Quelle: Fotolia / Sergey Nivens
Auf die Betreiber kritischer Infrastruktur kommen neue IT-Sicherheitsanforderungen zu. Aus der Energiewirtschaft kommt Kritik an der Umsetzung.
Bis Oktober 2024 muss die Netz- und Informationssicherheitsrichtlinie NIS2 der EU in nationales Recht umgesetzt werden. Seit Anfang Mai dieses Jahres ist zwar ein Referentenentwurf dazu im Umlauf. Dass Deutschland die Terminvorgabe tatsächlich einhalten wird, gilt unter Fachleuten aber als unwahrscheinlich. Das fertige Gesetz ist wohl nicht vor Anfang 2025 zu erwarten.
Die Richtlinie schreibt den Mitgliedstaaten unter anderem vor, eine Cybersicherheitsstrategie zu entwickeln und definiert, welche Unternehmen als Teil der kritischen Infrastruktur besondere Vorsorge- und Meldepflichten haben.
Die 2022 novellierte NIS erweiterte den Kreis der betroffenen Unternehmen deutlich gegenüber der ersten Richtlinie, die 2016 verabschiedet worden war. Künftig soll sich die Einstufung nach der Betriebsgröße und nicht nach der tatsächlichen Bedeutung für die Versorgungssicherheit richten. VKU-Hauptgeschäftsführer Ingbert Liebing hat deshalb bereits davor gewarnt, das kommende Gesetz könne zum „Bumerang für die Cybersicherheit“ werden. Für größere Unternehmen könnte es bedeuten, dass Ressourcen für IT-Sicherheit über das gesamte Unternehmen allokiert werden müssten, statt zielgerichtet in die wirklich kritischen Bereiche zu fließen. „Wir bitten die Bundesregierung zu prüfen, ob Mitarbeiterzahl und Umsatz wirklich sinnvolle Kriterien sind“, so Liebing. Der Bundesverband Windenergie sieht ebenfalls noch „Klärungsbedarf“.
„Es betrifft jetzt auch Unternehmen, die bislang eher unter dem Radar fliegen. Die bisher gesagt haben: Wir sind kleiner, uns betrifft das nicht“, sagt Bernhard Schiemann von BTC. Deshalb hat der IT-Dienstleister aus dem EWE-Konzern in Oldenburg einen „Betroffenheits-Check“ entwickelt.
Etwa 30.000 Unternehmen könnten vom neuen Gesetz nach der novellierten NIS betroffen sein. Etwa 1.000 davon gehören nach Einschätzung von Schiemann zur Energiewirtschaft. Auch wenn die Umsetzung der Vorgaben für die Unternehmen einen zusätzlichen Aufwand bedeutet, hält er die Richtlinie aber für einen „Schubs in die richtige Richtung“. Denn die Bedrohung sei hoch.
Den vollständigen Beitrag über die neue Regulierung in Sachen IT-Sicherheit lesen Sie in der Juli-Ausgabe zum 30-jährigen Jubiläum von Energie & Management.
Freitag, 28.06.2024, 13:05 Uhr
© 2024 Energie & Management GmbH
