Frau Plattner, welche sicherheitspolitische Logik steht hinter NIS-2?

NIS-2 verfolgt ein klares Ziel: Die Cybersicherheit in Europa soll deutlich gestärkt werden. Digitale Angriffe machen nicht an Landesgrenzen halt. Deshalb braucht es in der EU vergleichbare Regeln und ein gemeinsames, hohes Sicherheitsniveau.

Was soll sich gegenüber NIS-1 grundlegend verbessern?

Es gibt zwei zentrale Verbesserungen mit Blick auf die Wirtschaft: mehr Einheitlichkeit in Europa und ein größerer Kreis an Unternehmen, die Informationssicherheitsmaßnahmen umsetzen müssen. Die erste NIS-Richtlinie wurde in den EU-Mitgliedstaaten sehr unterschiedlich umgesetzt. Das hat zu einer Fragmentierung des Binnenmarkts geführt. NIS-2 soll diese Unterschiede durch Mindestvorschriften, Mechanismen zur Zusammenarbeit der Behörden und wirksame Durchsetzungsmaßnahmen beseitigen. 

Warum wurde der Kreis der verpflichteten Unternehmen deutlich ausgeweitet?

Wirtschaft und Gesellschaft funktionieren nur, wenn verschiedene Bereiche des öffentlichen Lebens zuverlässig arbeiten – von Energie und Gesundheit über digitale Dienste bis hin zu Lieferketten. 

Deshalb erfasst NIS-2 nun mehr Sektoren, die für das Gemeinwesen von großer Bedeutung sind. Gleichzeitig teilt sie betroffene Unternehmen in verschiedene Kategorien ein: "wichtige Einrichtungen", "besonders wichtige Einrichtungen" und Betreiber kritischer Anlagen (KRITIS) als Untergruppe der "besonders wichtigen Einrichtungen". Je bedeutsamer ein Sektor ist, desto umfassender die Verpflichtungen. 

Welche Rolle spielen mittelständische Unternehmen aus Sicht des BSI?

Der Mittelstand ist das Rückgrat der deutschen Wirtschaft. Viele mittelständische Unternehmen sind Teil komplexer Lieferketten oder erbringen zentrale Dienstleistungen. Fällt hier ein Unternehmen aus, kann das schwerwiegende Folgen haben.

Deshalb nimmt NIS-2 auch mittelständische Unternehmen stärker in den Blick. Wichtig ist uns dabei: Es geht stets darum, bezogen auf das Unternehmen passende Sicherheitsanforderungen umzusetzen. Deshalb ist im BSI-Gesetz von verhältnismäßigen Maßnahmen die Rede. Es wird also immer das individuelle Risiko eines Unternehmens in den Blick genommen. Gerade im Mittelstand gibt es oft schon viel Engagement – dieses Potenzial wollen wir gemeinsam weiterentwickeln.

Was erwartet das BSI konkret von den betroffenen Unternehmen?

Das BSI erwartet von regulierten Unternehmen vor allem, dass Cybersicherheit ernst genommen wird. NIS-2 erfindet das Rad nicht neu. Gefordert werden grundlegende Maßnahmen der IT-Sicherheit – etwa Risikomanagement, technische Schutzmaßnahmen und klare Zuständigkeiten. Neu ist, dass diese Maßnahmen nun für mehr Unternehmen gesetzlich verpflichtend sind.

Diese Unternehmen sind aus unserer Sicht besonders wichtig für das Funktionieren von Wirtschaft und Gesellschaft. Entsprechend erwarten wir, dass sie dieser Verantwortung gerecht werden. 

Wie versteht das BSI "verhältnismäßige" Sicherheitsmaßnahmen?

Unternehmen müssen geeignete, verhältnismäßige und wirksame Maßnahmen ergreifen, um Störungen zu verhindern und Schäden zu begrenzen. "Verhältnismäßig" bedeutet: Die Maßnahme ist geeignet, das Risiko zu reduzieren. Sie ist erforderlich – es gibt also kein gleich wirksames, milderes Mittel. Sie ist angemessen im Verhältnis zu Kosten und Nutzen. 

