Mehr Ergebnisse...

Generic filters
FS Logoi


Safety & Security

NIS-2-Richtlinie: ZVEI kritisiert aktuellen Referentenentwurf

Der ZVEI hat sich in einer Stellungnahme zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) geäußert. Der Verband der Elektro- und Digitalindustrie kritisiert vor allem, dass mit dem nun veröffentlichten Referententwurf des Gesetzes ein hoher Ressourcenaufwand einhergehe, um die Anforderungen zu erfüllen. Insbesondere KMU könnten das aktuell kaum leisten, weshalb betroffenen Unternehmen Orientierungshilfen zur Seite gestellt werden sollten. […]

von | 29.05.24

Betroffenen Unternehmen sollten Orientierungshilfen zur Seite gestellt werden, damit diese ihre begrenzten Ressourcen zielführend einsetzen können, fordert der ZVEI.
Foto: Sergey Nivens - stock-adobe.com
Wirtschaft & Unternehmen

Der ZVEI hat sich in einer Stellungnahme zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) geäußert. Der Verband der Elektro- und Digitalindustrie kritisiert vor allem, dass mit dem nun veröffentlichten Referententwurf des Gesetzes ein hoher Ressourcenaufwand einhergehe, um die Anforderungen zu erfüllen. Insbesondere KMU könnten das aktuell kaum leisten, weshalb betroffenen Unternehmen Orientierungshilfen zur Seite gestellt werden sollten.

NIS-2-Richtlinie will Cyberresilienz von Staat und Wirtschaft stärken

Angesichts der wachsenden Bedrohung durch Cyberangriffe bietet das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) eine Gelegenheit, die Cyberresilienz von Staat und Wirtschaft
zu stärken. Dabei ist es jedoch entscheidend, dass die Vorgaben des Gesetzes effektiv und mit minimalem bürokratischem Aufwand umgesetzt werden. Leider müssen wir feststellen, dass die von uns im Oktober 2023 als kritisch identifizierten Punkte des damaligen Diskussionspapiers in dem nun veröffentlichten Referentenentwurf in nahezu unveränderter Form vorkommen.

Durch die Ausweitung des Anwendungsbereiches der NIS-2-Richtlinie ist die Elektro- und Digitalindustrie deutlich stärker von dem Rechtsakt betroffen als noch unter der ersten NIS-Richtlinie. Für die betroffenen Unternehmen erfordert dies eine intensivere Auseinandersetzung mit dem nationalen Umsetzungsgesetz in Begleitung von mit hohem Ressourcenaufwand verbundenen Anpassungen. Der jetzt vorliegende Referentenentwurf des NIS2UmsuCG wurde weniger als 6 Monate vor Ablauf der Umsetzungsfrist der EU-Richtlinie in die Anhörung gegeben. Umfassende und tiefgreifende Anforderungen – z.B. die Gewährleistung der Sicherheit der Lieferkette (gem. § 30 Abs. 2 S. 4) – konfrontieren insbesondere kleinere Unternehmen mit Herausforderungen, auf die sie heute noch keine adäquaten Lösungen haben. Vor diesem Hintergrund sollte auf eine sensible und praxisnahe Ausgestaltung des NIS2UmsuCG geachtet werden.

ZVEI fordert Orientierungshilfen für betroffene Unternehmen

Betroffenen Unternehmen sollten Orientierungshilfen zur Seite gestellt werden, damit diese ihre begrenzten Ressourcen zielführend einsetzen können. Zusätzlich sollte EU-weite Einheitlichkeit das oberste Prinzip bei der nationalen Umsetzung der NIS-2-Richtlinie sein. Viele unserer Unternehmen sind mindestens europäisch, wenn nicht international tätig, jegliche Abweichung in den einzelstaatlichen Umsetzungen hat unnötige Mehraufwände zur Konsequenz. Regulatorische Diskrepanzen erfordern Anpassungen, die Ressourcen binden und die deutsche Wirtschaftskraft hemmen. Es ist daher essenziell, dass die Mitgliedstaaten eng zusammenarbeiten, um konsistente und harmonisierte Regelungen zu entwickeln und umzusetzen.

Aus Sicht des ZVEI sind folgende Aspekte für eine effektive Umsetzung des NIS2UmsuCG problematisch:

  • Die aktuell verwendete Definition des „Managed Service Provider“ oder „MSP“ gem. § 2 Abs. 1 S. 30 ist in der Hinsicht problematisch, dass hierrüber Einrichtungen als besonders wichtige Einrichtungen eingestuft werden könnten, deren Einstufung ursprünglich lediglich als wichtige Einrichtungen vorgesehen war.
  • Die antizipierte Änderung des Energiewirtschaftsgesetzes birgt das Risiko einer Doppelregulierung für bestimmte Einrichtungen. Zudem sollten auch sog. virtuelle Kraftwerke in den Anwendungsbereich aufgenommen werden.
  • Die Nutzung von CSA-Schemata entsprechend § 30 (6) sollte mit Augenmaß und zielgerichtet erfolgen. Die Festlegung mittels Rechtsverordnungen wirft prinzipielle rechtliche Fragen auf, vor allem, ob eine so umfassende Vorgabe wie ein potenzielles Verwendungsverbot lediglich mittels einer Rechtsverordnung erfolgen sollte.
  • Die praktische Umsetzung der Meldepflichten gem. § 32 bleibt unklar. Die aktuelle Vorgabe ließe sich so auslegen, dass die 24-Stunden-Frist für Erstmeldungen ab dem Zeitpunkt beginnt, an dem die betroffene Einrichtung von einem Sicherheitsvorfall erfährt, ohne dass diese die Möglichkeit hatte diesen auf seine „Erheblichkeit“ i.S.v § 30 Abs. 1 S. 1 zu prüfen.
  • Es sollte sichergestellt werden, dass Registrierungspflichten gem. §§ 33 und 34 nur im Land des Hauptsitzes erfolgen müssen. Eine europäisch einheitliche Lösung ist unbedingt national abweichenden Regelungen vorzuziehen.
  • Die mit § 55 eingeführte nationale Zertifizierung führt zu Unsicherheiten in Folge von inkonsistenten Regelungen im EU-Binnenmarkt

