Deutschland befindet sich täglich im Fadenkreuz international operierender, teils staatlich gelenkter Cyberkrimineller. Der BDI unterstützt daher das Ziel, die Cybersicherheit in Deutschland weiter zu stärken und die staatliche Handlungsfähigkeit gegenüber zunehmend komplexen Bedrohungslagen auszubauen. Um das Ziel des Gesetzes zu erreichen und gleichzeitig die bürokratischen Aufwände für Unternehmen so gering wie möglich zu halten, sind konkrete Änderungen am Gesetzentwurf notwendig.

German industry welcomes the European Commission’s aspiration to significantly simplify the EU’s digital acquis. However, the proposals do not deliver the relief and clarity that industry hoped for. The European Parliament and the Council must not fall short of the European Commission’s proposal and rather seize the opportunity created by the Commission’s proposals to ensure that Europe remains competitive in the global innovation race.

Die Überarbeitung des European Chips Acts bietet die Chance, die technologische Souveränität Europas zu stärken und im globalen Wettbewerb aufzuholen. Damit Europa nicht weiter zurückfällt, muss es sich auf seine Stärken berufen und unverzichtbar in der globalen Wertschöpfungskette werden. In Zeiten geopolitischer Unsicherheiten, müssen Partnerschaften mit vertrauenswürdigen internationalen Partnern gestärkt werden, um Resilienz zu gewährleisten.

Eine Luftsicherheitsarchitektur, die grenzüberschreitend Zugewinne an Sicherheit schafft und zugleich die innereuropäische und internationale Wettbewerbsfähigkeit deutscher Unternehmen sichert, muss praxisnah und bürokratiearm ausgestaltet sowie national und europäisch harmonisiert umgesetzt werden. Dies muss auch die neue Nationale Luftsicherheitsprogramm-Verordnung (NLspV) berücksichtigen.

Der BDI begrüßt, dass das Bundesinnenministerium das NIS-2-Umsetzungsgesetz vorgelegt hat. Deutschlands Cyberresilienz muss vollumfänglich gestärkt werden. Vor der Überleitung an den Bundestag sollte die Bundesregierung unter anderem die Melde-, Nachweis- und Registrierungspflichten praxisnäher ausgestalten, die Pflicht zur Konsultation von Wirtschaftsverbänden wieder aufnehmen und die NIS-2-Umsetzung mit jener zur Critical-Entities-Resilience-(CER)-Richtlinie harmonisieren.

Das NIS-2-Umsetzungsgesetz sieht in § 38 (3) vor, dass Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen in Risikomanagement geschult werden müssen, um die Cyberresilienz zu gewährleisten. Der BDI spricht sich in der Umsetzung durch das BSI für einen unbürokratischen, europaweit einheitlichen, funktions- und kompetenzbezogenen Ansatz aus, der den Unternehmen Gestaltungsfreiräume bietet.

Der Ausbau digitaler Infrastrukturen ist von höchster Relevanz. Um langfristig Leistungsfähigkeit und Resilienz digitaler Infrastrukturen zu gewährleisten und damit Telekommunikationsnetzbetreiber ihre digitale Infrastruktur effizient betreiben und ausbauen können, braucht es einen ganzheitlichen Ansatz. Es müssen die Resilienz erhöht, der Netzausbau vorangetrieben, der Rechtsrahmen zukunftsfähig aufgestellt und Innovationen gefördert werden.

Der Gesetzentwurf der Bundesregierung für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz muss im laufenden parlamentarischen Verfahren an zahlreichen Punkten umfangreich angepasst werden. Daneben müssen die neuen Kompetenzen des BSI mit ausreichenden personellen und finanziellen Ressourcen unterlegt werden, damit aus den Cybervorfallsmeldungen aus der Wirtschaft ein tagesaktuelles Lagebild erstellt werden kann.

Zum dritten Referentenentwurf des NIS-2-Umsetzungsgesetzes hat der BDI eine Vielzahl an Handlungsempfehlungen vorgelegt, um die praktische Umsetzbarkeit des Gesetzentwurfs zu vereinfachen. Der vierte Referentenentwurf greift die Mehrzahl der Vorschläge der Industrie nicht auf. Der BDI fordert die Wiederaufnahme der Pflicht zur Konsultation von Wirtschaftsverbänden bei der Erarbeitung von Verordnungen sowie eine unbürokratische und volldigitale Umsetzung.

Angesichts der stetig steigenden Cyberbedrohungslage unterstützt die deutsche Industrie das Bestreben, die Cyberresilienz durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz nachhaltig zu stärken. In der Ressortabstimmungen ist es notwendig, durch präzisere Begriffsdefinitionen, die Einführung einer Vertrauenswürdigkeitsüberprüfung sowie die Einführung digitaler Verwaltungsverfahren die Umsetzbarkeit der Anforderungen zu erleichtern.

