Überführung der Richtlinie in nationales Recht darf nicht in Überregulierung münden / SPECTARIS fordert harmonisiertes Vorgehen und Hilfestellungen für betroffene KMU
Am heutigen Montag (16. Januar) tritt das Update der europäischen Richtlinie zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netzwerk- und Informationssicherheit (kurz: NIS-2-Richtlinie) in Kraft, die eine Reihe an Anforderungen zur IT-Sicherheit in Europa umfassend überarbeitet und erweitert. Der Deutsche Industrieverband SPECTARIS begrüßt das Vorhaben: „Derzeit stehen wir in Europa vor einer erhöhten IT-Bedrohungslage, die zugleich höhere Anforderungen an Cybersicherheit voraussetzt. Mit der Richtlinie wird die Grundlage für ein weiterhin hohes Cybersicherheitsniveau innerhalb der EU geschaffen“, betont SPECTARIS-Geschäftsführer Jörg Mayer.
Die NIS-2-Richtlinie erweitert den Anwendungsbereich um zusätzliche Wirtschaftsbranchen und führt neue IT-Sicherheitsanforderungen an mittlere und große Unternehmen ein. Innerhalb der nächsten 21 Monate muss die Richtlinie nun in nationales Recht der EU-Mitgliedstaaten umgesetzt werden.
SPECTARIS mahnt dabei eine verhältnismäßige Umsetzung der Anforderungen in nationales Recht an: „Besonders unsere mittelständischen Unternehmen sind von den Neuerungen und Erweiterungen durch NIS-2 betroffen. Eine Überregulierung durch zusätzliche nationale Vorgaben – über NIS-2 hinaus – würde den bereits hohen regulatorischen Druck auf den deutschen Mittelstand drastisch erhöhen. Auch wegen des anhaltenden Fachkräftemangels im IT-Bereich müssen die Anforderungen deshalb angemessen ausfallen“, appelliert Mayer.
Die Richtlinie schließt nicht aus, dass gesellschaftlich besonders relevante Klein- und Kleinstunternehmen unter die Vorgaben nationaler Gesetzgebung fallen könnten. SPECTARIS fordert daher die Bundesregierung auf, gezielte Hilfen bereitzustellen, um kleine und mittlere Unternehmen (KMU) bei der Implementierung komplexer Cybersicherheitsvorgaben nicht alleine zu lassen.
Aufgrund der Rechtslage ist die Schaffung klarer Anforderungen für ein hohes Maß an Rechtssicherheit für Unternehmen unabdingbar. Dabei ist ein harmonisiertes Vorgehen essentiell, um EU-weit einheitliche Vorgaben zu schaffen. „Nationale Sonderwege darf es nicht geben. Nur mit einem einheitlichen Anforderungslevel wird ein effektiver Rechtsrahmen und eine flächendeckende Steigerung des Cybersicherheitsniveaus in Deutschland und der Europäischen Union garantiert,“ so Mayer abschließend.
