Wirklich viel hat sich zwischen dem abgelehnten Entwurf von 2024 und dem am 20. November eingebrachten Text nicht geändert. Ich will hier nur kurz zwei Punke ansprechen.

Recital 44

Dieser Erwägungsgrund aus der NIS2 Richtlinie hat es 1:1 in die Erläuternden Bemerkungen unseres Gesetzesentwurfes geschafft. Er lautet:

Die CSIRTs sollten in der Lage sein, auf Ersuchen einer wesentlichen oder wichtigen Einrichtung die mit dem Internet verbundenen Anlagen innerhalb und außerhalb der Geschäftsräume zu überwachen, um das organisatorische Gesamtrisiko der Einrichtung für neu ermittelte Sicherheitslücken in der Lieferkette oder kritische Schwachstellen zu ermitteln, zu verstehen und zu verwalten. Die Einrichtung sollte dazu angehalten werden, dem CSIRT mitzuteilen, ob es eine privilegierte Verwaltungsschnittstelle betreibt, da dies die Geschwindigkeit der Durchführung von Abhilfemaßnahmen beeinträchtigen könnte.

Wie schon im Sommer angemerkt, ist uns nicht klar, was der EU-Gesetzgeber uns damit sagen will. Ja, wir könnten das einfach ignorieren (EBs sind nicht verbindlich), aber so wirklich zufriedenstellend ist das nicht. Daher:

Woher kommt das und wie kann man das interpretieren?

Ich bin kein Experte in der EU-Gesetzgebung, aber nach meinen schnellen Recherchen finde ich das Recital nicht im initialen Vorschlag der Kommission, sondern es kommt aus dem Kompromissvorschlag des EU Parlaments.

Dort gibt es

Recitals

(25a) CSIRTs should have the ability to, upon an entity's request, continuously discover, manage, and monitor all internet-facing assets, both on premises and off premises, to understand their overall organisational risk to newly discovered supply chain compromises or critical vulnerabilities. The knowledge whether an entity runs a privileged management interface, affects the speed of undertaking mitigating actions

Das Parlament hatte noch weitere spannende Ideen für die CSIRTs:

1a. CSIRTs shall develop at least the following technical capabilities:

(a) the ability to conduct real-time or near-real-time monitoring of networks and information systems, and anomaly detection;

(b) the ability to support intrusion prevention and detection;

(c) the ability to collect and conduct complex forensic data analysis, and to reverse engineer cyber threats;

(d) the ability to filter malign traffic;

(e) the ability to enforce strong authentication and access privileges and controls; and

(f) the ability to analyse cyber threats.

Das hat es zum Glück nicht in den finalen Text geschafft, aber das dazugehörige Recital schon. Und damit hängt es in der Luft und passt zu keinem der Artikel.

Das hat ein Raten zu Folge, wo man das denn am ehesten sinnstiftend verlinken könnte.

Die EBs zum NISG2026 zitieren diesen Erwägungsgrund bei den Erklärungen zu „§8(1) Aufgaben der CSIRTs“ (wörtlich: „Zusätzlich nehmen CSIRTs noch weitere technische Aufgaben wahr (Abs. 1 Z 1 bis 5 und 8). Dazu gehören etwa […]“)

Gemeint sein könnte die Ziffer 1:

1. die Überwachung und die Analyse von Cyberbedrohungen, Schwachstellen und Cybersicherheitsvorfällen auf nationaler Ebene und gegebenenfalls die Unterstützung betroffener wesentlicher und wichtiger Einrichtungen hinsichtlich der Überwachung ihrer Netz- und Informationssysteme in Echtzeit oder nahezu in Echtzeit;

Das ist gefährlich, weil damit aus der „Unterstützung bei der Überwachung“, was man als „wir sollen den SOCs der Einrichtungen IOCs, CTI und andere Hinweise geben“ auslegen kann, ein „wir sollen die Einrichtungen unterstützen, indem wir auf Anfrage das SOC für sie betreiben“ wird. Das kann nicht funktionieren.

Man könnte das Recital aber auch auf der Ziffer 5 aufhängen. Diese lautet:

5. die Vornahme einer proaktiven Überprüfung der Netz- und Informationssysteme einer ersuchenden wesentlichen oder wichtigen Einrichtung im Hinblick auf Schwachstellen mit potenziell signifikanten Auswirkungen (Schwachstellenscan);

Das geht auch, und dort macht es viel mehr Sinn. Wir sollen auf Anfrage externe Scans machen, damit Attack Surface Monitoring, gepaart mit etwas Erkennung von Produkten, was man dann wieder gegen Schwachstellendatenbanken mappen könnte – damit ergibt sich der Verweis auf Lieferketten.

