VATM fordert Nachbesserungen beim NIS2-Gesetz : – weniger Bürokratie, mehr Sicherheit

Unternehmen in Deutschland werden künftig unter die neue NIS-2-Richtlinie der Europäischen Union fallen. Sie verpflichtet Betreiber kritischer und wichtiger Einrichtungen, umfassende Maßnahmen zur Cybersicherheit umzusetzen. Darunter auch viele Anbieter von Telekommunikationsdiensten, für die der Verband der Anbieter von Telekommunikations- und Mehrwertdiensten (VATM) nun dringenden Handlungsbedarf sieht.

„Ein wirksames Gesetz muss Sicherheit erhöhen, ohne Unternehmen durch Doppelstrukturen auszubremsen“, erklärt VATM-Geschäftsführer Dr. Frederic Ufer in Anhörung am 13. Oktober im Bundestag. Der Entwurf des sogenannten NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) müsse dringend überarbeitet werden, um praxisgerechter und effizienter zu werden.

VATM warnt vor Doppelstrukturen in Bund und Ländern

Besonders kritisch sieht der Verband die Gefahr redundanter Zuständigkeiten zwischen Bund und Ländern. Unterschiedliche Meldepflichten und parallele Aufsichtsstrukturen drohten, Unternehmen mit bürokratischem Aufwand zu belasten, statt die Sicherheit zu erhöhen.

Der VATM fordert daher ein einheitliches Meldeportal, das alle relevanten Sicherheitsmeldungen zentral bündelt. „Sicherheit entsteht durch klare, einfache und digitale Abläufe“, betont Ufer. „Wir brauchen ein behördenübergreifendes System, das schnell pilotiert und langfristig europaweit eingesetzt werden kann.“

Gerade international agierende Unternehmen seien auf einheitliche Standards angewiesen. Unterschiedliche nationale Anforderungen gefährden die Vergleichbarkeit und Effizienz von Sicherheitsmaßnahmen – und letztlich die Wettbewerbsfähigkeit des europäischen Digitalstandorts.

Gleiche Regeln für Staat und Wirtschaft

Ein weiterer Kritikpunkt betrifft die ungleichen Anforderungen an öffentliche Einrichtungen und privatwirtschaftliche Akteure. Nach Ansicht des VATM müssen Sicherheitsverpflichtungen und Sanktionen für alle gelten – unabhängig davon, ob es sich um eine Behörde oder ein Unternehmen handelt. „Sicherheitsgarantien dürfen keine Frage des Trägers sein“, so Ufer. „Wir brauchen ein einheitliches, robustes Schutzniveau für Wirtschaft, Verwaltung und Gesellschaft.“ Nur wenn alle Akteure denselben Standards folgen, könne das Ziel eines widerstandsfähigen digitalen Ökosystems erreicht werden.

Darüber hinaus mahnt der Verband an, Cybersicherheit und physische Sicherheit stärker miteinander zu verzahnen. Das NIS2UmsuCG und das KRITIS-Dachgesetz, das die europäische CER-Richtlinie umsetzt, seien zwei Seiten derselben Medaille und sollten auch rechtlich miteinander harmonisiert werden. Einheitliche Regelungen in beiden Gesetzen könnten Reibungsverluste vermeiden und den administrativen Aufwand erheblich reduzieren.

Pragmatismus statt Sonderwege

Der VATM verweist in diesem Zusammenhang auf die Modernisierungsagenda des Bundesdigitalministeriums, die eine adressatenorientierte und praxistaugliche Rechtsetzung fordert. Bürokratieabbau und digitale Verfahren müssten auch in der Cybersicherheitsgesetzgebung konsequent umgesetzt werden.

Deutschland steht dabei unter besonderem Zeitdruck: Wegen der verspäteten Umsetzung der NIS-2-Richtlinie läuft bereits ein Vertragsverletzungsverfahren der Europäischen Union. Ufer fordert daher, das NIS2UmsuCG und das KRITIS-Dachgesetz nun zügig zu verabschieden – jedoch ohne nationale Sonderwege, die den europäischen Rechtsrahmen unterlaufen. „Was Europa braucht, ist ein gemeinsames Fundament für Cybersicherheit“, betont Ufer. „Nur wenn wir in einem harmonisierten Rahmen agieren, schaffen wir die Basis für verlässliche Sicherheitsstandards, effiziente Verfahren und eine starke digitale Wirtschaft.“