a) – Zweite und dritte Beratung des von der Bundesregierung eingebrachten Entwurfs eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung Beschlussempfehlung und Bericht des Innenausschusses (4. Ausschuss) – Bericht des Haushaltsausschusses (8. Ausschuss) gemäß § 96 der Geschäftsordnung b) Beratung des Antrags der Abgeordneten Dr. Konstantin von Notz, Jeanne Dillschneider, Dr. Irene Mihalic, weiterer Abgeordneter und der Fraktion BÜNDNIS 90/DIE GRÜNEN Deutschland resilient machen – Für einen ganzheitlichen Schutz unserer kritischen Infrastruktur

Frau Präsidentin! Liebe Kolleginnen und Kollegen! Heute ist ein guter Tag für die Cybersicherheit in Deutschland, weil wir einen großen Schritt nach vorne machen. Seit Ende 2022 ist klar, dass in Deutschland die Umsetzung der sogenannten NIS-2-Richtlinie genau wie in allen anderen Nachbarstaaten zu erfolgen hat. Seitdem sind zweieinhalb Jahre durch den Streit in der Ampelregierung von der Uhr genommen worden, und so war es jetzt die parlamentarische Herausforderung, in kürzester Zeit ein Gesetz vorzulegen. Wir haben es nicht nur geschafft, das schnell zu tun, wir haben auch geschafft, es gut zu machen, und das ist ein richtiger Schritt in Richtung mehr Sicherheit auch im Cyberraum. In Zeiten höchster Bedrohung möchte ich auch mal ein Dankeschön sagen an Alexander Dobrindt und sein Haus sowie an Daniela Ludwig als Staatssekretärin, die den Prozess mit uns intensiv begleitet haben. Das war eine Höchstleistung, und drei Ergebnisse möchte ich gerne herauspicken, die mir besonders wichtig sind. Der CISO Bund – wenn man so will: der Manager für die IT-Sicherheit in den Bundesbehörden – kommt, und er ist prominent aufgehängt mit einer Vizepräsidentenstelle im BSI. Für viele Unternehmen ist diese Personalie längst eine Selbstverständlichkeit, und wir haben es auch geschafft, ihn trotz vieler Fragen rechtlich sauber zu verankern. Das ist gut. Und weil manche sagen, das reiche alles noch nicht, möchte ich mal mit unserem parlamentarischen Selbstbewusstsein antworten: Es gibt zwei halbjährliche Berichte im Fachausschuss. Wenn da entsprechende Probleme thematisiert werden, dann kann man doch wohl fest daran glauben, dass wir dann auch den Ball aufnehmen und gegebenenfalls nachsteuern. Aber nur zu sagen: „Das reicht nicht“, ohne zu sagen, wie man es am Ende besser macht, ist zu wenig, meine Damen und Herren. Wir haben es gemacht. Und wenn man uns nicht glaubt, dann vielleicht dem BSI; die gucken auf jeden Fall relativ zufrieden auf die Personalie. Ich möchte den zweiten Punkt ansprechen: die kritischen Komponenten; ja, sie sind umstritten. Halten wir fest: Deutschland ist ein primäres Angriffsziel, auch für staatlich gesteuerte Akteure. Das BSI hat in seinem jüngsten Lagebericht zu Recht noch mal ausgeführt, dass auch Hersteller und Anbieter aus diesem Bereich dauerhaften und unkontrollierten Zugriff auf Systeme und Daten behalten können: im Cloud-Bereich, in der Energieversorgung oder im Fahrzeugbau. Deswegen, glaube ich, muss eine Bundesregierung in letzter Konsequenz auch die Möglichkeit haben, zu sagen: Solche Komponenten gefährden die nationale Sicherheit. In einem solchen Fall muss die Untersagung möglich sein. Diese Gefahr von Sabotage erleben wir alltäglich, und deswegen ist es gut, dass wir jetzt einen Mechanismus gefunden haben, das zu tun. Weil ich weiß, dass manche auch vor dem Durchregieren Angst haben: Die entsprechende Rechtsverordnung wird nicht etwa das BMI alleine machen, sondern was die Frage angeht, wo entsprechende Komponenten bestimmt werden: Das macht das BMI im Einvernehmen und damit in enger Abstimmung mit den betroffenen Häusern. Die Untersagung muss allerdings, weil es Sicherheitsinteressen betrifft, am Ende schnell gehen. Aber auch hier haben wir die Wirtschaft nicht ignoriert, sondern gehört, und auch hier kann sich das Ergebnis sehen lassen. Nun einen ganz harten Punkt zum Schluss. Ursprünglich meinte so manch einer – wenn auch nicht das Innenministerium –, die Bundesverwaltung müsse ausgenommen werden. Das ist für mich ein zentraler Punkt. Wir haben es geschafft: Wir haben die Bundesverwaltung inkludiert. Was für ein Signal wäre das gewesen, der Wirtschaft zu sagen: „Ihr müsst nachschärfen“, aber der eigenen Bundesverwaltung zu sagen: „Ihr nicht, weil es kompliziert und teuer ist.