Seit ungefähr vier Monaten ist ein “NIS-2-Betroffenheitstest” on-line. Damit kann jeder herausfinden, ob die geplanten strengeren Regeln für ihn gelten oder nicht. Der Take a look at wurde laut BSI schon mehr als 200.000 Mal genutzt. Plattner hat dennoch den Eindruck: “Die Anforderungen, die auf die betroffenen Unternehmen und Einrichtungen zukommen, haben viele derjenigen, die es angeht, immer noch nicht richtig auf dem Schirm.”
Umsetzungsfrist lief im Oktober ab
Die Frist für die NIS-2-Richtlinie ist am 17. Oktober 2024 abgelaufen. Bis zu diesem Datum hätten alle EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen müssen. Deutschland und zahlreiche andere EU-Staaten haben die Frist nicht eingehalten. Die Ampel-Koalition hatte im Juli 2024 im Kabinett einen entsprechenden Gesetzentwurf beschlossen. Nach dem Auseinanderbrechen der Koalition von SPD, Grünen und FDP fand sich dafür jedoch keine Mehrheit mehr im Bundestag. “Dadurch, dass wir es in der letzten Legislaturperiode nicht mehr geschafft haben, ist da jetzt wirklich Tempo gefordert”, mahnt die BSI-Präsidentin. Aus ihrer Sicht sei es daher besser, die Richtlinie rasch umzusetzen und später gegebenenfalls noch einmal nachzubessern.
Kriminelle Hacker und Geheimdienst-Aktivitäten
Denn deutsche Unternehmen, Behörden, Forschungsinstitute und auch Einrichtungen in der Politik würden auf einem relativ hohen Niveau dauerhaft angegriffen und das Gesetz werde dafür sorgen, das Risiko zu reduzieren, dass diese Angriffe erfolgreich sind. Aktuell beobachtet das BSI nach eigenen Angaben viele Lieferketten-Angriffe. Dabei geht es etwa um Ingenieursbüros oder IT-Firmen, bei denen sich hinterher oft herausstellt, dass nicht der Dienstleister das eigentliche Angriffsziel struggle, sondern Firmen oder Institutionen, die ihre Kunden sind. “Das können auch Behörden oder Institutionen aus dem politischen Raum sein”, sagt Plattner.
