„Die Gewährleistung der IT-Sicherheit ist bei allen Betreibern kritischer Infrastrukturen eine Daueraufgabe höchster Priorität. Es ist wichtig, dass neben dem nationalen auch der europäische Rechtsrahmen regelmäßig an die sich weiter entwickelnden Technologien und Bedrohungsszenarien angepasst wird. Positiv ist die Ausweitung des Adressatenkreises auf die Anbieter digitaler Dienste, die bisher nicht von der NIS-Richtlinie erfasst wurden. Sie werden zukünftig zu einem risikoorientierten und adäquaten
Umgang mit Schwachstellen ihrer digitalen Dienstleistungen verpflichtet und stärken damit ihren Beitrag zum Schutz Kritischer Infrastrukturen. Darüber hinaus wird auch der Abwassersektor in den Geltungsbereich der Richtlinie einbezogen und damit die Bandbreite der kritischen Infrastruktur aus nationaler Sicht auch europäisch sinnvoll komplettiert. Verpasst werden sollte jedoch nicht die Chance, auch die Hersteller von IT-Produkten in den Adressatenkreis aufzunehmen.
Im Rahmen der Cybersicherheit leistet die europäische Zusammenarbeit einen großen Mehrwert. Eine einheitliche und verhältnismäßige Vorgabe zur Meldung von IT-Sicherheitsvorfällen in der EU ist wünschenswert, um eine fundierte Einschätzung zur Bedrohungslage aus dem digitalen Raum ermitteln zu können. Nationale Behörden nehmen hier eine wichtige, koordinierende Funktion ein, um aggregierte und anonymisierte Meldungen an die zuständigen Behörden anderer Mitgliedsstaaten weiterzuleiten und die Benachrichtigung in der gesamten EU zeitnah zu gewährleisten. Darüber hinaus sollten zukünftig aber auch laufende Frühwarnungen und koordinierte Reaktionen gegenüber den Betreibern kritischer Infrastrukturen erfolgen, die von den Erkenntnissen aus anderen Mitgliedsstaaten profitieren würden.“
