Kabinettsbeschluss zu NIS 2
TÜV-Verband begrüßt NIS-2-Umsetzung, fordert aber Nachbesserungen
Das Bundeskabinett hat das nationale Umsetzungsgesetz der europäischen NIS-2-Richtlinie beschlossen. Der TÜV-Verband sieht darin einen wichtigen Schritt für mehr Cybersicherheit, mahnt jedoch Änderungen bei Ausnahmeregeln, Nachweispflichten und der Umsetzung in der Praxis an.
Mit dem heutigen Kabinettsbeschluss zur Umsetzung der europäischen NIS-2-Richtlinie in deutsches Recht sollen künftig rund 30.000 Unternehmen schärfere Vorgaben zur Cybersicherheit einhalten. Der TÜV-Verband unterstützt den Entwurf grundsätzlich, sieht jedoch Nachbesserungsbedarf.
„Deutschland ist Ziel hybrider Angriffe und Cyberattacken auf Unternehmen, kritische Infrastrukturen und politische Institutionen gehören zur Tagesordnung. Die Umsetzung der NIS-2-Richtlinie in nationales Recht ist ein wichtiger Schritt, um die Cybersicherheit in der deutschen Wirtschaft zu verbessern. Das Gesetz ist längst überfällig und muss angesichts der Bedrohungslage im Cyberraum zügig beschlossen werden“, sagte Marc Fliehe, Fachbereichsleiter Digitalisierung und Bildung beim TÜV-Verband.
Nach Ansicht des Verbands besteht insbesondere bei folgenden Punkten Handlungsbedarf:
- Unklare Ausnahmeregelungen: Die im Gesetz vorgesehene Ausnahme für „vernachlässigbare“ Geschäftstätigkeiten sei zu unbestimmt. Der Begriff werde nicht näher erläutert, was zu Rechtsunsicherheit und einer potenziellen Umgehung regulierungspflichtiger Bereiche führen könne. Der Verband fordert eine eindeutige und europarechtskonforme Ausgestaltung.
- Nachweispflichten konkretisieren: Die aktuelle Umsetzung sieht laut TÜV-Verband lediglich stichprobenartige Einzelfallprüfungen vor. Damit werde das Ziel regelmäßiger Kontrolle verfehlt. Zudem kritisiert der Verband die geplante Verlängerung der Nachweisfristen für Betreiber kritischer Infrastrukturen von zwei auf drei Jahre. Fliehe bezeichnete diesen Schritt angesichts der Bedrohungslage als „mehr als kontraproduktiv“.
- Unabhängige Zertifizierungen stärken: Um Vertrauen in die Umsetzung von Sicherheitsmaßnahmen zu schaffen, schlägt der Verband vor, verpflichtend unabhängige, akkreditierte Konformitätsbewertungsstellen in den Nachweisprozess einzubeziehen.
- Lieferkettensicherheit konkretisieren: Der Verband fordert verbindliche Orientierungshilfen für Unternehmen, um Anforderungen wie „Security by Design“ praxistauglich umsetzen zu können. Ziel sei es, Auslegungsspielräume zu reduzieren und rechtliche Klarheit zu schaffen.
Das NIS-2-Umsetzungsgesetz verpflichtet Unternehmen unter anderem zu Risikoanalysen, Sicherheitskonzepten, Maßnahmen zur IT-Vorfallbewältigung, Verschlüsselung, Zugangskontrollen sowie Schulungen und Notfallplänen. Die Anforderungen richten sich nach Größe, Branche und Kritikalität des Unternehmens und müssen dem „Stand der Technik“ entsprechen.
Das könnte Sie auch interessieren
Industrielle Cybersicherheit im deutschsprachigen Raum
Länder in Westeuropa zählen im internationalen Vergleich weiterhin zu den vergleichsweise sichereren Regionen im Bereich industrieller Cybersicherheit. Dennoch sind Computer zur industriellen Steuerung (ICS) auch im deutschsprachigen Raum nach wie...
mehr...Interview mit Thierry Bieber, HMS...
IT/OT-Resilienz im Maschinenbau
Vom sicheren Firmware-Update bis zur Netzsegmentierung: Thierry Bieber von HMS Industrial Networks erklärt im Gespräch, wie Maschinenbauer ihre IT/OT-Resilienz verbessern, welche Rolle Standards spielen und warum eine klare Architektur für...
mehr...Europäische Unternehmen priorisieren Sicherheit vor Wachstum
Mit der Integration von Künstlicher Intelligenz (KI) in geschäftskritische Prozesse verlagern europäische Unternehmen ihre Prioritäten. Anstelle reiner Innovationsprojekte stehen zunehmend Fragen der Sicherheit, Governance und Skalierbarkeit im...
mehr...Warum IT/OT-Grenzen neu gedacht werden müssen
Smart Factories verbinden Produktionsanlagen, Steuerungen und IT-Systeme über gemeinsame Netzwerke – eine Entwicklung, die die Effizienz zwar steigert, aber auch zusätzliche Angriffsflächen schafft. Um diese Risiken zu beherrschen, müssen...
mehr...Fünf unbequeme Wahrheiten über OT‑Security
Firewalls kaufen kann jeder. OT-Security machen die wenigsten wirklich. Timmi Hopf, Business Development Manager OT Cybersecurity bei Axians, benennt in seinem Kommentar fünf unbequeme Wahrheiten aus der Praxis und erklärt, warum der erste Schritt...
mehr...So entspricht Software der EU-Verordnung
Neue gesetzliche Vorgaben zur Cybersicherheit betreffen nahezu alle Anbieter digitaler Produkte im EU-Markt. Die Cyberresilienz-Verordnung definiert verbindliche Standards und Meldepflichten. Dieser Beitrag gibt einen strukturierten Überblick über...
mehr...Neuer Vice President of Global Partner Ecosystem benannt
Ab sofort ist John Ryan neuer Vice President of Global Partner Ecosystem von Claroty, Spezialist für die Sicherheit von cyber-physischen Systemen (CPS).
mehr...Zunehmende Cyberangriffe auf den Fertigungssektor
Ein Bericht von Check Point Exposure Management zur Bedrohungslage in der Fertigungsindustrie zeigt eine drastische Zunahme von Ransomware, Angriffen auf die Lieferkette und OT-bezogenen Cybervorfällen. Mit der zunehmenden Verbreitung intelligenter...
mehr...Interview mit Ulrich Leidecker, Phoenix...
"Aus Offenheit entsteht Resilienz"
Phoenix Contact richtet sein Portfolio zunehmend strategisch an der ‚All Electric Society‘ aus. Nachhaltigkeit, Effizienz und Recyclingfähigkeit sollen so über alle Geschäftsbereiche hinweg umgesetzt werden.
mehr...