Das NIS-2-Umsetzungsgesetz sieht in § 38 (3) vor, dass Geschäftsleitungen wichtiger und besonders wichtiger Einrichtungen in Risikomanagement geschult werden müssen, um die Cyberresilienz zu gewährleisten. Der BDI spricht sich in der Umsetzung durch das BSI für einen unbürokratischen, europaweit einheitlichen, funktions- und kompetenzbezogenen Ansatz aus, der den Unternehmen Gestaltungsfreiräume bietet.

Zum dritten Referentenentwurf des NIS-2-Umsetzungsgesetzes hat der BDI eine Vielzahl an Handlungsempfehlungen vorgelegt, um die praktische Umsetzbarkeit des Gesetzentwurfs zu vereinfachen. Der vierte Referentenentwurf greift die Mehrzahl der Vorschläge der Industrie nicht auf. Der BDI fordert die Wiederaufnahme der Pflicht zur Konsultation von Wirtschaftsverbänden bei der Erarbeitung von Verordnungen sowie eine unbürokratische und volldigitale Umsetzung.

Angesichts der stetig steigenden Cyberbedrohungslage unterstützt die deutsche Industrie das Bestreben, die Cyberresilienz durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz nachhaltig zu stärken. In der Ressortabstimmungen ist es notwendig, durch präzisere Begriffsdefinitionen, die Einführung einer Vertrauenswürdigkeitsüberprüfung sowie die Einführung digitaler Verwaltungsverfahren die Umsetzbarkeit der Anforderungen zu erleichtern.

Der Schutz von Unternehmen vor Spionage, Sabotage, Wirtschafts- sowie Cyberkriminalität setzt ein ganzheitliches Schutzkonzept voraus. Neben organisatorischen und technischen Maßnahmen müssen auch die Mitarbeitenden integraler Bestandteil ganzheitlicher Sicherheitsansätze sein. Der BDI schlägt daher die Einführung einer freiwilligen Vertrauenswürdigkeitsüberprüfung im Rahmen des NIS-2-Umsetzungsgesetzes und des KRITIS-Dachgesetzes vor.

Die Umsetzung risikoadäquater Cybersicherheitsmaßnahmen ist für das Wirtschaften im Zeitalter der digitalen Transformation unerlässlich. Der nationale und europäische Gesetzgeber haben in zahlreichen Gesetzen Anforderung an Maßnahmen zur Reduktion des Cyberrisikos eingeführt. Die deutsche Industrie fordert, dass die gesetzlichen Maßnahmen überlappungs- und widerspruchsfrei sind. Doppelprüfungen und Audits müssen vermieden werden.

Der BDI begrüßt, dass das Bundesinnenministerium mit dem Diskussionspapier zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz die Wirtschaft frühzeitig in die Erarbeitung des Gesetzes einbezieht. Die deutsche Industrie unterbreitet gern konkrete Vorschläge zur Erhöhung der Umsetzbarkeit des Gesetzes. Nachweispflichten sollten für alle Einrichtungen frühestens drei Jahre nach Inkrafttreten erforderlich werden und ein volldigitales Melde- und Registrierungswesen sollte rasch etabliert werden.

Der zweite geleakte Entwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz enthält nur wenige Verbesserung im Vergleich zum ersten Leak. Es ist dringend erforderlich, dass der Anwendungsbereich für die Industrie entsprechend den EU-Vorgaben ausgestaltet wird und die öffentliche Verwaltung ebenso ihre Cyberresilienz stärken muss. Die Bundesregierung sollte einen zeitnahen Beginn des Gesetzgebungsverfahrens sicherstellen, um eine hinreichend lange Umsetzungsfrist zu ermöglichen.

Bis Mitte Oktober 2024 muss die Bundesregierung die europäische Cybersicherheitsrichtlinie NIS 2 in nationales Recht umsetzen. Der BDI hat 12 Erwartungen an die Bundesregierung aufgestellt, wie die NIS 2 unter enger Einbeziehung der Wirtschaft rasch in nationales Recht zu überführen ist. Dabei gilt es, den Schutz vor digitalen und analogen Bedrohungen durch einen ganzheitlichen Ansatz zu erhöhen, effiziente Registrierungs- und Meldeprozesse aufzusetzen sowie risikoadäquate Anforderungen einzuführen.

