Das Ziel der NIS-2-Richtlinie ist grundsätzlich gut und richtig: Europas Cyber-Resilienz muss gestärkt werden. Und mit Blick auf die von den Unternehmen dringend benötigte Planungssicherheit ist es gut, dass das NIS-2-Umsetzungsgesetz nun endlich verabschiedet wurde. Allerdings gibt es inhaltlich klare Kritikpunkte.

Denn entscheidend ist, dass die Umsetzung des Gesetzes für die Unternehmen in der Praxis handhabbar bleibt. Insbesondere angesichts der aktuellen wirtschaftlichen Lage dürfen Betriebe nicht durch zusätzliche Bürokratie oder überzogene Vorgaben belastet werden. Nur so können Sicherheit und Wettbewerbsfähigkeit der Automobilindustrie in Einklang gebracht werden. Bezüglich der Handhabbarkeit in der Praxis besteht jedoch noch deutlicher Verbesserungsbedarf, insbesondere bei der administrativen Entlastung und einer klaren, nachvollziehbaren Ausgestaltung der Anforderungen.

Künftig wird das Bundesinnenministerium (BMI) in einem zweistufigen Verfahren über kritische Komponenten entscheiden können. Wichtig ist, dass diese Entscheidungen nachvollziehbar und zügig getroffen werden, um langwierige Genehmigungsprozesse zu vermeiden. Nur so entsteht die Planungssicherheit, die die Industrie benötigt.

Strengere Fristen und eine erweiterte Managerhaftung über die EU-Vorgaben hinaus, wie sie aktuell Teil des Gesetzes sind, lehnt der VDA weiterhin entschieden ab. Sie belasten die Unternehmen unnötig. Stattdessen braucht es klare Regeln für die Delegation von Aufgaben, Safe-Harbor-Lösungen und einen fairen Haftungsrahmen, der Rechtssicherheit schafft.

Positiv ist, dass neben den Ministerien nun auch die gesamte Bundesverwaltung stärker in die Richtlinie einbezogen wird. Für die konkrete Umsetzung des Gesetzes gilt nun: Die Bundesregierung sollte ein koordiniertes Informationsnetzwerk schaffen, das klare Zuständigkeiten und feste Entscheidungswege vorsieht. Das beschleunigt Verfahren und sorgt für mehr Einheitlichkeit in der Umsetzung. Nationale Alleingänge oder mehrfach erforderliche Meldungen müssen unbedingt vermieden werden. Zudem sollte es für Unternehmensgruppen möglich sein, Meldungen zusammenzufassen, um den bürokratischen Aufwand gering zu halten. Ein 'One-Stop-Shop'-Verfahren, das auch Meldungen in englischer Sprache zulässt, würde Unternehmen hier spürbar entlasten. Meldeverfahren sollten zudem komplett digital und interoperabel gestaltet werden.
Für die Umsetzung der Risikomanagementpflichten sollte das Bundesamt für Sicherheit in der Informationstechnik (BSI) verständliche, praxisnahe und möglichst verbindliche Hilfestellungen bereitstellen, und zwar frühzeitig, damit Unternehmen ihre Prozesse rechtzeitig anpassen können. So kann eine einheitliche und praktikable Umsetzung sichergestellt werden. Hierzu benötigt das BSI eine Stärkung an Ressourcen.

Darüber hinaus sollte es möglich sein, für sicherheitskritisch Beschäftigte (´Kernpersonal´) eine Sicherheitsüberprüfung zu veranlassen, um den Schutz sensibler Informationen und Systeme zu gewährleisten.

Mit Blick auf künftige Vorgaben durch den Cyber Resilience Act und die 'ICT Supply Chain Toolbox' der EU-Kommission braucht es darüber hinaus praktikable und objektive Kriterien sowie ausreichende Übergangsfristen. Entscheidend ist, dass sich diese Regelwerke gegenseitig ergänzen und keine redundanten oder widersprüchlichen Anforderungen entstehen.