“ Das kann man nicht tun. Das wäre ein falsches Vorbild, und diesen falschen Weg haben wir nicht beschritten, meine Damen und Herren. Zur Kritik möchte ich noch sagen: der UP Bund, der Umsetzungsplan Bund, gilt seit 2017. Entsprechend ist hier auch ein Stück weit geschludert worden. Wir werden mit scharfem Blick weiterhin intensiv darauf achten, dass die Vorgaben von NIS 2 auch erfüllt werden. Kommen Sie bitte zum Ende Ihrer Rede. Das Controlling ist wichtig. NIS 2 ist nicht das Ende des Weges, aber wir machen einen ganz, ganz großen Schritt in Richtung Cybersicherheit in Deutschland. Vielen Dank. Für die AfD-Fraktion hat das Wort der Abgeordnete Steffen Janich.

Frau Präsidentin! Meine Damen und Herren! Heute spreche ich schon zum fünften Mal an dieser Stelle über die Umsetzung der NIS-2-Richtlinie, und es ist allerhöchste Zeit, dass wir das Gesetz zum Abschluss bringen. Schon im Oktober 2024 war die Frist zur Umsetzung dieser Richtlinie in nationales Recht abgelaufen, und Deutschland braucht dringendst eine rechtliche Regelung. Wir begrüßen nach wie vor, dass Cybersicherheit – also der Schutz unserer kritischen Infrastrukturen, unserer Verwaltungen und unserer Kommunikations- und Informationssysteme – mit diesem Gesetz eine zentrale Rolle einnimmt. In unserer zunehmend digitalisierten Gesellschaft hängen Versorgung, Wirtschaftskraft, Staatshandeln und persönliche Freiheit in erheblichem Maße davon ab, dass digitale Systeme zuverlässig funktionieren und gegen Angriffe, Sabotage und Fremdzugriffe abgesichert sind. Ein Bewusstsein hierfür ist richtig und notwendig. In einer Zeit, in der geopolitische Konflikte längst auch im Cyberraum geführt werden – Stichwort „hybride Bedrohung“; denken wir an mittels DDoS geführte Angriffe, an Sabotage der Lieferketten, an Angriffe auf staatliche Einrichtungen oder kritische Infrastrukturen –, ist es essenziell, dass Deutschland handlungsfähig bleibt. Der Gesetzentwurf greift diese Herausforderungen auf, beispielsweise beim Ausbau der Meldepflichten, beim Auf- und Ausbau der Informationssicherheit in der Bundesverwaltung und bei der Stärkung des Bundesamtes für Sicherheit in der Informationstechnik. Es gelingt hier bei der Umsetzung von NIS 2 in nationales Recht auch ein angemessener Ausgleich zwischen Sicherheitsstandards und dem Schutz vor der Überbürokratisierung. Es ist auch richtig, dass solche Dienstleister nicht als besonders wichtige Einrichtungen erfasst werden, welche weniger als 250 Mitarbeiter beschäftigen und einen Jahresumsatz von weniger als 50 Millionen Euro aufweisen. Noch etwas freut uns außerordentlich: Offenbar führt der Abnutzungskampf der SPD und der CDU gegenüber der stärksten Oppositionskraft dazu, dass Sie, verehrte Kollegen von den Altparteien, wieder anfangen, anderen zuzuhören. Am 11. Oktober letzten Jahres habe ich darauf hingewiesen, dass Unterstützungshandlungen des BSI gegenüber dem Verfassungsschutz nicht nur in Fällen von Bestrebungen gegen die freiheitlich-demokratische Grundordnung greifen sollen, sondern auch bei dem Ausländerextremismus, der sich gegen auswärtige Belange der Bundesrepublik Deutschland oder gegen den Gedanken der Völkerverständigung richtet. Mit ihrem Änderungsantrag vom vergangenen Montag im Innenausschuss hat die Koalition diesen wichtigen Punkt aufgegriffen und modifiziert