentenentwurfs zum NIS-2-Umsetzungsgesetz veröffentlicht und die Verbändeanhörung gestartet. Der VKU hat seine Stellungnahme erarbeitet und fristgerecht eingereicht.
29.05.24
Das BMI hat den offiziellen Entwurf des Referentenentwurfs zum NIS-2-Umsetzungsgesetz veröffentlicht und die Verbändeanhörung gestartet. Der VKU hat seine Stellungnahme erarbeitet und fristgerecht eingereicht.
Das Bundesministerium des Innern und für Heimat (BMI) hat zur Umsetzung der NIS-2-Richtlinie den offiziellen Referentenentwurf zum NIS-2-Umsetzungsgesetz veröffentlicht. Der VKU hat zu diesem Entwurf fristgerecht am 28.05.2024 seine ausführliche Stellungnahme eingereicht, die hier abrufbar ist.
Die Stellungnahme knüpft an die Stellungnahme zum Diskussionspapier des BMI an, da dort bereits die wesentlichen wirtschaftsbezogenen Regelungen zur Umsetzung der NIS-2-Richtlinie beschrieben wurden. Im Vergleich zum Diskussionspapier wurden einige wichtige (und vom VKU geforderte Aspekte) aufgenommen. Insbesondere finden sich im Referentenentwurf ergänzende Ausführungen zu den Querverbundsunternehmen, also Unternehmen, die in mehr als einem Sektor tätig sind. Dies ist bei den VKU-Mitgliedsunternehmen häufig der Fall.
Neben den positiven Aspekten besteht aber weiterhin Verbesserungsbedarf:
- Die spezialgesetzlichen Regelungen des EnWG müssen geändert werden, denn im Moment würden fast alle Energieanlagen in den Anwendungsbereich des EnWG mit seinen IT-Sicherheitskatalogen fallen. Dies ist nicht zielführend, sondern muss so bleiben wie es im Moment ist: Nur Betreiber von Energieanlagen, die die Kritis-Schwellenwerte erreichen, unterliegen den IT-Sicherheitskatalogen.
- Die IT-Sicherheitskataloge für die Energieversorgungsnetze und Energieanlagen dürfen sich zudem nur auf die (kritischen) Anlagen beziehen und nicht auf die Office-IT.
- Die Einzelfallprüfung der kritischen Komponenten ist in Bezug auf die Energiewirtschaft nicht handhabbar. Das Procedere sollte geändert und durch eine Ausschlussliste generell nicht-vertrauenswürdiger Hersteller ersetzt werden.
- Die Beteiligung der Betreiber und deren Wirtschaftsverbände an den weiteren Festlegungen muss sichergestellt werden. Dies betrifft insbesondere die Beteiligung vor der Bestimmung der kritischen Anlagen über die neue Kritisverordnung.
- Die Spezialregelungen für die IT-Dienstleister der Kommunen / Länder ist unklar und überflüssig. Die Regelung sollte gestrichen werden.
- Zukünftig sollten das NIS-2-Umsetzungsgesetz und das Kritis-DachG parallel behandelt werden und insbesondere gleichzeitig in den Bundestag eingebracht werden. Beide Gesetze können nicht getrennt voneinander beurteilt werden, sondern sind eng miteinander verwoben.
Am 03.06.2024 findet die offizielle Verbändeanhörung im BMI statt. Der VKU wird an der Anhörung teilnehmen und die Interessen seiner Mitglieder einbringen.