„Egal ob Sie einen externen Datenschutzbeauftragten oder Beratung zu Datenschutz oder mehr IT Sicherheit benötigen. Durch meine langjährige Erfahrung als Datenschutzbeauftragter oder Berater im Betrieb hochsicherer Rechenzentren + IT Infrastrukturen mit den erforderlichen Schutzmaßnahmen auch in hochsensiblen Bereichen, stehe ich Ihnen mit meinem KnowHow und meiner umfassenden Erfahrung in Datenschutz und IT Security zur Verfügung. Dabei liegt mir immer Ihre Zufriedenheit am Herzen. Sprechen Sie mich an – gemeinsam finden wir die ideale Lösung.“
Die Vorbereitungen zur Umwandlung dieser neuen NIS2-Richtlinie in ein nationales Gesetz, dann für Okt. 2024 in Deutschland, laufen auf Hochtouren.
Daher fand auch u.a. mit Mitgliedern des Deutschen Wirtschaftsrats und Spezialisten aus der Praxis ein sog. „Werkstattgespräch“ mit dem BMI statt. Dazu erhielt das BMI auch im Vorfeld insgesamt 37 Stellungnahmen von relevanten Verbänden und Institutionen wie TÜV, DEKRA, VATM, TeleTrust u.v.m.
Grundsätzlich ist man aber „on Track“ mit den Planungen, so das kurze Fazit vorab, sodass die Umsetzung der NIS2-Richtlinie in nationales, also deutsches Gesetz ab Oktober 2024 realistisch erscheint.
Es wird aber noch viel diskutiert. Es geht dabei um Fragen, wie kann man denn eigentlich mit dem BMI kommunizieren - nur auf Deutsch, oder auf Deutsch und Englisch? Auf jeden Fall aber sollte der Meldeweg voll digital sein und dabei bleibt es offenbar auch. Wann ist eigentlich ein Sicherheitsvorfall erheblich? Na ja, das Thema Geld ist dabei am Ende nicht so relevant, als eher die Einstufung, wenn Gefahr für die Versorgungslage durch den Vorfall droht.
Auch eine Klarstellung, was denn lt. NIS2 eine „kritische“ oder eine „besonders kritische“ Einrichtung ist, wurde noch nicht trennscharf geregelt. Genauso inwieweit Geschäftsführer in die Haftung genommen werden können oder eben nicht oder wie es um klare Definition einzelner Begrifflichkeiten der NIS2-Richtlinie aussieht.
Welche Unternehmen oder Einrichtungen fallen denn nun eigentlich in den Anwendungsbereich? Auch da wird man noch etwas abwarten müssen, denn eine ganz klare Einordnung anhand von einfachen Kriterien ist noch nicht da.
Ein klar falscher Ansatz wäre gerade jetzt, zum aktuellen Zeitpunkt, mit einer weltweiten Bedrohungslage von Cyber-Angriffen wie nie zuvor, die Schwellwerte zu versuchen politisch herabzusetzen, damit die Richtlinie möglichst noch weniger Unternehmen und Einrichtungen beträfe. Fatal wäre m. E. nach sogar der offenbar diskutierte Ansatz, öffentliche Bereiche und Hochschulen gar aus dem Scope zu nehmen. Man würde damit aber auch die EU-Vorgaben aus der Richtlinie (die sog. „Size-Cap“-Richtlinie nach Mitarbeiteranzahl und Umsatz) unterwandern und das geht natürlich nicht, denn nationale Sonderregelungen sollten vermieden werden. Man kann und sollte aber vielleicht die Einstufung nach Kritikalität insgesamt mit in die Bewertung mit einbeziehen.
Man merkt deutlich, dass Deutschland sich noch immer zu stark in Sicherheit wiegt und die Politik sich mit dem (leider) immer noch als zu unwichtig eingestuften Thema Cybersicherheit schwertut. Hoffen wir also, dass die Bedrohungslage sich in Deutschland nicht weiter verschlimmert und dass mit NIS2 bis Oktober nächsten Jahres sich eine ordentlich in nationales Gesetz umgewandelte Richtlinie etabliert, die aber bis dahin sicher noch eines ordentlichen Feinschliffs an verschiedenen Stellen bedarf.