dahin gehend den § 3 Absatz 1 Nummer 18 BSIG. Eine Unterstützung des BSI ist künftig auch bei der Aufgabenwahrnehmung nach den Verfassungsschutzgesetzen der Länder vorgesehen. Wir begrüßen, dass die Koalition damit über ihren Schatten springt, ihr pathologisches Schubladen- und Brandmauerdenken überwindet und sich den Maßstäben der parlamentarischen Demokratie öffnet. Für die AfD ist klar: Sicherheit ist nicht nur eine Option, sondern eine Verpflichtung gegenüber der Bevölkerung, und auf dieser Grundlage stimmen wir dem Gesetzentwurf zu. Vielen Dank. Für die SPD-Fraktion hat jetzt das Wort der Abgeordnete Johannes Schätzl.

Frau Präsidentin! Liebe Kolleginnen! Liebe Kollegen! Ein neues Wort in der NIS-2-Debatte ist wohl jetzt „endlich“; denn endlich – und trotzdem in beeindruckender Geschwindigkeit – liegt ein fertiger Gesetzentwurf vor: ein Entwurf, den wir als Parlament im Vergleich zur Kabinettsfassung noch mal deutlich verbessert, ja deutlich nachgeschärft haben. Damit zeigen wir: Die Sicherheit dieses Landes hat für diese Koalition oberste Priorität. Und ja, exakt dies ist auch notwendig; denn Deutschland gehört zu den am häufigsten attackierten Ländern dieser Welt im Bereich der Cybersicherheit. Vielleicht lohnt die Frage, warum wir das sind. Das hat mit Sicherheit viele Gründe; aber ich glaube, ein Kern dieser Antwort ist: weil es hier etwas zu holen gibt, weil wir über herausragendes Know-how verfügen, weil wir über starke Unternehmen und viel Innovationskraft verfügen. Ja, das macht uns für Angreifer attraktiv, die destabilisieren wollen, die verunsichern wollen, die aber auch gezielt Wissen und Know-how von unseren Unternehmen abgreifen wollen. Genau dies wollen wir verhindern. Mit diesem Gesetz gehen wir dazu einen ersten, aber äußerst wichtigen Schritt. Dabei war das keine einfache Herausforderung; denn wir mussten schnell liefern. Wir waren aber auch gezwungen, gründlich zu liefern. Und dass dies in dieser beeindruckenden Form funktioniert hat, haben wir den mehr als konstruktiven Verhandlungen mit dem Koalitionspartner genauso wie dem BMF, dem BMDS und dem BMI zu verdanken. Herr Dobrindt, da Sie immer erschrecken, wenn wir Sie loben, würde ich an dieser Stelle Frau Ludwig als Parlamentarische Staatssekretärin loben, die diesen Prozess federführend begleitet hat. Wir haben es dem BMI nicht immer einfach gemacht, weil wir auch kurzfristig Antworten auf Fragen benötigt haben. Frau Ludwig, mit der größte Dank geht in diesem Fall an Ihr Haus. Ja, wir haben einiges verbessert. Einige Punkte wurden bereits genannt, und einen würde ich noch mal herausgreifen: die Frage der kritischen Komponenten; denn ich glaube, gerade hier werden wir die Souveränität unseres Landes noch mal maßgeblich stärken. Dabei, liebe Kolleginnen und Kollegen, setzen wir auf europäische Unternehmen, Unternehmen, die Weltspitze sind, Unternehmen, die das übrigens auch tagtäglich beweisen. Ein Blick in andere Länder zeigt: Die drei besten Mobilfunknetze dieser Welt liegen in Südkorea, Japan und den USA. Alle drei Netze haben eines gemeinsam: Sie setzen auf europäische Komponenten. Sieben der zehn erfolgreichsten Mobilfunkunternehmen liegen exakt in diesen Ländern. Auch die haben etwas gemeinsam: Sie setzen auf europäische Komponenten. Übrigens ein Land, das die Souveränitätsdebatte schon lange verstanden hat, ist China selbst; denn die europäischen Komponenten im chinesischen Netz liegen bei weit unter 4 Prozent. Genau aus diesem Grund ist es richtig, dass wir hier viel Vertrauen in das BMI legen. Frau Ludwig, viele Kompetenzen liegen jetzt in Ihrem Ministerium. Wir vertrauen Ihnen, wir freuen uns über dieses Gesetz und bitten um Zustimmung. Herzlichen Dank. Als nächsten Redner rufe ich auf für die Fraktion Bündnis 90/Die Grünen den Abgeordneten Dr. Konstantin von Notz.

