„Unser Ziel ist eine resiliente Wirtschaft“

Die EU sieht ihre NIS-2-Richtlinie als einen zentralen Baustein der europäischen Cyber-Sicherheits-Architektur. Sie hat zahlreiche Auswirkungen auf Unternehmen, Verwaltung und Gesellschaft. Die Richtlinie „Network and Information Security Directive“ löst die bisherige NIS-1‑Regelung ab und verschärft europaweit die Anforderungen an digitale Sicherheit. Warum das Thema jetzt an Relevanz gewinnt und welche Veränderungen damit verbunden sind, erklärt Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), im Interview.

Welche sicherheitspolitische Logik steht hinter NIS-2?

NIS-2 verfolgt ein klares Ziel: Die Cyber-Sicherheit in Europa soll deutlich gestärkt werden. Digitale Angriffe machen nicht an Landesgrenzen halt. Deshalb braucht es in der EU vergleichbare Regeln und ein gemeinsames, hohes Sicherheitsniveau.

Was soll sich gegenüber NIS-1 grundlegend verbessern?

Es gibt zwei zentrale Verbesserungen mit Blick auf die Wirtschaft: Mehr Einheitlichkeit in Europa und ein größerer Kreis an Unternehmen, die Maßnahmen der Informationssicherheit umsetzen müssen. Die erste NIS-Richtlinie wurde in den EU-Mitgliedstaaten sehr unterschiedlich umgesetzt. Das hat zu einer Fragmentierung des Binnenmarkts geführt. NIS-2 soll diese Unterschiede durch Mindestvorschriften, Mechanismen zur Zusammenarbeit der Behörden und wirksame Durchsetzungsmaßnahmen beseitigen.

Warum wurde der Kreis der verpflichteten Unternehmen deutlich ausgeweitet?

Wirtschaft und Gesellschaft funktionieren nur, wenn verschiedene Bereiche des öffentlichen Lebens zuverlässig arbeiten – von Energie und Gesundheit über digitale Dienste bis hin zu Lieferketten. Deshalb erfasst NIS-2 nun mehr Sektoren, die für das Gemeinwesen von großer Bedeutung sind. Gleichzeitig teilt sie betroffene Unternehmen in verschiedene Kategorien ein: „wichtige Einrichtungen“, „besonders wichtige Einrichtungen“ und „Betreiber kritischer Anlagen“ (KRITIS) als Untergruppe der „besonders wichtigen Einrichtungen“. Je bedeutsamer ein Sektor ist, desto umfassender die Verpflichtungen.

Welche Rolle spielen mittelständische Unternehmen aus Sicht des BSI?

Der Mittelstand ist das Rückgrat der deutschen Wirtschaft. Viele mittelständische Unternehmen sind Teil komplexer Lieferketten oder erbringen zentrale Dienstleistungen. Fällt hier ein Unternehmen aus, kann das schwerwiegende Folgen haben. Deshalb nimmt NIS-2 auch mittelständische Unternehmen stärker in den Blick. Wichtig ist uns dabei: Es geht stets darum, bezogen auf das Unternehmen passende Sicherheitsanforderungen umzusetzen. Deshalb ist im BSI-Gesetz von verhältnismäßigen Maßnahmen die Rede. Es wird also immer das individuelle Risiko eines Unternehmens in den Blick genommen. Gerade im Mittelstand gibt es oft schon viel Engagement. Dieses Potenzial wollen wir gemeinsam weiterentwickeln.

Was erwartet das BSI konkret von den betroffenen Unternehmen?

Das BSI erwartet von regulierten Unternehmen vor allem, dass Cyber-Sicherheit ernst genommen wird. NIS-2 erfindet das Rad nicht neu. Gefordert werden grundlegende Maßnahmen der IT-Sicherheit, etwa Risikomanagement, technische Schutzmaßnahmen und klare Zuständigkeiten. Neu ist, dass diese Maßnahmen nun für mehr Unternehmen gesetzlich verpflichtend sind. Diese Unternehmen sind aus unserer Sicht besonders wichtig für das Funktionieren von Wirtschaft und Gesellschaft. Entsprechend erwarten wir, dass sie dieser Verantwortung gerecht werden.

Welche Unterstützungsangebote sieht das BSI vor?

Für uns war klar: Wir vom BSI lassen die Unternehmen nicht allein. Schon vor Inkrafttreten des neuen BSI-Gesetzes haben wir unter dem Claim #nis2know Informationsangebote für die Wirtschaft zur Verfügung gestellt. Unsere Online-Betroffenheitsprüfung, der NIS-2-Checker, wurde mehr als 350 000 Mal genutzt. Zehntausende Interessierte haben schon an unseren Webinaren teilgenommen oder Informationspakete abgerufen. In einem nächsten Schritt möchten wir den Fokus stärker auf die praktische Umsetzung legen: Wo gibt es offene Fragen? Wo können wir bereits Orientierung geben? Nicht auf jede Detailfrage gibt es sofort eine abschließende Antwort. In schwierigen Fällen suchen wir gemeinsam mit den Unternehmen pragmatische Lösungen.

Wie soll die Zusammenarbeit zwischen Behörden und Unternehmen funktionieren?

Das BSI hat eine Doppelrolle in Bezug auf die Wirtschaft: Wir fördern und fordern. Für die Wirtschaft möchten wir als Partner kooperieren und aktivieren. Über unsere Kooperationsformate wie die Allianz für Cyber-Sicherheit (ACS) und die Unabhängige Partnerschaft Kritische Infrastrukturen (UP KRITIS) gehen wir gezielt in den Austausch mit der Wirtschaft. Wir engagieren uns in gemeinsamen Projekten und Gremien, um Bedarfe der Wirtschaft zu erkennen und um zusammen Cyber-Sicherheit auf die Straße zu bringen.

Gleichzeitig sind wir Aufsichtsbehörde. Das heißt: Wir fordern die Einhaltung der gesetzlichen Vorgaben. Aus unserer Erfahrung in der Regulierung kritischer Infrastrukturen wissen wir jedoch: Aufsicht funktioniert am besten kooperativ und pragmatisch. Unternehmen sollen Zeit und Ressourcen haben, sich mit wirksamer Cyber-Sicherheit zu beschäftigen, nur im Verweigerungsfall soll das Thema Bußgelder Relevanz erlangen. Unser Ziel ist eine resiliente, geschützte, informierte und handlungsfähige Wirtschaft. Daran richten wir als BSI unser Handeln aus – im Dialog mit den Unternehmen, die NIS-2 betrifft. Alles steht unter dem Credo: Cyber-Sicherheit vor Bürokratie.

Interview: Thilo Kunze, DIHK

Claudia Plattner ist seit 1. Juli 2023 Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) und die erste Frau an der Spitze der Behörde. Zuvor war sie Generaldirektorin für Informationssysteme bei der Europäischen Zentralbank (EZB). Davor verantwortete die Diplom-Mathematikerin bei der DB Systel GmbH die Modernisierung der IT der Deutschen Bahn; leitende Stationen hatte sie zuvor u. a. bei DB Cargo inne.