Im Rahmen der Dritten Verordnung zur Änderung der BSI-Kritisverordnung sieht die Bundesregierung die Aufnahme von LNG-Terminals und Seekabelanlandestationen in den Anwendungsbereich der Kritisverordnung vor. Der BDI spricht sich für einen ganzheitlichen Schutz Kritischer Infrastrukturen und weiterer Unternehmen vor digitalen und analogen Gefahren aus. Hierfür braucht es neben Erweiterungen der KRITIS-Definition vorrangig ein tagesaktuelles Risiko-Lagebild und Sicherheitsüberprüfungen für bestimmte Mitarbeitende.

Der BDI begrüßt das Ziel der Bundesregierung, die IT-Sicherheit eines Produktes für Verbraucherinnen und Verbraucher kenntlich zu machen. Die deutsche Industrie erachtet jedoch eine nationale, freiwillige Lösung als wenig geeignet, um die Cyberresilienz ganzheitlich zu gewährleisten. Wir sprechen uns für ein EU-weit eingeführtes, leicht verständliches und mit einer effizienten Marktaufsicht umgesetztes IT-Sicherheitskennzeichen aus.

Eine effiziente staatliche Cyberabwehr ist ein elementarer Bestandteil zur Wahrung von Cybersicherheit und damit der öffentlichen Sicherheit. Zugleich ist eine Diskussion über die Weiterentwicklung staatlicher Instrumentarien im Cyberraum notwendig, um der Gefährdungslage im Cyberraum sowie deren Auswirkungen auf die Sicherheit Rechnung zu tragen. Der BDI fordert die Einhaltung von sieben Prinzipien bei der Weiterentwicklung staatlicher Kompetenzen der Cyberabwehr.

Aktuell nimmt die Fragmentierung der gesetzlichen Anforderungen an Cybersicherheit für Produkte und Dienstleistungen stetig zu. Gleichzeitig wächst der Bedarf, die Cyberresilienz von Produkten, Prozessen, Dienstleistungen und Systemen zu stärken. Daher spricht sich die deutsche Industrie für fünf Prinzipien aus, die bei aktuellen und anstehenden Gesetzesvorhaben sowohl durch die EU als auch durch nationale Regierungen berücksichtigt werden sollten.

Unternehmen aller Branchen und jeder Größe sehen sich heute vielfältigen Risiken durch Cyber-Bedrohungen ausgesetzt. Um die Cybersicherheit in Deutschland nachhaltig zu stärken, ist eine enge Kooperation zwischen Staat und Wirtschaft unerlässlich. Die im Jahr 2012 ins Leben gerufene Allianz für Cyber-Sicher­heit (ACS) stellt ein Erfolgsmodell für die vertrauensvolle und gewinnbringende Zusammenarbeit von Staat und Wirtschaft dar, an der sich auch der BDI aktiv beteiligt.

Die Auswirkungen von Künstlicher Intelligenz auf Sicherheit und Verteidigung können nicht hoch genug eingeschätzt werden. Den Chancen für schnellere und präzisere Anwendungen stehen gewichtige ethische Vorbehalte gegenüber. Der BDI fordert ein Verbot letaler autonomer Waffensysteme und setzt sich für ein internationales Regelwerk ein. Deutschland darf aber nicht den Anschluss bei sicherheitsrelevanter KI zur Unterstützung des Menschen verpassen.

Mit Unterstützung der Politik kann aus der digitalen Transformation der Industrie die erhoffte Erfolgsgeschichte für Deutschland werden. Unternehmen brauchen in den nächsten Jahren: Mehr Tempo beim Breitbandausbau, mehr Investitionen in digitale Innovationen, mehr qualifizierte Mitarbeiter, mehr Vertrauen in die IT-Sicherheit, mehr Wagniskapital für Startups und mehr Tempo bei E-Government.

Deutschland muss sich stärker als bisher für Sicherheit, Frieden und eine regelbasierte Weltordnung einsetzen und sicherheitspolitisch mehr Verantwortung übernehmen. Die Stärkung der Sicherheits- und Verteidigungsindustrie und der Erhalt von nationalen Schlüsseltechnologien muss dabei Kernanliegen deutscher Sicherheitspolitik sein.