Frau Präsidentin! Liebe Kolleginnen und Kollegen! Man kann sich IT-Systeme wie Häuser mit ganz vielen Türen vorstellen, Häuser, die wir alle nutzen: Sie, ich, Unternehmen, Behörden, die Bürgerinnen und Bürger in unserem Land. Und in diesen IT-Systemen bewahren wir Triviales bis hin zu Wertvollstem auf: Firmengeheimnisse, Familienfotos, Liebesbriefe, Bank- und Gesundheitsdaten, zunehmend biometrische Daten, aber eben auch Staatsgeheimnisse und Informationen über die Verwundbarkeit unserer Infrastruktur. Wenn eine oder mehrere Türen offenstehen, dann dauert es nicht lange, und es kommen Kriminelle oder autokratische Staaten und ihre Geheimdienste, die sich das alles in Ruhe anschauen und diese Informationen zum Nachteil der betroffenen Personen, Firmen und Behörden verwenden. Wie groß der jährliche Schaden und die sicherheitspolitischen Gefahren sind, das haben wir hier mehrfach diskutiert. Das NIS-2-Umsetzungsgesetz verpflichtet den Staat und besonders wichtige Unternehmen, dafür zu sorgen, dass diese Türen verschlossen und gut gesichert sind. Es ist gut und es ist überfällig, dass dieses Gesetz, für das sich meine Fraktion über Jahre sehr eingesetzt hat, nun endlich kommt, meine Damen und Herren. Weniger gut, Frau Ludwig, Herr Minister, war der Entwurf des BMI. Die Kritik aller Sachverständigen – aller Sachverständigen! – in der Anhörung war einhellig verheerend. Und eines muss man Ihnen, liebe Kolleginnen und Kollegen der Koalition, lassen: Sie haben in sehr schneller Zeit den Regierungsentwurf an wichtigen Stellen deutlich verbessert. Das respektieren wir, und das erkennen wir voll an. Aber Ihrem Entwurf fehlt leider völlig ein verantwortungsvolles, transparentes und nachvollziehbares Schwachstellenmanagement. Schwachstellen sind die offenen Hintertüren, durch die man ungehindert ins Haus kommt, Frau Ludwig. Auch deutsche Sicherheitsbehörden schauen in diese Häuser hinein, durch dieselben Türen, durch die auch unsere Feinde ins Haus, in private Accounts, in Netzwerke von Unternehmen und Behörden wie dem Bundesinnenministerium kommen. Dass Sie dieses vom Bundesverfassungsgericht seit Jahren geforderte Schwachstellenmanagement hier erneut nicht liefern, schwächt die Sicherheit unseres Landes und stellt dieses wichtige Gesetzesvorhaben auf verfassungsrechtlich wackelige Füße, meine Damen und Herren. Dass der schon angesprochene CISO Bund eben nicht unabhängig wird, ist vom Europarecht schlicht nicht gedeckt. Sie versäumen es, das BSI unabhängiger zu machen; die Sicherheitsarchitektur mit Bund, Ländern und Kommunen bleibt ineffizient und undurchsichtig. Ein geschätzter Kollege hat hier vor einem Jahr zur Ampel gesagt: „Sie bauen sozusagen das Haus zum Schutz der kritischen Infrastruktur und haben kein Dach drauf.