Der Schutz von Daten und IT-Infrastruktur ist wichtiger denn je, lässt sich aber nur in Teilen verordnen
© FotoMaximum / iStock / Getty Images Plus
Ein hohes gemeinsames Cybersicherheits-Niveau in der EU ist nach Auffassung der Deutschen Industrie- und Handelskammer (DIHK) ein für Politik und Wirtschaft gleichermaßen wichtiges und unterstützenswertes Ziel. Insbesondere mittelständische Unternehmen dürften jedoch nicht überfordert werden, mahnt sie in einer aktuellen Stellungnahme.
Mit der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit ("NIS2") hat die Europäische Union ihre Mitgliedstaaten Ende 2022 unter anderem zur Verabschiedung einer nationalen Cybersicherheitsstrategie verpflichtet. Nachdem Deutschland die Umsetzungsfrist zum 18. Oktober 2024 nicht eingehalten und die Bundestagsneuwahl im Februar 2025 für weitere Verzögerungen gesorgt hat, soll das Umsetzungsgesetz jetzt auf den Weg kommen.
Dirk Binding
© DIHK / Marko Priske
"Die Resilienz der Wirtschaft lässt sich nicht per Gesetz beschließen", betont Dirk Binding, DIHK-Bereichsleiter Digitale Wirtschaft, Infrastruktur, Regionalpolitik, anlässlich der Vorlage des Referentenentwurfs zum NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz am 23. Juli im Kabinett. "Unternehmen brauchen bei der Umsetzung eine gezielte Unterstützung nach klaren Vorgaben. Staat und Wirtschaft sind gemeinschaftlich gefordert."
In ihrer Stellungnahme vom 4. Juli kritisiert die DIHK insbesondere die unklare Definition zentraler Begriffe, die zu Rechtsunsicherheit führt. Unternehmen müssten häufig mit juristischer Hilfe klären, ob sie überhaupt vom Gesetz betroffen seien – ein Aufwand, der Zeit und Ressourcen binde.
"Schon die Betroffenheitsprüfung führt bei vielen Unternehmen zu Interpretationsschwierigkeiten und großer Komplexität", so Binding. "Hier braucht es dringend rechtssichere und praxistaugliche Umsetzungshilfen." Kritisch seien auch die Abweichungen des deutschen Entwurfs von der EU-Richtlinie, etwa bei der Definition "wichtiger Einrichtungen".
Nationale Sonderregelungen könnten den EU-Konsens verlassen und zu unterschiedlichen Umsetzungen in den Mitgliedstaaten führen, warnt der DIHK-Bereichsleiter. "Das birgt nicht nur rechtliche Unsicherheiten. Es bringt auch unnötigen zusätzlichen Prüf- und Umsetzungsaufwand insbesondere für grenzüberschreitend tätige Unternehmen mit sich."
Besonders die Ausnahme der öffentlichen Verwaltung wird in der Stellungnahme kritisch gesehen. "Es ist nicht nachvollziehbar, warum Kommunen und große Teile der Bundesverwaltung von vergleichbaren Verpflichtungen ausgenommen sind", sagt Dirk Binding. "Wenn die Verwaltung Teil der Wertschöpfungskette ist, muss sie auch Teil der Sicherheitsarchitektur sein."
Auch in der Lieferkette entstünden durch die neuen Anforderungen erhebliche Belastungen. Die DIHK fordert daher Klarheit, welche bestehenden Cybersicherheitszertifizierungen (beispielsweise ISO 27001 oder TISAX) als Nachweis für Sicherheitsstandards anerkannt werden.
"Zertifizierte Zulieferer sollten nicht Hunderte Einzelanfragen beantworten müssen. Das ist ein enormer Aufwand, der viel Zeit und Ressourcen kostet," erklärt Binding. Sein Fazit: "Cybersicherheit braucht klare Regeln, aber auch Augenmaß. Nur so kann die Wirtschaft ihren Beitrag zur digitalen Resilienz leisten."
Hier finden Sie die
Stellungnahme der DIHK (vom 4. Juli 2025) zum aktuellen Referentenentwurf (PDF, 154 KB)
