Der Bundesverband Erneuerbare Energie (BEE) begrüßt den Entwurf zur Umsetzung der europäischen Netzwerk- und Informationssicherheitsrichtlinie (NIS-2-Richtlinie) des Bundesinnenministeriums (BMI). In seiner Stellungnahme bewertet der Verband den Entwurf insgesamt als wichtigen Schritt zur Stärkung der IT-Sicherheit und Resilienz in der deutschen Wirtschaft, aber sieht noch Anpassungsbedarf.
Maßnahmen für mehr Sicherheit werden begrüßt
„Die Sicherheit unserer Anlagen und der digitalen Infrastruktur im Energiesektor hat höchste Priorität. Umso erfreulicher ist es, dass sich das BMI so früh in der neuen Legislaturperiode der NIS-2-Richtlinie angenommen hat. Wir blicken durchaus positiv auf viele der vorgesehenen Maßnahmen und sind überzeugt, dass diese entscheidend dazu beitragen werden, unsere Systeme und damit die gesamte deutsche Wirtschaft widerstandsfähiger gegen Bedrohungen, Angriffen und Sabotage zu machen. Dies ist ein wichtiger Schritt in die richtige Richtung“, erklärt BEE-Präsidentin Dr. Simone Peter.
Aus Sicht des Verbandes seien viele der vorgesehenen Regelungen positiv zu betrachten. Insbesondere die Bündelung der behördlichen Zuständigkeit bei der Bundesnetzagentur (BNetzA) als zentrale Stelle für Cybersicherheitsmaßnahmen im Energiesektor begrüßt der BEE ausdrücklich. Auch die verpflichtend umzusetzenden Risikomaßnahmen für kritische Anlagen und die Möglichkeit zur Implementierung eines gemeinsamen Informationsmanagemtsystems bei Partner- oder verbundenen Unternehmen seien zu begrüßen, ebenso wie die die geplante Beteiligung von Betreibern und Branchenverbänden an der Konsultation von IT- Sicherheitskatalogen. „Damit wird auf allen Ebenen sichergestellt, dass die Maßnahmen sowohl wirkungsvoll als auch angemessen sind“, so Peter.
Anpassungsbedarf im Gesetzesentwurf
Zugleich weist der Verband auf konkreten Anpassungsbedarf im Gesetzesentwurf hin, um die praktische Umsetzung zu erleichtern. So sollten insbesondere die zuständigen Behörden eine aktivere Rolle bei der Einordnung betroffener Unternehmen einnehmen und für eine transparente Kommunikation der gesetzlichen Pflichten sorgen. Deutschland drohe hier sonst im europäischen Vergleich zurückzufallen. Auch die Abgrenzung der Zuständigkeiten zwischen den beteiligten staatlichen Stellen, insbesondere im Hinblick auf die BNetzA, müsse klarer gefasst werden.
Zudem sei eine Unterscheidung nach Unternehmensgrößen bei der Ausgestaltung der Mindestanforderungen an die IT-Sicherheit im Anlagen- und Netzbetrieb notwendig. Ebenso sei eine Konkretisierung und Vereinfachung der Anforderungen an Anlagenbetreiber sowie eine präzise Definition der IT-Systeme, -Komponenten und -Prozesse erforderlich. „Es ist entscheidend, frühzeitig Klarheit über die geforderten Maßnahmen zu schaffen, damit insbesondere kleine und mittelständische Unternehmen nicht vor unverhältnismäßige Herausforderungen gestellt werden. Konkretisierungen und Vereinfachungen sind daher unabdingbar“, so Peter abschließend.
