– VCI kritisiert Ausnahmen für Länder und Kommunen, fordert bundesweit einheitliches Sicherheitsniveau.
– Positiv: Gesetz definiert „wichtige Einrichtungen“ in Chemie-Pharma klar, entlastet kleinere Firmen.
– VCI verlangt EU-konforme Schwellenwerte über 50 Beschäftigte und 10 Mio. € Umsatz, konsolidierte Regelwerke.
VCI fordert Nachbesserungen am NIS-2-Umsetzungsgesetz angesichts verschärfter Cyberbedrohung
Die zunehmenden Cyber- und Drohnenangriffe stellen Deutschland vor erhebliche Sicherheitsherausforderungen. Vor diesem Hintergrund hat das Bundeskabinett das sogenannte NIS-2-Umsetzungsgesetz verabschiedet, das die europäische NIS-2-Richtlinie in deutsches Recht übertragen soll. Ziel des Gesetzes ist es, das Cybersicherheitsniveau in der EU anzugleichen und zu erhöhen. Es legt erweiterte Sicherheitsanforderungen fest und sieht Sanktionen bei Verstößen vor. Dennoch sieht der Verband der Chemischen Industrie (VCI) weiterhin deutlichen Nachbesserungsbedarf.
Kritisch bewertet der VCI vor allem, dass das Gesetz ausschließlich Bundesbehörden, nicht aber Länder- und Kommunalbehörden verpflichtet, Schritte zur Cybersicherheit umzusetzen. So kommentiert VCI-Geschäftsführer Digitalisierung Johann-Peter Nickel: „Die Ausnahmen im Gesetz verhindern ein bundesweit einheitlich hohes Sicherheitsniveau, zum Beispiel bei der Digitalisierung der Planungs- und Genehmigungsverfahren.“ Hinzu komme die Forderung nach klareren Definitionen von Rechtsbegriffen sowie nach einer einfacheren Umsetzung in der Praxis, denn hier sieht Nickel „noch sehr viel Luft nach oben“.
Positiv hervorgehoben wird vom Branchenverband, dass der Gesetzentwurf nun klarer regelt, welche Unternehmen der chemisch-pharmazeutischen Industrie als „wichtige Einrichtungen“ gelten. Dies dürfte vor allem kleinere Unternehmen entlasten. Dennoch plädiert der VCI dafür, den Anwendungsbereich an das EU-Recht anzupassen. Das sieht vor, dass Unternehmen nur dann unter die NIS-2-Richtlinie fallen, wenn sie mehr als 50 Beschäftigte haben und entweder einen Jahresumsatz oder eine Jahresbilanz von mindestens 10 Millionen Euro erreichen.
Der VCI beanstandet außerdem das Nebeneinander von Gesetzesvorschriften und bestehenden Normen, Leitfäden sowie Technischen Regeln. Nickel mahnt: „Doppel- und Mehrfachprüfungen müssen vermieden und ein konsistentes Regelwerk mit klaren Anforderungen an Verwaltung und Unternehmen geschaffen werden.“
Mit einem Jahresumsatz von rund 240 Milliarden Euro und über 560.000 Beschäftigten gehören die Mitgliedsunternehmen des VCI zu den zentralen Akteuren der deutschen Wirtschaft. Angesichts der verschärften Bedrohungslage unterstreicht der Branchenverband die Wichtigkeit, die Cybersicherheit konsequent und umfassend zu stärken – und fordert deshalb eine Nachjustierung des NIS-2-Umsetzungsgesetzes.
Was das NIS-2-Umsetzungsgesetz für Wirtschaft und Gesellschaft bedeutet
Das NIS-2-Umsetzungsgesetz steht im Zentrum einer wichtigen Rechtsentwicklung, die das Sicherheitsniveau in der digitalen Infrastruktur Deutschlands und Europas deutlich erhöhen soll. Angesichts der steigenden Zahl und Komplexität von Cyberangriffen, aber auch neuer Bedrohungen wie Drohnenangriffen, adressiert das Gesetz die Notwendigkeit, kritische Infrastrukturen besser zu schützen und die Resilienz von Unternehmen sowie öffentlichen Stellen zu stärken. Dabei geht es nicht nur um den Schutz einzelner Sektoren, sondern um eine gesamtgesellschaftliche Herausforderung.
Die Umsetzung der europäischen NIS-2-Richtlinie in deutsches Recht soll sicherstellen, dass Cybersicherheit künftig einheitlich und umfassend in allen relevanten Bereichen gewährleistet ist. Aktuelle Regelungen, die beispielsweise nur Bundesbehörden verpflichten und Länder sowie Kommunen ausnehmen, erfüllen diese Anforderungen noch nicht. Dies führt zu gefährlichen Sicherheitslücken, die gerade im Kontext der Digitalisierung von Planungs- und Genehmigungsverfahren deutlich werden. Ein bundesweit hohes und harmonisiertes Sicherheitsniveau ist deshalb zwingend nötig, um die kritische Infrastruktur zuverlässig zu schützen.
