Cyberangriffe auf Behörden und Unternehmen in Deutschland haben in den vergangenen Jahren stark zugenommen. Ein Hackerangriff auf einen Server der Polizei von Mecklenburg Vorpommern in diesem Jahr führte etwa dazu, dass alle 3.500 Diensthandys der Polizeibeamten abgeschaltet werden mussten. 3,5 Millionen Euro Schaden entstanden hierdurch. Auf dem Nachrichtenportal NIUS änderten Hacker alle Überschriften in Verknüpfungen um. Personenbezogene Nutzerdaten von Abonnenten waren offen einsehbar. Erst im September kam es zu mehreren Cyberangriffen auf die Flughäfen von Berlin, Brüssel und London. Dabei wurde ein Dienstleister für die Systeme zur Passagierabfertigung angegriffen. Zahllose Passagiere hatten bedeutend längere Wartezeiten. Der jährliche Sachschaden durch Cyberangriffe geht für Unternehmen, Betreiber kritischer Infrastruktur und auch der Staat in die dreistellige Milliardenhöhe.
Eine Änderung soll nun die Umsetzung der NIS-2-Richtlinie mit sich bringen. Die NIS-2-Richtlinie der EU sieht vor, dass die EU-Mitgliedstaaten ihren heimischen Unternehmen gesetzliche Mindest-Sicherheitsstandards im digitalen Raum vorschreiben sollen. Die Staaten sollen auch verschärfte Meldepflichten bei sicherheitsrelevanten Vorfällen festlegen. 24 Stunden Zeit gibt es für einen vorläufigen Bericht nach einem Cyberangriff. 72 Stunden Zeit stehen für einen vollständigen Bericht zur Verfügung. Innerhalb eines Monats muss ein detaillierter Abschlussbericht an Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen.
Diese Sicherheitsstandards sollen nicht mehr nur für KRITIS-Betreiber verpflichtend sein. Denn NIS-2 weitet den Kreis der Betroffenen aus und unterscheidet nach dem Schwerpunkt des Unternehmensbetriebes. Zu sogenannten wesentlichen Einrichtungen werden etwa Unternehmen aus den Bereichen Energie, Verkehr, Wasser, Gesundheitswesen, Verwaltung und Raumfahrt gerechnet.
Außerdem werden künftig auch sogenannte wichtige Einrichtungen erfasst. Dazu gehören die Abfallwirtschaft, Kurierdienste, die Lebensmittelherstellung oder digitale Anbieter. Klein- und Kleinstunternehmen sollen bisher vom Anwendungsbereich von NIS-2 grundsätzlich ausgenommen sein. NIS-2 greift erst bei mittleren Unternehmen von 50 bis 250 Mitarbeitern oder bei 10 bis 50 Millionen Euro Umsatz. Schon mehrfach habe ich im Bundestag zu diesem Thema gesprochen.
Auf meine schriftliche Nachfrage hin hat die Bundesregierung nun mitgeteilt, dass die Umsetzung der NIS-2-Richtlinie zu einer Erweiterung des Anwendungsbereichs der Cybersicherheitsvorgaben auf Luftfahrtunternehmen, Flughafenleitungsorgane und das Flugverkehrsmanagement führen wird. Voraussetzung sei auch hier, dass diese Unternehmen die Schwelle in Bezug auf ihre Mitarbeiterzahl und ihren Umsatz überschreiten. Insgesamt könne die Umsetzung der NIS-2-Richtlinie zur Stärkung der Cybersicherheit im Bereich der Luftfahrt beitragen.
Als AfD unterstützen wir eine Reform, die zu verbesserten Sicherheitsstandards im digitalen Raum beiträgt. Klar ist, dass die Implementierung von Sicherheits- und Meldestandards zu Mehrkosten und gesteigerter Bürokratie für Unternehmen und Behörden führen wird. Klar muss allerdings auch sein, dass die Gefahr durch Cyberangriffe inzwischen kein Luxusproblem, sondern die Realität ist. Zahllose Unternehmen sind schon in die Insolvenz gerutscht, wenn ein Cyberangriff sie unvorbereitet traf. Wir wollen das nicht. Es ist an jedem, Cybersicherheit in seinem Alltag zur Priorität zu machen. Sicherheit bleibt ein wichtiges Thema. Das gilt auch für den digitalen Raum.
Ihr Steffen Janich MdB
Quellen
- Richtline (EU) 2022/2555 (NIS-2-Richtlinie)
- Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, BT-Drs.: 21/1501
- Antwort der Bundesregierung auf meine schriftliche Frage vom 1. Oktober 2025, Arbeits-Nr. 10/4