Die EU hat noch Ende 2022 die NIS2-Richtlinie angenommen, was den EU Mitgliedstaaten eine Frist bis Herbst 2024 einräumt, diese in nationales Recht zu gießen.

Jetzt liegt ein Entwurf für dieses Gesetz vor und wir haben uns genau angesehen, wie die Punkte umgesetzt sind, die uns als nationales CSIRT betreffen. Dabei sind uns einige Stellen aufgefallen, wo wir klares und einfaches Verbesserungspotential sehen. Das sind insbesondere:

• Begriffsbestimmungen: in einem Fall ist schon bei der Übersetzung der Richtlinie von Englisch auf Deutsch ein Fehler passiert.
• Strukturen: Die Definition des SPOCs enthält Kommunikationswege, die die Richtlinie nicht vorsehen. Im Bezug auf die Vertrauenswürdigkeit der CSIRT-Mitarbeiter ist der Text in zwei Punkten unklar bzw. überschießend.
• CVD: Der Paragraph zur Koordinierten Offenlegung von Schwachstellen ist ein guter Anfang, aber er behandelt das Thema nicht umfassend, da wird es Nacharbeiten geben müssen.
• Meldewege: Der Prozess für Pflichtmeldungen enthält unklare Formulierungen und vermisst die Freigabe für die Übermittlung von PII Daten; die Festlegungen zu den freiwilligen Meldungen könnte man deutlich vereinfachen.
• Informationaustausch: Der §36 ist eine 1:1 Übernahme aus der Richtlinie, mit einer kleinen Erweiterung könnte man das deutlich sinnvoller gestalten.
• Verwendung von zertifizierten Produkten: auch hier ist die Sprache unklar

Details kann man unserer vollständigen Stellungnahme entnehmen.