„Mit dem NIS-2-Umsetzungsgesetz stärkt Deutschland seine digitale Resilienz in geopolitisch herausfordernden Zeiten. Gut ist, dass die im parlamentarischen Verfahren beschlossenen Änderungen den Umgang mit sogenannten kritischen IT-Komponenten auf eine praxistaugliche und sicherheitspolitisch ausgewogene Grundlage stellt.
Statt eines aufwendigen Anzeigeverfahrens, das für Betreiber kritischer Infrastrukturen erhebliche Bürokratie und Verzögerungen bedeutete, sieht die Regelung jetzt ein flexibles, risikoorientiertes Prüf- und Untersagungsverfahren vor. Das Bundesinnenministerium kann künftig eigenständig und auf Basis sicherheitspolitischer Erkenntnisse entscheiden, ob der Einsatz bestimmter Herstellerkomponenten die öffentliche Sicherheit beeinträchtigt. Damit wird der Schutz der nationalen digitalen Souveränität gestärkt, ohne Ausbau- und Investitionsprojekte in der Energieversorgung auszubremsen.
Die im Gesetz vorgesehene Möglichkeit, durch Rechtsverordnungen gezielt kritische Komponenten zu bestimmen, sollte unter Einbindung der betroffenen Branchen erfolgen. Nur so kann eine praxisnahe Identifikation der Komponenten erfolgen.
Das NIS2-Umsetzungsgesetz stärkt das Vertrauen in die IT-Sicherheitsarchitektur Deutschlands. Sie vermeidet unnötige Bürokratie und erlaubt es, sicherheitspolitisch riskante Hersteller gezielt auszuschließen – ohne die Energiewende und den Netzausbau zu verzögern. Zugleich werden durch die Verankerung der digitalen Energiedienste im Energiewirtschaftsgesetz in Zukunft auch KRITIS-Dienstleister in die Pflicht genommen und den KRITIS-Betreibern gleichgestellt. In diesem Zusammenhang ist festzuhalten, dass damit wesentliche energiewirtschaftliche Anlagentypen wie Aggregatoren, die bisher im BSIG geregelt waren, in Zukunft analog zu den Energienetzen und Energieanlagen unter das Energiewirtschaftsgesetz fallen und unter die Aufsicht der Bundesnetzagentur fallen.“
Mit dem NIS-2-Umsetzungsgesetz ist eine an der Praxis orientierte Gesetzgebung gelungen: Sicherheit durch klare Zuständigkeiten und pragmatische Verfahren. Dies gilt insbesondere auch für die Anpassungen der Regelungen, die Querverbundunternehmen betreffen.
Cybersicherheit ist eine gesamtgesellschaftliche Aufgabe. Mit der NIS-2-Umsetzung und der überarbeiteten Regelung zu kritischen Komponenten werden Resilienz, Versorgungssicherheit und technologische Souveränität gleichermaßen gestärkt.“