Für Unternehmen bringt das Gesetz klare Zuordnungen, wer als „wichtige Einrichtung“ eingestuft wird, was insbesondere kleineren Betrieben der chemisch-pharmazeutischen Industrie zugutekommt. Trotzdem fordert der Verband der Chemischen Industrie (VCI) Nachbesserungen, um die Vorgaben mit dem EU-Recht abzustimmen und die Umsetzung zu vereinfachen. Denn gerade um Mehrfachprüfungen und widersprüchliche Anforderungen zu vermeiden, muss das Gesetz auch mit bestehenden Normen und Regelwerken besser vernetzt werden.
Wie weit reicht der Schutz vor Cyberangriffen?
Das NIS-2-Gesetz verfolgt das Ziel, die digitale Sicherheit über alle wesentlichen Sektoren hinweg auszubauen – von Energie über Verkehr, Gesundheit und Wasser bis hin zur chemischen Industrie. Kritische Infrastrukturen, die für das Funktionieren der Gesellschaft unverzichtbar sind, erhalten dadurch einen rechtlichen Rahmen für umfassende Schutzmaßnahmen. Die Regelungen erweitern nicht nur die Prävention, sondern sehen auch Sanktionen bei Verstößen vor, um die Aktzeptanz und Konsequenz durchzusetzen.
Mit der Digitalisierung wachsen jedoch auch die Angriffsflächen. Die Gefahr, dass schlecht geschützte Systeme ausgenutzt oder manipuliert werden, ist real und betrifft nicht nur große Unternehmen, sondern zunehmend mittelständische Betriebe und öffentliche Verwaltungen. Hier setzt das Gesetz an, fordert verpflichtende Sicherheitskonzepte und einheitliche Standards, die bundesweit gelten.
Was ändert sich für Verbraucher und Unternehmen?
Für Unternehmen bedeutet das neue Gesetz mehr Pflichten, aber auch mehr Sicherheit. Es werden klare Anforderungen an die IT-Sicherheit, Meldepflichten bei Sicherheitsvorfällen und die Risikobewertung gestellt. Unternehmen aus den besonders relevanten Branchen, die mehr als 50 Mitarbeitende beschäftigen und bestimmte Umsatzgrenzen überschreiten, fallen unter die Regelungen der NIS-2. Dadurch sind sie verpflichtet, ihre Schutzmaßnahmen an die neuen Standards anzupassen.
Auch Verbraucher profitieren indirekt, weil durch den besseren Schutz der IT-Systeme beispielsweise bei Energieversorgung, Gesundheitsdiensten oder Kommunikationsnetzen die Versorgung stabiler und sicherer wird. Gleichzeitig erhöht sich die Transparenz, wenn Betreiber von kritischen Einrichtungen Sicherheitsvorfälle melden müssen.
Gleichzeitig wirft die Umsetzung gesellschaftliche Fragen auf, etwa wie der Datenschutz mit den neuen Sicherheitsanforderungen in Einklang gebracht wird oder wie sich Unternehmen, gerade kleinere Betriebe, technisch und finanziell auf die Anforderungen einstellen können. Die Anpassung an neue gesetzliche Vorgaben erfordert Zeit und Ressourcen, stellt aber eine notwendige Investition in die digitale Souveränität und das Vertrauen aller Beteiligten dar.
Die Herausforderungen im Überblick:
- Bundesweit einheitlich hohe Sicherheitsstandards schaffen, auch auf Landes- und Kommunalebene
- Vermeidung von Doppelprüfungen durch konsolidierte Regelwerke und klare Anforderungen
- Klare Definitionen von Begriffen und Umsetzungsprozesse, um Praktikabilität zu gewährleisten
- Schutz kritischer Infrastrukturen vor zunehmend komplexen Cyber- und Drohnenangriffen
- Balance zwischen Cybersicherheit, Datenschutz und wirtschaftlicher Umsetzbarkeit
Das NIS-2-Umsetzungsgesetz stellt einen wichtigen Schritt dar, um Deutschland und die EU gegen die wachsenden digitalen Gefahren zu wappnen. Sein Erfolg hängt dabei maßgeblich davon ab, wie konsequent und einheitlich es umgesetzt wird – über alle Ebenen hinweg und unter Einbeziehung aller betroffenen Akteure aus Wirtschaft, Gesellschaft und Verwaltung.
Die in diesem Beitrag verwendeten Informationen und Zitate basieren auf einer Pressemitteilung des Verbandes der Chemischen Industrie (VCI).