Sehr geehrte Frau Präsidentin! Meine Damen und Herren! Dass die NIS-2-Richtlinie umgesetzt werden muss – ich denke, dass ist heute schon sehr deutlich geworden –, stellt hier niemand in Abrede. Der Prozess dauert viel zu lange, und eine Regelung ist längst überfällig. NIS-2 und KRITIS-Dachgesetz – mein Vorredner hat es schon erwähnt –: Das sind die beiden Seiten derselben Medaille. Längst aber ist klar, dass zu spät überhaupt damit begonnen wurde, unser digitales Rückgrat zu stärken. Erst in dieser Woche hat Ihnen auch das Bundesamt für Sicherheit in der Informationstechnik noch einmal gesagt, wie groß die Gefahr von Cyberattacken ist und wie gefährdet unsere Unternehmen und vor allem die öffentlichen Verwaltungen sind.
Ihr NIS-2-Gesetzentwurf wird in der jetzigen Fassung bestenfalls per Zufall für IT-Sicherheit sorgen.
(Marc Henrichmann [CDU/CSU]: Waren Sie in derselben Anhörung?)
Denn statt sich daran zu orientieren, wie kritisch oder absicherungswürdig ein System in einem Unternehmen ist, erlassen Sie Regelungen, die sich an Beschäftigten und Umsatzzahlen orientiert. So ein Vorgehen war vielleicht noch in Zeiten der mechanischen Rechenmaschinen angebracht, im digitalen Zeitalter ist es aber nur ein Indiz dafür, dass Expertise in Sachen IT-Sicherheit im Innenministerium offensichtlich nicht berücksichtigt wird.
(Beifall bei der Linken)
Als Kommunalpolitiker stelle ich mir dann auch die Frage, warum Sie ohne Not – denn es wäre rechtlich absolut möglich gewesen – ausgerechnet die Kommunen nicht mit ins NIS-2-Gesetz einbeziehen.
(Zuruf der Abg. Daniela Ludwig [CDU/CSU])
Wir haben doch mittlerweile genug Beispiele, welche Auswirkungen Menschen durchzumachen haben, wenn bei einem Cyberangriff die kommunalen Server verschlüsselt werden und ausgerechnet die Dienstleistungen des täglichen Bedarfs nicht mehr möglich sind.
(Zuruf von der CDU/CSU: Grundgesetz!)
Ende 2023 traf es in Nordrhein-Westfalen den kommunalen IT-Dienstleister Südwestfalen-IT, und betroffen waren über 100 Kommunen mit 1,6 Millionen Menschen. Wenn die alltäglichen Leistungen in den Kommunen nicht erbracht werden können, dann gefährdet das das Vertrauen in den Staat.
Dass Sie bestenfalls die Minimalforderungen der EU erfüllen wollen, ist nicht hinnehmbar. Und es wirkt auf mich so, als ob Sie, wie bereits bei den Rechtsverordnungen im KRITIS-Dachgesetzes, absehbar die Verantwortung auf Bundesebene minimal halten wollen. Die Mängelliste ist seit dem Gesetzentwurf auch nicht unwesentlich kürzer geworden. Daher können wir diesem Gesetzentwurf, so wie er vorliegt, nicht zustimmen.
Aber lassen Sie mich, wie Sie es von uns als freundlicher Serviceopposition gewohnt sind, noch ein paar Vorschläge machen. Sorgen Sie endlich dafür, dass Sicherheitsbehörden in diesem Land auch für digitale Sicherheit sorgen! Das geht am einfachsten, wenn Sie Ihre Träume vom Hackback durch offengehaltene Hintertüren endlich aufgeben würden. Das BSI darf nicht Helfershelfer für Geheimdienste bleiben, die bewusst in Kauf nehmen, dass kriminelle oder ausländische Geheimdienste Schwachstellen ausnutzen. Setzen Sie endlich ein IT-Schwachstellenmanagement ein, und verschaffen Sie sich ein tagesaktuelles IT-Lagebild!
Und zum Abschluss. Herr Minister, die Umsetzung von Nis 2 war eigentlich Ihre Chance, von einem „Ich mache die Grenzen dicht“-Minister zu einem echten Innenminister zu werden, der die Komplexität der öffentlichen Sicherheit versteht. Schade. Aber Sie haben beim KRITIS-Dachgesetz alle Chancen.
Vielen Dank.
(Beifall bei der Linken)