Zusammengefasst:

Das Recital kann man auf drei mögliche Arten bei uns im NISG2026 berücksichtigen:

1. Als Fehler im Trilog: die korrespondierenden Artikel wurden gestrichen, da hätte es eigentlich auch das Recital nicht in die finale Version schaffen sollen. Also am besten ignorieren und nicht in die EBs aufnehmen.
2. Es mit §8 Abs. 1 Z 5 verlinken. Ist nicht schön, aber dort tut es nicht wirklich weh.
3. Es mit §8 Abs. 1 Z 1 verlinken und Verwirrung stiften.

Eine kurze Umfrage im CSIRTs Network hat gezeigt, dass auch die anderen Teams an dieser Frage kiefeln.

Es wäre hilfreich, wenn die EBs bei uns klarstellen, dass nicht der §8 Abs. 1 Z 1 gemeint ist. Am besten wäre es, das Recital erst gar nicht in die EBs aufzunehmen.

Übergangsphase für CSIRTs

Das NISG 2026 ersetzt das alte NISG, damit werden alte Bescheide ungültig und das trifft auch die bescheidmäßigen Ermächtigungen laut §15 Abs 3, mit denen das Bundeskanzleramt das nationale und die sektorspezifischen Computer-Notfallteams anerkannt hat. Im Entwurf für das NISG 2026 findet sich die Ermächtigung von Sektoralen CSIRTs in §8. Im §51 werden die „Inkrafttretens-, Außerkrafttretens- und Übergangsbestimmungen“ geregelt, u.a.:

(2) Nach Ablauf von neun Monaten nach der Kundmachung dieses Bundesgesetzes mit dem nächstfolgenden Monatsersten treten […] die §§ 2 bis 45, […] in Kraft. Gleichzeitig treten […] die §§ 2 bis 31 NISG […] außer Kraft.

(3) Verordnungen auf Grund dieses Bundesgesetzes können bereits ab dem auf seine Kundmachung folgenden Tag erlassen werden. Sie dürfen jedoch frühestens mit Inkrafttreten dieses Bundesgesetzes in Kraft gesetzt werden.

(5) Bescheide, die gemäß § 15 Abs. 3, § 16 Abs. 1 und § 18 Abs. 1 NISG erlassen wurden, werden mit Inkrafttreten dieses Bundesgesetzes gegenstandslos, sofern nicht Abs. 6 oder Abs. 7 zur Anwendung gelangt.

(6) Das gemäß § 15 Abs. 3 NISG ermächtigte nationale CSIRT hat die Aufgaben gemäß § 8 Abs. 1 und 3 sowie § 11 bis zur Ermächtigung eines nationalen CSIRTs gemäß § 8 Abs. 2, längstens jedoch für einen Zeitraum von zwei Jahren ab Inkrafttreten dieses Bundesgesetzes, wahrzunehmen. § 8 Abs. 6 und § 10 gelten.

Was heißt das wirklich für die CSIRTs? Nehmen wir mal an, das Gesetz wird wirklich noch 2025 beschlossen und wir haben damit den 1. September als Stichtag für das volle Inkrafttreten. Ich lese das so:

• Bis zum 1. September ändert sich mal in Sachen CSIRTs gar nichts.
• Die sektorspezifischen CSIRTs verlieren mit 1. September ihre Ermächtigung
• Das nationale CSIRT hat noch 2 Jahre Schonfrist (also Sept 2028), bis dahin muss eine neue Ermächtigung erfolgen
• Der Absatz 3 ist gut, weil man damit Verordnungen vorab erlassen kann, die dann am Stichtag gültig werden: das gibt den Betroffenen Rechtssicherheit, was sie am 1. September erwartet
• Aber: der Absatz 3 bezieht sich nur auf Verordnungen, nicht auf Bescheide. Ich bin kein Jurist, aber hier sehe ich eine Lücke. Es wäre sehr sinnvoll, wenn die Cybersicherheitsbehörde ein Bescheid für die erneute Ermächtigung eines sektorspezifischen CSIRTs während der 9 Monate Übergangsphase ausstellen kann, der mit 1. September in Kraft tritt.

Es wäre daher gut, wenn der Absatz 3 auf „Verordnungen und Bescheide“ erweitert wird.