IDW zum Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes
Das IDW hat sich zum Referentenentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) geäußert. In seiner Stellungnahme gegenüber dem Bundesministerium des Innern und für Heimat (BMI) regt das IDW angesichts der Cyberbedrohungslage weitere Maßnahmen zur externen Qualitätssicherung und zur Stärkung der Cyberresilienz an.
In seiner Stellungnahme kritisiert das IDW, dass die Pflicht, die Erfüllung von Sicherheitsmaßnahmen nachzuweisen, nur für Betreiber kritischer Anlagen vorgesehen ist. Angesichts der gesteigerten Cyberbedrohungslage sollte nach Auffassung des IDW auch die Sicherheit der besonders wichtigen Einrichtungen gesteigert werden. Ein Nachweis durch externe Sicherheitsaudits, Prüfungen oder Zertifizierungen würde eine zusätzliche Qualitätssicherung durch unternehmensunabhängige Dritte gewährleisten. Das IDW daher regt an, die Nachweispflicht auf besonders wichtige Einrichtungen auszuweiten.
Die im Referentenentwurf geplante Verlängerung des Nachweiszeitraums von zwei auf mindestens drei Jahre wird vom IDW als nicht zielführend angesehen. Angesichts der dynamischen Bedrohungslage im Bereich der Cybersicherheit, auch in Folge des russischen Angriffskriegs auf die Ukraine, sei ein zweijähriger Nachweiszeitraum angemessener, um Risiken rechtzeitig zu erkennen und zu beheben. Das IDW spricht sich daher dafür aus, den Nachweiszeitraum für Betreiber kritischer Anlagen bei zwei Jahren zu belassen, wie es der aktuellen Rechtslage entspricht.
In die Stellungnahme des IDW sind Erfahrungen von Wirtschaftsprüferinnen und Wirtschaftsprüfern eingeflossen, die die von Betreibern Kritischer Infrastrukturen umzusetzenden Maßnahmen prüfen oder die Betreiber auf diesem Gebiet beraten. Das IDW hat am 03.06.2024 an der Verbändeanhörung des BMI zum NIS2UmsuCG teilgenommen und wird auch das weitere Gesetzgebungsverfahren aktiv begleiten.
Zur vollständigen Stellungnahme des IDW:
Hintergrund:
Die NIS-2-Richtlinie soll EU-weit die Cybersicherheit bei kritischen Infrastrukturen stärken und einheitliche Standards setzen. In Deutschland wird die Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz umgesetzt. Dabei sollen die EU-Vorgaben vor allem mittels einer Änderung des BSI-Gesetzes erfolgen (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, BSIG). Die Umsetzungsfrist läuft im Oktober 2024 ab. In den Anwendungsbereich der neuen Regelungen werden deutlich mehr Unternehmen fallen als bisher; in Deutschland wird von ca. 30.000 Unternehmen ausgegangen.