Network and Information Security Directive 2

Cybersicherheit umfasst den Schutz von Netzwerk- und Informationssystemen (NIS), sowie ihren Nutzern und auch anderen betroffenen Personen vor Cybervorfällen und Bedrohungen.

Die Eu hat die 2. Richtlinie zum Thema Netzwerk- und Informationssicherheit im Dez. 2022 verabschiedet. Schon im Januar 2023 trat sie in Kraft. Wohl aufgrund des „Zusammenbruchs“ der Ampelregierung ist sie in Deutschland innerhalb der erforderlichen Zeit von zwei Jahren nicht umgesetzt worden. Deshalb nimmt die neue schwarz/rote Regierung dazu nun einen neuen Anlauf.

Die Nachfolgerin der 1. Richtlinie von 2016 verpflichtet die Mitgliedstaaten, ihre Cybersicherheitskapazitäten zu verbessern.  Und gleichzeitig müssen sie Risikomanagementmaßnahmen und Berichtspflichten für Einrichtungen aus mehr Sektoren einführen. Außerdem  verpflichtet die Richtlinie die Mitgliedsstaaten, Vorschriften für die Zusammenarbeit, den Informationsaustausch, die Beaufsichtigung und die Durchsetzung von Cybersicherheitsmaßnahmen festzulegen.

Umfang der notwendigen Umsetzung in Deutschland

Schon unter NIS 1 fallen folgende Sektoren: Energie, Verkehr und Finanzen, sowie die Wasserwirtschaft, das Gesundheitswesen und die digitale Infrastruktur. Zusätzlich zu diesen  Sektoren gelten die stark jetzt erweiterten Vorschriften nun auch für Anbieter öffentlicher elektronischer Kommunikationsdienste wie für mehr digitale Dienste wie soziale Plattformen und schließlich die Abwasser- und Abfallbewirtschaftung. Darüber hinaus gelten die neuen Vorschriften für die Herstellung kritischer Produkte, für Post- und Kurierdienste und für die öffentliche Verwaltung sowohl auf zentraler als auch auf regionaler Ebene oder sogar im Weltraum.

Das Bundessicherheitsamt für die Informationstechnik (BSI), das für Fragen der kritischen Infrastruktur (KRITIS)  zuständig ist, wird mit der Übernahme des Gesetzes in deutsches Recht vermutlich für viele Unternehmen mehr zuständig, geschätzt fast 30.000. Diese haben dann zum Schutz vor Cyberangriffen gesetzliche Anforderungen zu erfüllen.

Hilfen bei der Umsetzung der Anforderungen

Mit der Richtlinie wird ein Netzwerk von Computer Security Incident Response Teams (CSIRTs) eingerichtet, um Informationen über Cyberbedrohungen auszutauschen und auf Vorfälle zu reagieren. Um Cybersicherheitsvorfälle oder -krisen großen Ausmaßes zu bewältigen, wird mit der Richtlinie das europäische Netz der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe) geschaffen. Dieses Netz unterstützt ein koordiniertes Management. Und es gewährleistet einen regelmäßigen Informationsaustausch zwischen den Mitgliedstaaten und den EU-Organen im Falle von Vorfällen und Krisen großen Ausmaßes. Deutschland will einen zentralen Koordinator für Informationssicherheit in der Bundesverwaltung einsetzen.

Die derzeitige große Brisanz 

In letzter Zeit konnten wir lesen, dass z.B. in den großen  Offshore-Windkraftanlagen, die in der Nordsee entlang der wichtigen Schifffahrts-Passage stehen, chinesische Teile eingebaut sind. Es geht wohl sehr stark um eingebaute Wechselrichter, Herzstücke von Solaranlagen, aber auch von Windkraftanlagen.

Und da stellen Informierte die Frage: nutzt China den Standort, um Informationen zu sammeln oder um ggfs. Störungen des Seeverkehrs zu provozieren. Selbst bei Solaranlagen auf Dächern von mittelständischen Unternehmen vermuten Cyberexperten die Möglichkeit von Spionage, wie z.B. das Abgreifen von Geschäftsgeheimnissen oder ggfs. das Lahmlegen des Geschäftsbetriebes durch Eingriffe in das Stromnetz. Es rächt sich inzwischen, dass Deutschland seine Solar-Industrie zugunsten der chinesischen Billigprodukte hat kaputt gehen lassen. Die Beispiele können vermutlich endlos erweitert werden. Wegen solcher Bedenken wurden bereit die G5-Netze für Mobilfunkanlagen ohne die Beteiligung für chinesische Firmen ausgeschrieben. Und die Diskussion hat an Fahrt gewonnen, nachdem das spanische Stromnetz im April 2025 großflächig zusammen brach – auch wenn nicht eindeutig zu klären war, wo der Fehler lag.

Es bleibt zu hoffen, dass die neue deutsche Regierung die Brisanz erkennt, die europäische Richtlinie schnell umsetzt und die Risiken der Cyberkriminalität schnellst möglich minimalisiert. Aber offenbar können wir uns trotz anderslautender Festschreibungen im Koalitionsvertrag darauf nicht verlassen. Denn das deutsche Außenwirtschaftsgesetz scheint nachträglich eine Tür für die Verwendung chinesischer Komponenten zu öffnen.