Sicherheit & Resilienz der Netze

Angesichts der fortschreitenden Digitalisierung und der damit verbundenen Risiken durch Cyberangriffe gewinnt der technische Schutz der Netze wachsende Bedeutung. Dabei geht es nicht nur um die technische Absicherung vor Angriffen auf Netzkomponenten und IT-Systeme, sondern auch um den physischen Schutz der Netzinfrastrukturen vor Bedrohungen aus dem In- und Ausland, aber auch im Zuge von Naturkatastrophen oder Pandemien. Ein zentrales Ziel ist es, sowohl Angriffsmöglichkeiten zu erschweren als auch effektiv auf Angriffe zu reagieren und die Resilienz der Netze insgesamt zu stärken.

Aus diesem Grund haben wir als BREKO im Frühjahr 2024 die Projektgruppe Cybersicherheit, KI und Datenschutz ins Leben gerufen, in welcher wir uns mit aktuellen rechtlichen Rahmenbedingungen, sich daraus ergebenen Verpflichtungen sowie Umsetzungsmöglichkeiten befassen.

FAQ

Bereits das Telekommunikationsgesetz (TKG) und darauf aufbauende Vorgaben der BNetzA verpflichten TK-Unternehmen zu umfangreichen Anforderungen an die Sicherheit und Resilienz ihrer Netze.

Durch die Umsetzung der europäischen Nis2-Richtlinie wird einen Großteil aller TK-Unternehmen zu weiteren Anforderungen an die Cybersicherheit verpflichtet. Für Betreiber kritischer Anlagen entstehen darüber hinaus zukünftig weitere Verpflichtungen aus dem KRITIS-Dachgesetz.

Die zeitnahe Implementierung einer nationalen Umsetzung der Nis2-Richtlinie ist aufgrund der gestiegenen Cybersicherheitsanforderungen von großer Bedeutung. Das Bundesamt für Sicherheit und Informationstechnik (BSI) hat in seinen letzten Entwürfen des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (Nis2-UmsuCG), welches jedoch von der letzten Regierung nicht mehr verabschiedet wurde, die bestehenden Verpflichtungen des TK-Sektors aus dem TKG umfassend berücksichtigt und damit eine mögliche Doppelregulierung vermieden. Allerdings hätten weitreichende Änderungen zwischen den einzelnen Entwürfen eine frühzeitige und umfassende Vorbereitung der betroffenen Unternehmen erschwert. Zudem hätte der im Nis2-UmsuCG enthaltene § 41 BSIG-E zum Einsatz kritischer Komponenten dringend überarbeitet werden müssen, da das wirtschaftliche Risiko des Verlusts der Herstellervertrauenswürdigkeit nicht ausschließlich den TK-Unternehmen auferlegt werden darf.

Jedes im TK-Sektor tätige Unternehmen sollte sich unmittelbar mit der Sicherheit seiner Netze befassen und mögliche Verpflichtungen aus dem TKG zu Anforderungen der Cybersicherheit überprüfen. Ebenso sollten Unternehmen die „NIS-2-Betroffenheitsprüfung“ des BSI durchführen. Unabhängig von einer direkten Betroffenheit des Unternehmens, sollte auch die Möglichkeit der Verpflichtung über eine Lieferkette geprüft werden.

In jedem Fall sollte mindestens eine Person im Unternehmen bestimmt werden, die für die Cybersicherheit im Unternehmen zuständig ist und die wesentlichen Entwicklungen zur Umsetzung der Nis2-Richtlinie verfolgt. Die Geschäftsleitung und Mitarbeiter sollten regelmäßig im Bereich der Cybersicherheit geschult werden

Dokumente

1. Stellungnahme: Nis2-UmsuCG Download (111 kB)
2. Stellungnahme: Nis2-UmsuCG Download (301 kB)
3. Stellungnahme: Nis2-UmsuCG Download (225 kB)
Positionspapier: RefE KritisDG 2023-01-24 Download (101 kB)
Positionspapier: KRITIS-DG 2023-08-23 Download (173 kB)

Ihre Ansprechpartner

Lisa Müller

Referentin für Recht & Regulierung

Lisa Müller
Benedikt Kind

Leiter Recht und Regulierungsgrundsätze

Benedikt Kind