Verbände warnen vor Bürokratiehammer bei Cybersicherheit

Berlin (energate) - Die Bundesregierung befasst sich in dieser Woche gleich mit zwei Gesetzesvorhaben zum Schutz kritischer Infrastrukturen. Während das Kritis-Dachgesetz vom Bundeskabinett beschlossen wurde, geht die Umsetzung der EU-Richtlinie NIS 2 in die erste Lesung - mit dem entsprechenden Gesetzesentwurf soll die Cybersicherheit verbessert werden. VKU und BDEW warnen in einem gemeinsamen Positionspapier allerdings vor einem Bürokratiemonster, das die Energieversorgung in Deutschland nicht zwingend sicherer, aber teurer und aufwendiger machen könnte. Die Verbände liefern Gegenvorschläge.

Konkret stößt den Branchenvertretern Paragraf 41 im Entwurf zum "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" auf. Dieser verschärft die Anforderungen zum Einsatz kritischer Komponenten u.a. in Energieversorgungsanlagen. Die Anforderungen seien ungeeignet, weil das Verfahren zur Prüfung der Komponenten aus der Telekommunikationsbranche übernommen worden sei, heißt es in dem Positionspapier. Für die Energiewirtschaft bedeutet das Überstülpen der Anforderungen aus einer anderen Branche nach dem Prinzip "one size fits all" einen erheblichen bürokratischen Mehraufwand.

Telekommunikation hat völlig andere Voraussetzungen als Energie

Warum, zeigt schon allein die unterschiedliche Struktur beider Märkte: Im Gegensatz zur Telekommunikationsbranche gebe es in der Energiewirtschaft Tausende Lieferanten mit unterschiedlichsten technischen Komponenten und Bauteilen. Hinzu komme, dass es nur vier Telekommunikationsnetzbetreiber in Deutschland gibt, wohingegen Hunderte Kritis-Betreiber im Energiebereich betroffen seien. Und zu guter Letzt kämen bei 5G-Netzen nur Komponenten einer Technologie zum Einsatz, in der Energieversorgung seien es hingegen Tausende Bauteile mit sehr unterschiedlichen technischen Zusammenhängen.

Der Gesetzgeber will Betreiber kritischer Anlagen dazu verpflichten, dass sie den geplanten erstmaligen Einsatz einer kritischen Komponente dem Bundesinnenministerium (BMI) vor ihrem Einsatz anzeigen. Es soll zudem die geplante Art des Einsatzes angegeben werden, heißt es in dem Gesetzesentwurf. Das Bundesministerium prüft dann, ob das Bauteil sicher verwendet werden darf. Darüber hinaus dürfen kritische Komponenten nur eingesetzt werden, wenn der Hersteller eine Erklärung über seine Vertrauenswürdigkeit (Garantieerklärung) gegenüber dem Betreiber der betroffenen Anlage abgegeben hat. Aus dieser muss hervorgehen, wie der Hersteller sicherstellt, dass die kritische Komponente nicht über technische Eigenschaften verfügt, die geeignet sind, missbräuchlich, insbesondere zum Zweck von Sabotage, Spionage oder Terrorismus, auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Anlage einwirken zu können.

Dieses Vorgehen sorgt laut BDEW und VKU für jährlich Hunderttausende Verwaltungsakte allein im Energiesektor. Zudem sei unklar, auf welcher Grundlage das BMI entscheidet, ob eine Komponente tauglich ist. Das Ministerium entscheide nach politischen und formalen Kriterien und nicht auf Basis einer sicherheitstechnischen Prüfung durch Betreiber, monieren die Verbände. Dafür, dass sich so die Cybersicherheit gegenüber Ausschluss- oder Positivlisten erhöhen lässt, sehen die Branchenvertreter kaum Zeichen.

Gesetzesentwurf geht an Praxis vorbei

Abgesehen davon werde das Bundesministerium von Alexander Dobrindt (CSU) Schwierigkeiten haben, Tausende Komponentenmeldungen pro Jahr zeitnah zu prüfen, heißt es. In Turnkey-Projekten (schlüsselfertige Komplettprojekte) sei eine Bewertung von Teilkomponenten oft gar nicht möglich.

Auch würden Innovationshemmnisse und Oligopole drohen, wenn vorsorglich potenziell "unsichere" Anbieter vom Markt ausgeschlossen würden. Ganz zu schweigen von den rechtlichen Unsicherheiten und Klageoptionen ausgeschlossener Hersteller. Die Autoren des Positionspapiers empfehlen daher, das Verfahren abzuschaffen oder zu vereinfachen. Statt der geplanten Anzeigenregelungen könnte es eine Blacklist nicht vertrauenswürdiger Hersteller geben. Umgekehrt würde auch eine Whitelist funktionieren. Außerdem sollten Hersteller aus Deutschland, der EU und der Nato von den Anforderungen ausgenommen werden. Auch die rückwirkende Anwendung sollte verworfen werden, außer es gebe zwingende Sicherheitsgründe hierfür. Die pauschale Rückbaupflicht lasse sich durch risikobasierte Einzelprüfungen ersetzen.

NIS 2 verabschiedet - bei Kritis drängt die Zeit

Die Umsetzung der NIS-2-Verordnung hängt eng mit dem Kritis-Dachgesetz zusammen. Dieses wurde am Mittwoch (10. September) vom Bundeskabinett verabschiedet. Hier geht es vor allem um den physischen Schutz kritischer Infrastrukturen in den elf Sektoren, darunter Energie, Verkehr, Wasser, Gesundheit und Ernährung. Das Gesetz macht Vorgaben zur Risikobewertung und zu Mindestanforderungen an die Sektoren. Kritik gab und gibt es am Gesetzesentwurf, weil er es nicht schaffe, den Schutz physischer und digitaler Kritis zu vereinheitlichen. Konstantin von Notz, stellvertretender Fraktionsvorsitzender der Grünen, beispielsweise nennt den Entwurf eine "absolute Schmalspur-Umsetzung der EU-Vorgaben".

Der Bundesregierung läuft die Zeit davon. Die EU hat aufgrund der ausstehenden Umsetzung der CER-Richtlinie in Form des Kritis-Dachgesetzes bereits ein Vertragsverletzungsverfahren gegen Deutschland eingeleitet. Eigentlich hätte das Gesetz bis Ende Oktober 2024 verabschiedet sein sollen. In wenigen Tagen endet nun eine weitere Frist zur Umsetzung. Dann kann die EU Deutschland wegen Nichtumsetzung der Vorgaben vor dem EuGH verklagen. /lm