IT-Sicherheit: Teletrust warnt vor Kollaps deutscher Behörden
Der Bundesverband IT-Sicherheit mahnt in einem Brief an den IT-Planungsrat, die Umsetzung der NIS2-Richtlinie müsse für den ganzen öffentlichen Sektor gelten.
(Bild: Stokkete/Shutterstock.com)
Mit einer drastischen Warnung fordert der Bundesverband IT-Sicherheit (Teletrust) den IT-Planungsrat auf zu mehr Einsatz für IT-Sicherheit auch auf Ebene von Ländern und Gemeinden, im Sinne der "NIS2" getauften Initiative zur Neuauflage der EU-Vorschriften zur Netz- und Informationssicherheit (NIS). "Die Gefahr eines weitreichenden Zusammenbruchs von Verwaltungs- und Bildungseinrichtungen ist evident, ebenso das damit einhergehende datenschutzrechtliche Risiko", schreibt der Verband in einem offenen Brief. Die Vorgaben der NIS2-Richtlinie seien zwar "anspruchsvoll", aber für das Gemeinwohl, die Bürger, die Unternehmen und auch Behörden und öffentlichen Stellen "wichtig und wesentlich".
Stein des Anstoßes: Der IT-Planungsrat hat als zentrales politisches Steuerungsgremium "für eine effiziente und sichere digitale Verwaltung" mit dem Beschluss 2023/39 Anfang November die Länder und den Bund gebeten, den Anwendungsbereich der NIS2-Richtlinie just "nicht auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene sowie Bildungseinrichtungen zu erstrecken". Die EU-Vorgaben sähen zwar eine solche Option der Ausweitung vor, von der aber kein Gebrauch gemacht werden sollte. Der Teletrust verlangt in dem Schreiben dagegen: "Nehmen Sie den Beschluss zur Nicht-Umsetzung der NIS-2-Richtlinie zurück!"
Um ein angemessenes IT-Sicherheitsniveau in Deutschland zu erreichen, ist es dem Verband zufolge "erforderlich und dringend geboten", insbesondere die Kommunen – aber auch die Bildungseinrichtungen – gesetzlich auf IT-Sicherheit zu verpflichten und diese nicht pauschal aus dem Anwendungsbereich herauszulassen. Auf Bundesebene gebe es ernsthafte Bemühungen, einschlägige "funktionierende Regeln" aufzustellen. Das tue nicht zuletzt deswegen Not, weil die Umsetzungsfrist Mitte Oktober endet. Die Bundesländer müssten parallel eigene IT-Sicherheitsgesetze schaffen beziehungsweise vorhandene anpassen.
"Flächendeckender Ausfall zahlreicher Bürgerämter" als Mahnung
Ohne angemessene IT-Sicherheit könne der Staat seinen Schutzpflichten nicht nachkommen und gefährde "das notwendige Vertrauen für eine Digitalisierung aller Lebensbereiche nachhaltig", gibt Teletrust zu bedenken. Der "Weg für eine effiziente, sicherere und gut vernetzte digitale Verwaltung in Deutschland", den der IT-Planungsrat nach eigener Darstellung beschreiten wolle, werde mit dem kontraproduktiven Beschluss nicht geebnet. Der Ausschluss aus dem Regelungsregime ignoriere auch die Signalwirkung auf Unternehmen und Gesellschaft, die sich ungleich behandelt fühlen dürften.
Bereits jetzt machten sich die "fatalen Folgen unzureichender digitaler Infrastruktur und fehlender IT-Sicherheitsmaßnahmen in den Kommunen" bemerkbar: eine "Vielzahl von Cyberattacken führt gegenwärtig zu einem flächendeckenden Ausfall zahlreicher Bürgerämter." Auch Schulen und Universitäten seien vermehrt betroffen. heise online hat den IT-Planungsrat zu einer Stellungnahme eingeladen.
Die vom EU-Parlament 2022 beschlossene NIS2 bringt erweiterte Mindeststandards für Risikomanagement im Bereich der IT-Sicherheit und für Meldepflichten bei Online-Attacken sowie Datenpannen. Erfasste Betriebe mit über 250 Mitarbeitern und über zehn Millionen Euro Jahresumsatz müssen künftig gemeinsame Sicherheitsstandards etwa für Audits, Risikoabschätzungen oder das zeitnahe Einspielen von Updates und Zertifizierungen beachten. Zuständige Behörden sind innerhalb von 24 Stunden zunächst grob über Vorfälle zu informieren.
(ds)
