EU-Richtlinie gegen Cyberkriminalität: Berliner Senat lässt Frist für mehr IT-Sicherheit verstreichen

Vier Jahre nach der folgenschweren Virus-Attacke auf das Berliner Kammergericht spielt die IT-Sicherheit im Berliner Senat dem Anschein nach weiterhin nur eine untergeordnete Rolle. Wie der Grünen-Abgeordnete Andreas Otto am Donnerstag im Abgeordnetenhaus enthüllte, hat der Senat die Ende 2022 von der Europäischen Union beschlossene Richtlinie „NIS-2“ zum fälligen Stichtag 17. Oktober nicht umgesetzt. Die für die Cybersicherheit im Land zuständige Innensenatorin Iris Spranger (SPD) war auf Nachfrage ebenso wenig sprechfähig wie Berlins Regierender Bürgermeister Kai Wegner (CDU).

Unklar blieb zudem, ob Berlin überhaupt damit begonnen hat, Vorbereitungen zur Umsetzung der Richtlinie zu treffen. Laut aktueller Ausgabe des „Behörden-Spiegels“ ist Berlin das einzige Bundesland, das keine Angaben zum Bearbeitungsstand abgegeben hatte. In allen anderen Ländern ist die Umsetzung der Richtlinie zumindest in Arbeit. Das Saarland, Bayern, Sachsen, Niedersachsen, Thüringen und Rheinland-Pfalz hatten angegeben, die Anforderungen bereits zu erfüllen oder diese bis zum Stichtag umgesetzt zu haben.

Die EU-Richtlinie sieht vor, dass künftig mehr Institutionen als Kritische Infrastruktur eingestuft werden. Insgesamt werden 18 Sektoren verpflichtet, weitreichende Informationssicherheitsmaßnahmen umzusetzen. Neu hinzu kommen der Postsektor, das produzierende Gewerbe und Digitalanbieter – aber auch die Landesverwaltung.

Senat sieht den Bund in der Pflicht

„NIS-2“ verpflichtet die Länder, kritische Teile ihrer Verwaltungen zu identifizieren und zu registrieren. In den betroffenen Bereichen müssen unter anderem Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Back-up-Management und den Einsatz von Verschlüsselung eingesetzt werden.

Am Montag hatte sich bereits der Ausschuss für Digitalisierung und Datenschutz mit der Richtlinie und ihrer Umsetzung befasst. Auf Antrag von Grünen und Linke war der Punkt auf die Tagesordnung des Ausschusses gesetzt worden, die ebenfalls hinzu gebetene Innenverwaltung entsandte jedoch keinen Vertreter. Klaus-Peter Waniek, Landesbevollmächtigter für Informationssicherheit, hatte erklärt, die Verzögerung bei der Umsetzung der Richtlinie resultiere aus der Verspätung des Bundes bei der Gesetzgebung.