Die EU-Richtlinie zur Sicherung von Netzwerk- und Informationssystemen
Cybersicherheit umfasst den Schutz von Netzwerk- und Informationssystemen (NIS) bzw. Network Information Security Act, sowie ihren Nutzern und auch anderen betroffenen Personen vor Cybervorfällen und Bedrohungen.
Die EU hat die Richtlinie im Januar 2023 in Kraft gesetzt. Und eigentlich müsste sie auch in Deutschland bereits gelten. Offenbar hat der Bruch der Dreier-Regierungskoalition zu einer Verzögerung der Umsetzung geführt. Aber diese soll nun wohl noch Ende 2025 erfolgen.
Mit der NIS2-Richtlinie wird ein einheitlicher Rechtsrahmen für die Aufrechterhaltung der Cybersicherheit in 18 kritischen Sektoren in der gesamten EU geschaffen. Ferner werden die Mitgliedstaaten aufgefordert, nationale Cybersicherheitsstrategien festzulegen und bei der grenzüberschreitenden Reaktion und Durchsetzung mit der EU zusammenzuarbeiten.
Die Richtlinie verpflichtet die Mitgliedstaaten, ihre Cybersicherheitskapazitäten zu verbessern. Und gleichzeitig müssen sie Risikomanagementmaßnahmen und Meldepflichten für Einrichtungen aus mehr Sektoren als bisher einführen. Schließlich müssen sie Vorschriften für die Zusammenarbeit, den Informationsaustausch, die Aufsicht und die Durchsetzung von Cybersicherheitsmaßnahmen festlegen.
Mit dem neuen Gesetz soll die digitale Infrastruktur widerstandfähiger werden. Eine stabile Energieversorgung, funktionierende Kommunikation im Krisenfall und der Schutz persönlicher Daten sollen nicht nur Unternehmen und Behörden stärken, sondern auch die Menschen bzw. die Bevölkerung, die auf deren Leistungen angewiesen sind.
Wirtschaft und Verwaltung sehen sich zunehmend Angriffen durch Desinformation, Hacktivismus, Spionage und Sabotage ausgesetzt.
Welche Bereiche betroffen sind
Schon die Vorgänger-Richtlinie NIS1 deckte folgende Bereiche ab: Energie, Verkehr, Gesundheitswesen, Finanzen, Wasserwirtschaft und digitale Infrastruktur. NIS2 fordert darüber hinaus Vorkehrungen für mehr Cybersicherheit bei: Anbietern öffentlicher elektronischer Kommunikation, mehr digitalen Diensten (wie sozialen Plattformen), Abfall- und Abwasserbewirtschaftung, Herstellung kritischer Produkte, Post- und Kurierdiensten und öffentlicher Verwaltung auf zentraler und regionaler Ebene sowie im Weltraumsektor.
Bezogen auf die Wirtschaft ist immer häufiger zu lesen: Cyberkriminalität bestimmt den Alltag von IT-Experten entscheidend mit: Längst sind Hackerangriffe, Ransomware-Attacken oder Datenspionage eine reale Bedrohung auch für mittelständische Unternehmen. Die dadurch verursachten Schäden erreichen zum Teil ein erhebliches Ausmaß und kosten die Betroffenen Zeit und Nerven. Der Schutz vor Cyberangriffen jeder Art sollte deshalb ein wichtiger Bestandteil der IT-Strategie jedes Unternehmens sein.
Hilfen bei der Umsetzung der Anforderungen
Mit der Richtlinie wird ein Netzwerk von Computer Security Incident Response Teams (CSIRTs) eingerichtet, um Informationen über Cyberbedrohungen auszutauschen und auf Vorfälle zu reagieren. Um Cybersicherheitsvorfälle oder -krisen großen Ausmaßes zu bewältigen, wird mit der Richtlinie das europäische Netz der Verbindungsorganisationen für Cyberkrisen (EU-CyCLONe) geschaffen. Dieses Netz unterstützt ein koordiniertes Management. Und es gewährleistet einen regelmäßigen Informationsaustausch zwischen den Mitgliedstaaten und den EU-Organen im Falle von Vorfällen und Krisen großen Ausmaßes. Deutschland will einen zentralen Koordinator für Informationssicherheit in der Bundesverwaltung einsetzen.
