„Der Regierungsentwurf den NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz ist vor dem Hintergrund der veränderten sicherheitspolitischen Lage ein wichtiger Schritt zur Stärkung der Cybersicherheit in Deutschland. Die hier enthaltenen spezialrechtlichen Regelungen für den Sektor Energie belassen – wie vom BDEW gefordert - die behördliche Aufsicht der IT-Systeme von Energienetzen und von kritischen Energieerzeugungsanlagen bei der Bundesnetzagentur. Damit schließt der Regierungsentwurf an die sehr guten Erfahrungen mit den IT-Sicherheitskatalogen der Bundesnetzagentur an und schreibt deren Praxis weitgehend konsequent fort.
Allerdings sind die Regelungen, die sich auf das EnWG beziehen, insbesondere für die Querverbundunternehmen, die sowohl die Energie- als auch die Wasserversorgung sicherstellen, immer noch schwer verständlich. Hier sollte zwingend nachgebessert werden, um verständliche und stringente Regelungen für die Energie- und Wasserwirtschaft zu schaffen. Diese Harmonisierung muss auch im Hinblick auf eine maximale Verzahnung der NIS2-Umsetzung mit dem KRITIS-Dachgesetz im Blick behalten werden.
Weiterhin sollte schnellstmöglich eine politische und unbürokratische Lösung für den Einsatz kritischer Komponenten gefunden werden. Als Blaupause hierfür kann die gerade gefundene politische Lösung im Sektor Telekommunikation dienen. Das berechtigte politische Interesse, den Einsatz von IT-Komponenten jener Hersteller untersagen zu können, die aus geopolitischer Sicht keine verlässlichen oder vertrauenswürdigen Partner sind, darf aber nicht durch Bürokratismus zu einem erheblichen rechtlichen und wirtschaftlichen Risiko für die Betreiber kritischer Infrastrukturen und für die Versorgungssicherheit selbst werden. Es ist zu befürchten, dass das Prüfverfahren zur Untersagung des Einsatzes kritischer Komponenten nicht dazu geeignet ist, die zu erwartende Fülle an Meldungen von kritischen Komponenten durch die betroffenen KRITIS-Betreiber zu bewältigen.“