EU-Cybersicherheitsstandards: Verbände geben gemeinsame Stellungnahme ab

Brüssel, 03.12.2021 – Die unterzeichnenden Verbände DER MITTELSTANDSVERBUND, der Handelsverband Deutschland (HDE) und der Zentralverband des Deutschen Handwerks (ZDH) unterstützen das Ziel, die Widerstandsfähigkeit von Einrichtungen und deren Schutz gegen Cyberangriffe zu stärken. Allerdings ist es den Initiatoren sehr wichtig, einige konkrete Punkte bei der Ausgestaltung der Vorschriften zu berücksichtigen – insbesondere was den Geltungsbereich der neuen Vorschriften angeht.

Der Vorschlag der Kommission erweitert den Anwendungsbereich der derzeitigen NIS-Richtlinie um neue Sektoren aufgrund ihrer Kritikalität für Wirtschaft und Gesellschaft. Mit der Auflistung sogenannter wesentlicher und wichtiger Einrichtungen werden alle mittleren und großen Unternehmen in ausgewählten Sektoren in den Anwendungsbereich einbezogen. Zur Ermittlung des Anwendungsbereichs über Schwellenwerte in Art. 2 Abs. 1 verweist der Richtlinienvorschlag auf die Empfehlung 2003/361/EG der Kommission (EU-KMU Definition). Damit wären alle Unternehmen der in den Annexen I und II des Entwurfs genannten Sektoren mit mehr als 50 Mitarbeitern erfasst, deren Jahresumsatz bzw. Jahresbilanz 10 Millionen Euro übersteigt. Ein Unternehmen unterhalb dieser Schwellenwerte fällt selbst dann in den Anwendungsbereich, wenn „25 % oder mehr seines Kapitals oder seiner Stimmrechte direkt oder indirekt von einem oder mehreren öffentlichen Stellen oder Körperschaften des öffentlichen Rechts einzeln oder gemeinsam kontrolliert werden“. Eine solche Ausweitung des Anwendungsbereichs steht nicht im Einklang mit dem Prinzip der Verhältnismäßigkeit. Die Kritikalität sollte nicht alleine ausschlaggebend sein; sie sollte vielmehr mit der Versorgung der Bürger verknüpft werden, um einen amgemessen Anwendungsbereich zu gewährleisten.

Zudem soll der Anhang II des Richtlinienentwurfs um einige Sektoren erweitert werden. Die Erweiterung beinhaltet unter anderem die Aufnahme der „Food Distribution“, sodass ein großer Teil von mittelständischen, teils genossenschaftlich organisierten und inhabergeführten Lebensmittelmärkten betroffen wäre. Darüber hinaus wären auch zahlreiche Natur- und Biomärkte, Genussmittelhändler, Getränkemärkte sowie bestimmte Handwerksbetriebe, wie Bäckereien und Metzgereien, von den neuen Vorschriften erfasst. Insgesamt ist von mindestens 2.000 unmittelbar betroffenen Betrieben auszugehen.

Erheblicher administrativer und finanzieller Aufwand für KMU

Auf viele mittelständischen Unternehmen käme durch die umfassenden Pflichten ein erheblicher administrativer und finanzieller Aufwand zu, der nicht akzeptabel ist. Mittelständische Lebensmittelbetriebe sind zwar systemrelevant für die regionale Versorgung der Bevölkerung, allerdings ist bei einem Cyberangriff nicht  die Versorgungssicherheit eines gesamten Mitgliedstaates gefährdet. Somit wäre beispielsweise die Versorgungssicherheit bei einem Cyberangriff auf einen einzelnen Lebensmittelmarkt oder einen einzelnen Produktionsbetrieb nicht per se als kritisch für die Versorgung mit Lebensmitteln anzusehen, da auf andere Anbieter ausgewichen werden könnte.

Daher halten die unterzeichnenden Verbände es im Sinne des Prinzips der Verhältnismäßigkeit für notwendig, den Anwendungsbereich an die Versorgung der Bevölkerung zu knüpfen oder generell eine KMU-Ausnahme – inklusive mittelgroßer Unternehmen – aufzunehmen. Betriebe von kritischer Größe und Zentralen wären dann immer noch im Anwendungsbereich. Der Vorschlag, die Kritikalität einer Einrichtung mit der Versorgung der Bevölkerung zu verknüpfen – so wie es im Lebensmittelbereich bereits in Deutschland der Fall ist – wird nicht nur von uns unterstützt, sondern auch von UP KRITIS, einem Beratungsgremium der Bundesregierung, in dem zahlreiche Branchen vertreten sind.