Die Europäische Kommission hat am 16. Dezember 2020 ihren Legislativvorschlag zur Überarbeitung der europäischen Richtlinie zur Gewährleistung einer hohen Netz- und Informationssicherheit vorgelegt. Der BDEW begrüßt in seiner Stellungnahme die Weiterentwicklung des Ordnungsrahmens angesichts der sich dynamisch entwickelnden Risikolandschaft im digitalen Raum.
Zur Stärkung einheitlicher Cybersicherheitsstandards in der EU fordert der BDEW, die Netz- und Informationssicherheit gezielt auf kosteneffiziente Art und Weise zu fördern und ausreichend Umsetzungsspielräume für die Mitgliedsstaaten zu gewährleisten.
NIS-Richtlinie 2.0
Vor dem Hintergrund der ständigen Weiterentwicklung der Technologie- und Bedrohungslandschaft strebt die Europäische Kommission die Aktualisierung der NIS-Richtlinie an. Sie verfolgt damit das Ziel, den EU-Rechtsrahmen mittels neuer Cybersicherheitsstandards auszweiten, zu vereinheitlichen und zu konkretisieren, um die Resilienz informationstechnischer Systeme von wesentlichen Infrastrukturen in der Europäischen Union zu erhöhen. Der Legislativvorschlag vom 16. Dezember 2020 setzt auf den Evaluationsprozess der geltenden Richtlinie auf, an dem sich der BDEW bereits mit einer Stellungnahme beteiligt hatte (Newsbeitrag vom 06. Oktober 2020).
Aus Sicht des BDEW ist die Überarbeitung der NIS-Richtlinie zeitlich und inhaltlich geboten. Die deutsche Energie- und Wasserwirtschaft zählt zu den sichersten Sektoren weltweit. Im Bereich der Netz- und Informationssicherheit gehören sie zudem zu den Sektoren, die in der EU bereits sehr strikt reguliert sind. In den letzten Jahren ist jedoch zu beobachten, dass die Angriffe aus dem digitalen Raum sowohl in ihrer Anzahl als auch Qualität zunehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt demnach das Bedrohungsrisiko konstant auf einem hohen Niveau ein (siehe BSI Lagebericht 2020).
Der BDEW fordert in seiner Stellungnahme, eindeutige und erreichbare Ziele bei der Überarbeitung der NIS-Richtlinie in den Vordergrund zu stellen. So kann die Netz- und Informationssicherheit in der EU auf kosteneffiziente Art und Weise gestärkt und dabei die notwendige Rechtssicherheit und angemessene Umsetzungsspielräume für die Mitgliedstaaten gewährleistet werden. Doppelregulierungen und Inkonsistenzen mit bereits bestehenden sektoralen und digitalpolitischen gesetzlichen Vorgaben sollten dabei vermieden werden.
Darüber hinaus spricht sich der BDEW u.a. für folgende Aspekte (Top-Prioritäten) aus:
Anwendungsbereich: Die Kommission schlägt vor, den Adressatenkreis der Richtlinie erheblich auszuweiten, sodass in Folge beinahe die gesamte Energie- und Wasserwirtschaft erfasst würde. Die vorgeschlagene Ausweitung sollte jedoch nur die Unternehmen von systemischer Relevanz umfassen. Ausnahmemöglichkeiten für Kleinst-, kleine und mittlere Unternehmen der Energie- und Wasserwirtschaft sollten auch zukünftig möglich sein (keine Anwendung der EU-KMU-Definition). Die Einführung des Abwasser- und Telekommunikationssektors in den Geltungsbereich der NIS-Richtlinie steht im Einklang mit der nationalen Regelung.
Anbieter digitaler Dienste und Hersteller/Lösungsanbieter: Der BDEW begrüßt die Gleichstellung zwischen den Unternehmen der Energie- und Wasserwirtschaft und den Anbietern digitaler Infrastruktur als wesentliche Einrichtungen. Wir fordern zudem, dass Hersteller und Lösungsanbieter von IKT-Produkten, -Dienstleistungen und -Prozessen zukünftig einen verstärkten Beitrag zum Schutz kritischer Infrastrukturen leisten sollen. Hierzu sollten die Produkthaftungsregelungen um Aspekte der IT-Sicherheit erweitert werden.
Einführung von Schemata für die Cybersicherheitszertifizierung: Auf die gesetzliche Grundlage zur Einführung einer verpflichtenden Nutzung von IKT-Produkten, –Dienstleistungen und -Prozessen, die nach einem europäischen Schema für die Cybersicherheitszertifizierung geprüft wurden, sollte jedoch verzichtet werden. Der bestehende risikobasierte Regulierungsansatz der aktuellen NIS-Richtlinie erfüllt bereits den Anspruch, ein hohes Schutzniveau zu erreichen, ohne die negativen Folgen von verpflichtenden Cybersicherheitszertifizierungen für Betreiber mit sich zu bringen.
Weitere Aspekte werden in der Stellungnahme erläutert.
Nach Vorlage des Legislativvorschlags durch die Kommission liegt nun der Spielball im Feld des Europäischen Parlaments und des Europäischen Rats. Der BDEW wird die Meinungsbildung in beiden Institutionen in den nächsten Monaten begleiten und konkrete Verbesserungsvorschläge zu einer NIS-Richtlinie 2.0 unterbreiten. Mit einem Abschluss des Legislativverfahrens auf europäischer Ebene ist erfahrungsgemäß frühestens 2022 zu rechnen. Im Anschluss muss die Richtlinie in nationales Recht umgesetzt werden.
Hintergrund
Mit der Einführung der NIS-Richtlinie wurde 2016 ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cybersicherheit, die Cyberabwehrfähigkeit, die verstärkte zwischenstaatliche Zusammenarbeit sowie Mindestsicherheitsanforderungen und Meldepflichten für Betreiber Kritischer Infrastrukturen geschaffen.
Alle aktuellen BDEW-News bequem per Mail erhalten?
Dann abonnieren Sie den BDEW-Newsletter. Täglich oder wöchentlich zu den für Sie wichtigen Themen – Sie entscheiden.
