Cybersecurity NIS-2
Die steigende Digitalisierung in Kommunen bietet mehr Angriffsfläche für Cyberkriminalität.
© 123rf.com/profile_wolfhound911

Digitalisierung

Kommunale IT-Sicherheit- die NIS-2-Richtlinie

Seit kurzem gilt die neue EU-Richtlinie NIS-2 zur Verbesserung der Cybersicherheit für Unternehmen und öffentliche Verwaltungen. Doch Obwohl kommunale Behörden häufig Opfer von Cyberangriffen werden, sollen sie in Deutschland nicht in der NIS-2-Richtlinie berücksichtigt werden. Was das bedeutet und wie Kommunen sich trotzdem absichern können - Christian Stuffrein, Referent für Digitalisierung beim Deutschen Landkreistag, gibt Tipps.

KOMMUNAL: Der IT-Planungsrat beschloss 2023, kommunale Verwaltungen nicht in die neue EU-Richtlinie NIS-2 zur Cybersicherheit einzubinden. Wie ist der aktuelle Stand?

Christian Stuffrein: Die EU-Kommission hat die Richtlinie so ausgestaltet, dass sie erstmals für die öffentliche Verwaltung gilt und die lokale Ebene fakultativ adressiert werden kann. Woraufhin sich der IT-Planungsrat in einer eigenen Arbeitsgruppe damit beschäftigt und sich explizit dagegen ausgesprochen hat. Natürlich besteht die Möglichkeit, dass die Länder trotzdem im Rahmen ihrer eigenen Hoheit entsprechende Rechtsakte erlassen. Soweit mir das bekannt ist, wird das aber im Rahmen der NIS-2-Umsetzung selbst und den dort skizzierten Anforderungen nicht erfolgen. Es gibt aktuell keine Verpflichtung, dass Kommunalverwaltungen die NIS-2-Richtlinie umsetzen müssen.

Wie steht der Deutsche Landkreistag dieser Entscheidung gegenüber?

Wir hatten uns für eine Einbeziehung der Kommunen ausgesprochen. Denn die IT-Sicherheit ist für die Handlungsfähigkeit des Staates essenziell – und damit auch für die Kommunen und deren Verwaltungen. Das gilt neben den Vollzugsaufgaben insbesondere für Krisensituationen. Ein großer Knackpunkt war natürlich die Finanzierung.  Es hätte das Konnexitätsprinzip gegriffen, sodass die Länder die Aufwendungen hätten bezahlen müssen. Das war jedoch auch eines der Hauptargumente, weshalb man die Kommunen nicht im Rahmen der NIS-2-Richtlinie verpflichten wollte. Hier darf man aber nun nicht stehen bleiben.  

Werden die Länder unabhängig von NIS-2 eigene Rechtsakte auf den Weg bringen?

Das ist gut möglich. In Sachsen gibt es beispielsweise das Informationssicherheitsgesetz, das Anforderungen an die Informationssicherheit der Kommunen stellt. Soweit mir das bekannt ist, werden auch andere Länder nachziehen.

Was halten Sie von solchen individuellen Lösungen?

Grundsätzlich ist das der richtige Weg, denn es gibt unterschiedliche Voraussetzungen in den Kommunen, sei es finanziell oder organisatorisch. Solche individuellen Gesetze können auf die kommunalen Bedarfe und Möglichkeiten der Länder vor Ort eingehen.

Christian Stuffrein
Christian Stuffrein, Referent für Digitalisierung beim Deutschen Landkreistag

Alles in allem ist es demnach keine Katastrophe, dass die kommunale Verwaltungsebene in der NIS-2-Richtlinie ausgeschlossen ist?

Nein – vorausgesetzt, dass man das Thema Informationssicherheit für kommunale Verwaltungen nicht aus den Augen verliert und möglichst zeitnah andere Maßnahmen in die Wege leitet.

Welche Forderung hat der Deutsche Landkreistag diesbezüglich?

Wir wünschen uns, dass das Thema kommunale Informationssicherheit vom IT-Planungsrat im Schwerpunktthema Informationssicherheit nach der oben angesprochenen NIS-2-Entscheidung vertieft aufgegriffen wird. Insbesondere da es im Moment keine rechtliche Fokussierung aufweist, sondern eher auf Maßnahmenebene stattfindet. Wir plädieren für verbindliche Standards, etwa was die Meldewege bei einem IT-Sicherheitsvorfall angeht oder die Benennung von Informationssicherheitsbeauftragten.

Wie könnten weitere Maßnahmen aussehen?  

Die Länder sollten entsprechende Notfall-Infrastrukturen zur Verfügung stellen, etwa Mobile Incident Response Teams – zur Unterstützung bei einem IT-Sicherheitsvorfall. Darüber hinaus sollten Schulungsangebote ausgebaut oder Materialien für Awareness-Kampagnen zur Verfügung gestellt werden. Es sollte verbindlich festgelegt werden, was ein Informationssicherheits-Managementsysteme (ISMS) in den Kommunen leisten muss.

Im Moment gibt es vom Bundesamt für Sicherheit in der Informationstechnik BSI das Konzept „Weg in die Basisabsicherung (WIBA) – ein Leitfaden für einen rudimentären Schutz gegen Cyberkriminalität. Reicht das für kommunale Behörden?

Der WiBA ist nur ein Anfang. Über eine Arbeitsgruppe der kommunalen Spitzenverbände wird darüber hinaus das IT-Grundschutz-Profil Basis-Absicherung Kommunalverwaltung zur Verfügung gestellt. Allerdings müssten diese Maßnahmen ausgebaut werden, damit die Kommunen von diesem niedrigschwelligen Einstieg sukzessive in die Standardabsicherung kommen. Der IT-Grundschutz ist allerdings hoch bürokratisch, mit zahlreichen Dokumentationspflichten. Nach aktuellem Stand sind das zu viele Maßnahmen, die nicht immer realistisch umsetzbar sind.

Wie könnte es besser laufen?

Hilfreich wäre beispielsweise, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein unterstützendes ISMS Tool Open Source zur Verfügung stellt. Damit  könnten die Informationssicherheitsbeauftragen in den Kommunen durch Handlungsempfehlungen und Vorlagen unterstützt werden. Im Idealfall entsteht hier ein Ökosystem. Zusätzlich muss ein Business Continuity Management aufgebaut werden, um nach einem Sicherheitsvorfall ein schnelles Wiederanlaufen des Verwaltungshandelns zu ermöglichen.

So sichern sich Kommunen ab: 

Mehr Informationen zum WIBA (Weg in die Basis-Sicherung):