Netz- und Informationssystemsicherheitsgesetz 2024 – NISG 2024; Telekommunikationsgesetz 2021, Gesundheitstelematikgesetz 2012, Änderung (2/SN-326/ME)

Inhalt

Wir begrüßen sehr, dass die nationale Umsetzung quasi rechtzeitig erfolgt ist, sehen es aber als sehr problematisch, dass die konkreten Anforderungen (Anhang 3) direkt aus der ISO 27001 übernommen wurden und damit deutlich überschießend sind. Während FactSheet 09/2022 einen sehr pragmatischen Weg darstellte, um NIS-Anforderungen umzusetzen und *kein* ISMS nach ISO 27001 voraussetzte, wird das Delta zwischen NIS-2 und ISO 27001 nunmehr so gering, dass einerseits de facto ein Zwang zur ISO 27001 bewirkt wird und das noch dazu zu Lasten besserer Standards wie SOC 2 Type 1/2 oder SOC 3 sowie die Gefahr besteht, dass der tatsächliche Sicherheitsgewinn zu Gunsten einer Überbürokratisierung verloren geht.

Ebenso fehlt, dass Unternehmen, die aus der öffentlichen Hand gespeist werden (z.B. Krankenhäuser) ihre Strafen nicht auf die Öffentlichkeit (via ihre Budgets) umlegen können. Einige haben dies bei NIS-1 ernstlich erwogen und hätten damit dem Steuerzahler die Last ihres Versagens aufgebürdet, was absolut abzulehnen ist. Ebenso ist abzulehnen, dass sich verantwortliche Organe dadurch aus ihrer Verantwortung stehlen, dass Strafen gegen die Organisation nicht aber gegen die Organe ausgesprochen werden können, was wiederum rein ein Sache politischer Vernetzung ist und damit Korruption begünstigt. Diese Möglichkeit ist daher rigoros abzuschaffen bzw. entsprechend zu berücksichtigen.

Abschließend sei festgehalten, dass im internationalen Vergleich, insbesondere zu Deutschland, ein grundsätzlich *vorbildlich* positiver Weg gegangen wird, der allen Beteiligten (Betroffen, Beratungs- sowie Prüfunternehmen) ausreichend und rechtzeitig Transparenz und Klarheit über die tatsächlichen Anforderungen verschafft.