Der Schutz von Unternehmen vor Spionage, Sabotage, Wirtschafts- sowie Cyberkriminalität setzt ein ganzheitliches Schutzkonzept voraus. Neben organisatorischen und technischen Maßnahmen müssen auch die Mitarbeitenden integraler Bestandteil ganzheitlicher Sicherheitsansätze sein. Der BDI schlägt daher die Einführung einer freiwilligen Vertrauenswürdigkeitsüberprüfung im Rahmen des NIS-2-Umsetzungsgesetzes und des KRITIS-Dachgesetzes vor.

Die Umsetzung risikoadäquater Cybersicherheitsmaßnahmen ist für das Wirtschaften im Zeitalter der digitalen Transformation unerlässlich. Der nationale und europäische Gesetzgeber haben in zahlreichen Gesetzen Anforderung an Maßnahmen zur Reduktion des Cyberrisikos eingeführt. Die deutsche Industrie fordert, dass die gesetzlichen Maßnahmen überlappungs- und widerspruchsfrei sind. Doppelprüfungen und Audits müssen vermieden werden.

Der BDI begrüßt das Vorhaben der Bundesregierung, die Resilienz Kritischer Anlagen durch ein KRITIS-Dachgesetz zu verbessern. Der vorliegende Referentenentwurf ist ein Schritt in die richtige Richtung. Es besteht jedoch erheblicher Nachbesserungsbedarf. Es fehlen einheitliche Definitionen grundlegender Begriffe, Zuständigkeiten sind ungeklärt, gesetzte Fristen sind inkonsistent und praxisfern. Ausnahmeregelungen für die öffentliche Verwaltung lehnt der BDI ab.

Der BDI begrüßt, dass das Bundesinnenministerium mit dem Diskussionspapier zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz die Wirtschaft frühzeitig in die Erarbeitung des Gesetzes einbezieht. Die deutsche Industrie unterbreitet gern konkrete Vorschläge zur Erhöhung der Umsetzbarkeit des Gesetzes. Nachweispflichten sollten für alle Einrichtungen frühestens drei Jahre nach Inkrafttreten erforderlich werden und ein volldigitales Melde- und Registrierungswesen sollte rasch etabliert werden.

Gefahren- und Terrorismusabwehr sind hoheitliche Aufgaben. Der Staat muss daher auch im Luftverkehr zu seiner Verantwortung für die Sicherheit der Bürgerinnen und Bürger stehen und die Kosten zur Herstellung öffentlicher Sicherheit tragen. Andernfalls droht die steigende Bürokratie- und Abgabenlast die Wettbewerbsfähigkeit der deutschen Luftverkehrswirtschaft sowie die Konnektivität des Standorts weiter zu untergraben.

Die europäische Cybersicherheitsarchitektur für den Luftverkehr und die sichere Lieferkette muss wirksam und praxisnah ausgestaltet sowie harmonisiert umgesetzt werden, um grenzüberschreitende Sicherheitsgewinne zu erzielen und die Wettbewerbsfähigkeit der Industrie zu sichern. Damit das vom nationalen Gesetzgeber vorgeschlagene Umsetzungskonzept diese Ansprüche erfüllt, braucht es mehr Rechtssicherheit und Ressourceneffizienz.

Der zweite geleakte Entwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz enthält nur wenige Verbesserung im Vergleich zum ersten Leak. Es ist dringend erforderlich, dass der Anwendungsbereich für die Industrie entsprechend den EU-Vorgaben ausgestaltet wird und die öffentliche Verwaltung ebenso ihre Cyberresilienz stärken muss. Die Bundesregierung sollte einen zeitnahen Beginn des Gesetzgebungsverfahrens sicherstellen, um eine hinreichend lange Umsetzungsfrist zu ermöglichen.

Mit dem Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digi-G) soll die digitale Transformation für das Gesundheitswesens nutzbar gemacht und eine qualitativ hochwertige und patientenzentrierte gesundheitliche Versorgung gewährleistet werden. Jedoch bleibt der vorliegende Referentenentwurf weit hinter den Erwartungen nach der Vorstellung der Digitalisierungsstrategie des Bundesministeriums für Gesundheit (BMG) im März 2023 zurück.

Ein Dachgesetz zum Schutz Kritischer Infrastrukturen (KRITIS-Dachgesetz) sollte primär darauf abzielen, das vielzitierte „Zuständigkeits-Wirrwarr“ im Sicherheitsbereich umfassend auszuräumen. Es gilt, unklare Zuständigkeiten sinnvoll zu ordnen, Behörden auf Bundes- und Landesebene eng miteinander zu vernetzen, Schutzpflichten konvergent, widerspruchsfrei und transparent zu gestalten und die Zusammenarbeit zwischen Akteuren von Staat, Wirtschaft und Gesellschaft in der Prävention und im Ernstfall zu verbessern.

Die Bundesregierung ist verpflichtet, die NIS 2-Richtlinie bis zum 17. Oktober 2024 in nationales Recht umzusetzen. Bei der Implementierung ist es zwingend notwendig, dass ein volldigitalisiertes Melde- und Registrierungswesen etabliert, aus den Meldungen ein tagesaktuelles Cybersicherheitslagebild erstellt und Sicherheitsüberprüfung von in sicherheitssensiblen Bereichen tätigen Mitarbeitenden eingeführt werden.