De Maizière zeigte sich zufrieden, dass diese beiden wichtigen Rechtssetzungsvorhaben im Bereich IT- und Cybersicherheit noch vor dem Ende der Legislaturperiode ihren Abschluss gefunden haben. Trotzdem, so der Minister, werde auch in der nächsten Legislatur weitere Schritte in den Bereichen IT- und Cyber-Sicherheit nötig.
Die NIS-Richtlinie sieht den EU-weiten Aufbau nationaler Kapazitäten für Cyber-Sicherheit, eine stärkere Zusammenarbeit der Mitgliedstaaten und die EU-weite Einführung von Mindestanforderungen und Meldepflichten vor. Ein Großteil der Vorgaben der NIS-Richtlinie wurde in Deutschland bereits durch das IT-Sicherheitsgesetz 2015 vorweggenommen. Bei den Verhandlungen auf Europäischer Ebene zur NIS-Richtlinie fungierten die Ansätze des IT-Sicherheitsgesetzes als Blaupause. Mit dem Umsetzungsgesetz werden jetzt zusätzlich zum Beispiel Regelungen für den Einsatz der sogenannten „Mobilen Incident Response Teams“ (MIRTs) des (BSI) geschaffen. Diese Teams können Verfassungsorgane, Bundesbehörden sowie Betreiber Kritischer Infrastrukturen und vergleichbar wichtiger Einrichtungen auf Ersuchen vor Ort schnell, flexibel und adressatengerecht bei der technischen Bewältigung von Sicherheitsvorfällen unterstützen.
Mit der Zweiten KRITIS-Verordnung werden die Kritischen Infrastrukturen in den noch fehlenden Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen bestimmt. Die Regelungen für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung sind bereits seit Mai 2016 in Kraft. Die von der Verordnung betroffenen Betreiber sind mit dem jeweiligen Inkrafttreten verpflichtet, dem BSI innerhalb von sechs Monaten eine zentrale Kontaktstelle zu benennen und innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen.
Das Gesetz und die Verordnung wurden am 29. Juni 2017 im Bundesgesetzblatt verkündet.