Die gesamte Stellungnahme des ZVEI ist kostenfrei zum Download verfügbar:

Zur ZVEI-Stellungnahme

Weitere Informationen gibt es unter www.zvei.org.

Bildquelle, falls nicht im Bild oben angegeben:

Jetzt Newsletter abonnieren

Brennstoff für Ihr Wissen, jede Woche in Ihrem Postfach.

Hier anmelden

Christoph Kutter ist neuer VDE-Präsident
Christoph Kutter ist neuer VDE-Präsident

Wechsel an der Spitze einer der größten Technologie-Organisationen Europas: Prof. Dr. Christoph Kutter löst den bisherigen VDE-Präsidenten Alf Hendryk Wulf ab. Der Direktor des Fraunhofer EMFT übernimmt das Amt, nachdem er zuvor bereits zwei Jahre stellvertretender Präsident war. Im Fokus seiner Amtszeit stehen laut einer Pressemeldung junge Menschen und die Mikroelektronik der Zukunft.

mehr lesen
NIS-2 und CRA: OT-Security-Kongress zeigt, worauf es jetzt ankommt
NIS-2 und CRA: OT-Security-Kongress zeigt, worauf es jetzt ankommt

Mit dem Inkrafttreten des deutschen NIS-2-Umsetzungsgesetzes am Nikolaustag des vergangenen Jahres und dem bereits ab 2027 geltenden Cyber Resilience Act (CRA) hat die produzierende Industrie zwei hohe Regulierungshürden vor der Brust. Wie Unternehmen sich auf die Umsetzung vorbereiten können und was es zu beachten gilt, zeigen zwei Vortragsblöcke auf dem OT-Security-Kongress SECURITY UNTER KONTROLLE am 17. und 18. März in Duisburg.

mehr lesen
Product Carbon Footprint: Projekt erarbeitet Fahrplan für die Halbleiterindustrie
Product Carbon Footprint: Projekt erarbeitet Fahrplan für die Halbleiterindustrie

Getrieben von ambitionierten Netto-Null-Zielen mit Zieljahr 2030 fordern führende IT-Unternehmen zunehmend Transparenz über produktbezogene CO₂-Emissionen entlang der gesamten Halbleiter-Lieferkette. Forschende vom Fraunhofer IZM erarbeiten für das SEMI Semiconductor Climate Consortium einen strategischen Fahrplan für den Product Carbon Footprint (PCF). Ziel ist eine praxisnahe Bewertung der Treibhausgasemissionen entlang der gesamten Wertschöpfungskette – von Halbleiterfertigung bis hin zu Rechenzentrumshardware.

mehr lesen
MTP 2.0: Neue Version des Standards offiziell veröffentlicht
MTP 2.0: Neue Version des Standards offiziell veröffentlicht

Das MTP 2.0 ist da! Die PROFIBUS & PROFINET International (PI) hat gestern die offizielle Veröffentlichung der neuen Version des Module Type Package (MTP) bekanntgegeben. Mit den wesentlichen funktionalen Erweiterungen der neuen Version des Standards wird laut der Host-Organisation ein wichtiger Meilenstein für die modulare Automatisierung erreicht. MTP 2.0 schaffe die Grundlage für echte Interoperabilität, noch mehr Flexibilität und Effizienz bei der Planung, Integration und dem Betrieb modularer Anlagen – und das branchenübergreifend.

mehr lesen
Bitkom und ZVEI begrüßen Reform des EU Cybersecurity Act
Bitkom und ZVEI begrüßen Reform des EU Cybersecurity Act

Cyberangriffe treffen längst nicht mehr nur einzelne Unternehmen, sie gefährden kritische Infrastrukturen, ganze Lieferketten, Krankenhäuser und auch die öffentliche Verwaltung. Vor diesem Hintergrund hat die EU-Kommission gestern die Überarbeitung des mehr als sechs Jahre alten EU Cybersecurity Act vorgestellt.

mehr lesen

atp weekly

Der Newsletter der Branche

Ihr kostenfreier E-Mail-Newsletter für alle Belange der Automatiserung.
Jetzt anmelden

Sie möchten das atp magazin testen

Bestellen Sie Ihr kostenloses Probeheft

Überzeugen Sie sich selbst: Gerne senden wir Ihnen das atp magazin kostenlos und unverbindlich zur Probe!

Jetzt bestellen
Finance Illustration 03