Das BSI-Gesetz nennt konkrete Kriterien, anhand derer Unternehmen die Verhältnismäßigkeit prüfen können, etwa: Wie hoch ist das Risiko? Wie groß ist das Unternehmen? Wie wahrscheinlich sind Sicherheitsvorfälle und wie schwer wären ihre Folgen? Welche gesellschaftlichen und wirtschaftlichen Auswirkungen hätte ein Ausfall? Die Bewertung nimmt das Unternehmen selbst vor. 

Welche Unterstützungsangebote sieht das BSI vor?

Für uns war klar: Wir vom BSI lassen die Unternehmen nicht allein. Schon vor Inkrafttreten des neuen BSI-Gesetzes haben wir unter dem Claim #nis2know Informationsangebote für die Wirtschaft zur Verfügung gestellt. Unsere Online-Betroffenheitsprüfung, der NIS-2-Checker, wurde mehr als 350.000 mal genutzt. Zehntausende Interessierte haben schon an unseren Webinaren teilgenommen oder Informationspakete abgerufen.

In einem nächsten Schritt möchten wir den Fokus stärker auf die praktische Umsetzung legen. Wo gibt es offene Fragen? Wo können wir bereits Orientierung geben? Nicht auf jede Detailfrage gibt es sofort eine abschließende Antwort. In schwierigen Fällen suchen wir gemeinsam mit den Unternehmen pragmatische Lösungen. 

Wie soll die Zusammenarbeit zwischen Behörden und Unternehmen funktionieren?

Das BSI hat eine Doppelrolle in Bezug auf die Wirtschaft: Wir fördern und fordern. Für die Wirtschaft möchten wir als Partner kooperieren und aktivieren. Über unsere Kooperationsformate wie die Allianz für Cybersicherheit (ACS) und die Unabhängige Partnerschaft Kritische Infrastrukturen (UP KRITIS) gehen wir gezielt in den Austausch mit der Wirtschaft. Wir engagieren uns in gemeinsamen Projekten und Gremien, um Bedarfe der Wirtschaft zu erkennen und um zusammen Cybersicherheit auf die Straße zu bringen. 

Gleichzeitig sind wir Aufsichtsbehörde. Das heißt: Wir fordern die Einhaltung der gesetzlichen Vorgaben. Aus unserer Erfahrung in der Regulierung kritischer Infrastrukturen wissen wir jedoch: Aufsicht funktioniert am besten kooperativ und pragmatisch. Unternehmen sollen Zeit und Ressourcen haben, sich mit wirksamer Cybersicherheit zu beschäftigen, nur im Verweigerungsfall soll das Thema Bußgelder Relevanz erlangen. 

Unser Ziel ist eine resiliente, geschützte, informierte und handlungsfähige Wirtschaft. Daran richten wir als BSI unser Handeln aus – im Dialog mit den Unternehmen, die NIS-2 betrifft. Alles steht unter dem Credo: Cybersicherheit vor Bürokratie.

Zur Person

© BMI / Henning Schacht

Claudia Plattner ist seit 1. Juli 2023 Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI) – und die erste Frau an der Spitze der Behörde. 

Zuvor war sie Generaldirektorin für Informationssysteme bei der Europäischen Zentralbank (EZB).

Davor verantwortete sie als CIO der DB Systel GmbH die Modernisierung der IT der Deutschen Bahn; leitende Stationen hatte Plattner zuvor unter anderem bei DB Cargo.

Die Mathematikerin (TU Darmstadt) hat einen Master in Applied Mathematics (Tulane University, USA). Sie gilt als ausgewiesene Expertin für IT‑Sicherheit und kritische Infrastrukturen mit Fokus auf eine widerstandsfähige digitale Grundsicherheit für Staat, Wirtschaft und Gesellschaft.