Der Schutz kritischer Infrastrukturen
Prof. Dr. jur. Dennis-Kenji Kipker, wissenschaftlicher Direktor des cyberintelligence.institute in Frankfurt a.M. und Vorstand der Strategieberatungsgesellschaft CERTAVO AG zur Bedeutung der EU-Richtlinie „Network and Information Security“.
NIS-2, die EU-Richtlinie „Network and Information Security“ zur Regelung der Cyber- und Informationssicherheit von Unternehmen und Institutionen, warum ist sie so wichtig?
Prof. Dr. jur. Dennis-Kenji Kipker (DKK): Die NIS-2-Richtlinie macht Cybersecurity erstmals zu einer allgemeinen Gewährleistungsverantwortung, die weit über die Versorgungsgrenzen der Kritischen Infrastrukturen, kurz KRITIS genannt, hinausgeht. Vor zehn Jahren haben wir mit dem ersten IT-Sicherheitsgesetz den Schritt in eine verschärfte Cybersecurity Compliance gemacht, nun werden mit der NIS-2-Richtlinie europaweit weitestgehend vereinheitlicht viele Unternehmen erfasst, die Bestandteil unserer Wertschöpfungskette sind. Und dabei geht es nicht nur um Cybersicherheit, sondern um die Entwicklung und Realisierung eines ganzheitlichen Konzepts digitaler Resilienz.
Welche Pflichten ergeben sich für die Kommunalverwaltung aus NIS-2?
DKK: Das ist zurzeit – zumindest in Deutschland – noch das Problem. Grundsätzlich adressiert die NIS-2-Richtlinie in ihrem Anwendungsbereich auch die Kommunalverwaltung. Und das ist auch richtig und wichtig, denn wir haben in der Vergangenheit immer wieder gesehen, wie Einrichtungen der kommunalen Daseinsvorsorge erfolgreich angegriffen wurden und Monate gebraucht haben, um die Arbeitsfähigkeit wieder vollständig herzustellen. Der deutsche Gesetzgeber hat bei der nationalen Umsetzung von NIS-2 bislang aber die Kommunalverwaltungen von der Umsetzungspflicht ausgenommen. Nichtsdestotrotz sind aber kommunale Versorger vielfach von NIS-2 betroffen, genauso wie regionale Betriebe und Unternehmen.
Wie ist der aktuelle Stand der deutschen Gesetzgebung?
DKK: Zurzeit ist NIS-2 in Deutschland noch nicht umgesetzt – damit sind wir im europäischen Vergleich aber bei Weitem nicht die Einzigen, nicht umsonst hat die EU-Kommission vor Kurzem ein Vertragsverletzungsverfahren gegen eine Vielzahl von Mitgliedstaaten eingeleitet. Die letzten Änderungen am nationalen Entwurf von NIS-2 wurden im Januar 2025 vorgenommen, seither pausiert die Gesetzgebung. Die neue Regierung hat das Thema aber vorrangig auf ihrer Agenda. Nach dem aktuellen Stand gehe ich deshalb von einer Umsetzung spätestens zum Jahreswechsel 2025/2026 aus.
Sie wollen mehr über das Thema erfahren? Besuchen Sie den Vortrag von Prof. Dr. jur. Dennis-Kenji Kipker beim 3. Cybersecurity-Tag der Komm.ONE am 26. Juni 2025. Das gesamte Programm und weitere Informationen finden Sie hier.