Der IT-Planungsrat ist Deutschlands zentrales politisches Steuerungsgremium zwischen Bund und Ländern für Fragen der Informationstechnik und der Digitalisierung von Verwaltungsleistungen. Das Gremium hat als Kernaufgabe, die nutzerorientierten elektronischen Verwaltungsdienste zu fördern und einen sicheren, wirtschaftlichen sowie effizienten Betrieb der öffentlichen Verwaltung zu gewährleisten. Dem IT-Planungsrat gehören neben dem Beauftragten der Bundesregierung für Informationstechnik die zuständigen Vertreter der 16 Bundesländer an. Darüber hinaus nehmen an den Sitzungen – allerdings nur in beratender Funktion – die Vertreter der kommunalen Spitzenverbände (Deutscher Landkreistag, Deutscher Städtetag und Deutscher Städte- und Gemeindebund) sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit teil.
Ein Beschluss mit weitreichenden Konsequenzen
Vor einigen Wochen hat der IT-Planungsrat eine Entscheidung getroffen, die weitreichende Konsequenzen hat und bei Fachleuten Stirnrunzeln verursacht. Es handelt sich um den Beschluss 2023/39, in dem (im Wortlaut) Folgendes festgelegt wurde:
- Der IT-Planungsrat beschließt das von der AG Informationssicherheit vorgelegte Identifizierungskonzept der Länder zur Umsetzung der NIS-2-Richtlinie auf regionaler Ebene und bittet die Länder bei der landesrechtlichen Umsetzung der Richtlinie das Identifizierungskonzept einheitlich anzuwenden.
- Er nimmt den Sachstandsbericht der AG Informationssicherheit zur Kenntnis und bittet die Länder und den Bund, von der Option, den Anwendungsbereich der NIS-2-Richtlinie auf Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene und Bildungseinrichtungen zu erstrecken, keinen Gebrauch zu machen.
- Ferner bittet der IT-Planungsrat die AG Informationssicherheit darum, die Abstimmungen zwischen Bund und Ländern insbesondere zu der Frage einer Adressierung von Landeseinrichtungen durch Bundesrecht fortzuführen.
- Die AG Informationssicherheit wird gebeten, zur 43. Sitzung erneut zu berichten.
Was heißt das für die Praxis?
Bei NIS-2 handelt es sich um die Network Information Security 2 Richtlinie der Europäischen Union, die als Neufassung am 27. Dezember 2022 veröffentlicht wurde. Sie trat im Januar 2023 in Kraft und muss durch die Mitgliedstaaten innerhalb von 21 Monaten nach ihrem Inkrafttreten in nationales Recht umgesetzt werden. Wir schließen uns dem Urteil von WirtschaftswocheOnline (Link siehe unten) an, die den oben genannten Beschluss des IT-Planungsrates als „Bankrotterklärung für die IT-Sicherheit kommunaler Behörden“ in Deutschland bezeichnete. Der Grund für dieses deftige Urteil liegt im Satz 2, nach dem auf die Anwendung der NIS-2-Bestimmungen auf kommunaler Ebene und bei Bildungseinrichtungen verzichtet wird. Diese Entscheidung ist extrem überraschend und verwunderlich, weil das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Bericht „Die Lage der IT-Sicherheit in Deutschland 2023“ explizit darauf hinweist, dass kommunale Verwaltungen und Betriebe überproportional zu Zielen von Cyberangriffen wurden (Seite 11). Somit erscheint die Entscheidung des IT-Planungsrats, die europäischen Vorschriften zur Cybersicherheit nur auf Bundes- und Landesebene anzuwenden, sehr widersprüchlich.
Heftiger Gegenwind
Das Thema ist derart ernst, dass sich der Bundesverband IT-Sicherheit e.V. am 21. November dieses Jahres mit einem offenen Brief an den IT-Planungsrat wandte. Dort heißt es zusammengefasst, dass eine funktionierende staatliche IT-Sicherheit nur flächendeckend funktionieren könne und der Ausschluss der Kommunen von NIS-2 das Vertrauen der Bürger in die Digitalisierung aller Lebensbereiche gefährde. Darüber hinaus stehe das Szenario eines weitreichenden Zusammenbruchs von Verwaltungs- und Bildungseinrichtungen und das damit verknüpfte datenschutzrechtliche Risiko im Raum, sofern die Entscheidung nicht revidiert werde (Link siehe unten).
Wir sind Berlins IT-Sicherheitsmanager
Wenn Sie Fragen zum Management Ihrer Informationssicherheit haben, dann sprechen Sie uns bitte an und nutzen dazu unser Kontaktformular:
Hier klicken: Kontaktformular
Viele Grüße,
Tilo Schneider