Weitere Beispiele für öffentliche Belange
In letzter Zeit konnten wir lesen, dass z.B. in den großen Offshore-Windkraftanlagen, die in der Nordsee entlang der wichtigen Schifffahrts-Passage stehen, chinesische Teile eingebaut sind. Es geht wohl sehr stark um eingebaute Wechselrichter, Herzstücke von Solaranlagen, aber auch von Windkraftanlagen.
Selbst bei Solaranlagen auf Dächern von mittelständischen Unternehmen vermuten Cyberexperten die Möglichkeit von Spionage, wie z.B. das Abgreifen von Geschäftsgeheimnissen oder ggfs. das Lahmlegen des Geschäftsbetriebes durch Eingriffe in das Stromnetz. Es rächt sich inzwischen, dass Deutschland seine Solar-Industrie zugunsten der chinesischen Billigprodukte hat kaputt gehen lassen.
Die Beispiele können vermutlich endlos erweitert werden. Wegen solcher Bedenken wurden bereits die G5-Netze für Mobilfunkanlagen ohne die Beteiligung für chinesische Firmen ausgeschrieben. Und die Diskussion hat an Fahrt gewonnen, nachdem das spanische Stromnetz im April 2025 großflächig zusammen brach – auch wenn nicht eindeutig zu klären war, wo der Fehler lag.
Die große Brisanz
Und da stellen Informierte die Frage: nutzt China den Standort, um Informationen zu sammeln oder um ggfs. Störungen des Seeverkehrs zu provozieren. Aber offenbar können wir uns trotz anderslautender Festschreibungen im Koalitionsvertrag vom Frühjahr 2025 auf unsere Sicherheit bisher nicht verlassen. Denn das deutsche Außenwirtschaftsgesetz scheint nachträglich eine Tür für die Verwendung chinesischer Komponenten zu öffnen. (unsere Einschätzung im Juni 2025)
In den Regierungsfraktionen macht sich mittlerweile die Sorge breit, dass China Energie-Infrastruktur in Deutschland sabotieren könnte. Konkret geht es jetzt z.B. nach Informationen von Table.Briefings um die Frage, ob chinesische Windkraftbetreiber Netze bewusst überlasten und so zeitweise ausfallen lassen könnten. Davor soll der Cyber Resilience Act (CRA) schützen. Er soll im Frühjahr 2026 kommen und Mindestvorschriften im Sinne der IT-Sicherheit für vernetzte Geräte in der EU einführen. Hersteller, die dem nicht gerecht werden, dürften ihre Produkte künftig schrittweise nicht mehr auf den Markt bringen.
Wie es in Deutschland um die Cybersicherheit auf Bundesebene bestellt ist
Das Bundessicherheitsamt für die Informationstechnik (BSI), das für Fragen der kritischen Infrastruktur (KRITIS) zuständig ist, wird mit der Übernahme des Gesetzes in deutsches Recht vermutlich für viele Unternehmen mehr zuständig, geschätzt fast 30.000. Diese haben dann zum Schutz vor Cyberangriffen gesetzliche Anforderungen zu erfüllen.
Die Präsidentin des (BSI) heißt Claudia Plattner. Sie ist Mathematikerin und kann mehr als 20 Jahre Erfahrung in leitenden Funktionen als IT-Expertin für verschiedene Unternehmen und Institutionen vorweisen. Sie ist seit 2023 zuständig für die Gestaltung und Umsetzung der digitalen Sicherheit im Land und hat den Ehrgeiz, Deutschland zur „Cybernation“ zu machen.