“ Das war der geschätzte Kollege Henrichmann, und das hätte er jetzt mal Herrn Dobrindt sagen sollen. Denn das, was Sie hier heute machen, ist genau das: der Inbegriff eines Hauses ohne Dach. Sie setzen aus Sorge vor einer Klage der Europäischen Kommission jetzt die NIS-2-Richtlinie isoliert um, Frau Ludwig, ohne dafür zu sorgen, dass das sauber mit den Regelungen der zweiten Richtlinie zum physischen Schutz kritischer Infrastrukturen abgestimmt ist. Um das zu verschleiern, nennen Sie Ihr anderes Gesetz KRITIS-Dachgesetz. Das ist aber eine Falschetikettierung. Wenn Sie die Kohärenz nicht herstellen, werden den Schaden die Betreiber kritischer Infrastrukturen und damit wir alle haben. Die Wirtschaft hat nämlich verstanden, dass es sich lohnt, das zu machen, und wir müssen sie dabei unterstützen. Zu guter Letzt: Wir haben hier einen Änderungsantrag eingebracht, bei dem Sie sich frei bedienen können, um dieses Gesetz besser zu machen, Frau Ludwig; den kann man einfach mal lesen. Oder Sie stimmen heute zu. Kommen Sie zum Ende Ihrer Rede. Bitte der letzte Satz. Stimmen Sie heute zu! Dann ist alles in bester Ordnung. Herzlichen Dank. Für die Fraktion Die Linke hat das Wort der Abgeordnete Jan Köstering.

Sehr geehrte Frau Präsidentin! Meine Damen und Herren! Dass die NIS-2-Richtlinie umgesetzt werden muss – ich denke, dass ist heute schon sehr deutlich geworden –, stellt hier niemand in Abrede. Der Prozess dauert viel zu lange, und eine Regelung ist längst überfällig. NIS-2 und KRITIS-Dachgesetz – mein Vorredner hat es schon erwähnt –: Das sind die beiden Seiten derselben Medaille. Längst aber ist klar, dass zu spät überhaupt damit begonnen wurde, unser digitales Rückgrat zu stärken. Erst in dieser Woche hat Ihnen auch das Bundesamt für Sicherheit in der Informationstechnik noch einmal gesagt, wie groß die Gefahr von Cyberattacken ist und wie gefährdet unsere Unternehmen und vor allem die öffentlichen Verwaltungen sind. Ihr NIS-2-Gesetzentwurf wird in der jetzigen Fassung bestenfalls per Zufall für IT-Sicherheit sorgen. Denn statt sich daran zu orientieren, wie kritisch oder absicherungswürdig ein System in einem Unternehmen ist, erlassen Sie Regelungen, die sich an Beschäftigten und Umsatzzahlen orientiert. So ein Vorgehen war vielleicht noch in Zeiten der mechanischen Rechenmaschinen angebracht, im digitalen Zeitalter ist es aber nur ein Indiz dafür, dass Expertise in Sachen IT-Sicherheit im Innenministerium offensichtlich nicht berücksichtigt wird. Als Kommunalpolitiker stelle ich mir dann auch die Frage, warum Sie ohne Not – denn es wäre rechtlich absolut möglich gewesen – ausgerechnet die Kommunen nicht mit ins NIS-2-Gesetz einbeziehen. Wir haben doch mittlerweile genug Beispiele, welche Auswirkungen Menschen durchzumachen haben, wenn bei einem Cyberangriff die kommunalen Server verschlüsselt werden und ausgerechnet die Dienstleistungen des täglichen Bedarfs nicht mehr möglich sind. Ende 2023 traf es in Nordrhein-Westfalen den kommunalen IT-Dienstleister Südwestfalen-IT, und betroffen waren über 100 Kommunen mit 1,6 Millionen Menschen. Wenn die alltäglichen Leistungen in den Kommunen nicht erbracht werden können, dann gefährdet das das Vertrauen in den Staat. Dass Sie bestenfalls die Minimalforderungen der EU erfüllen wollen, ist nicht hinnehmbar. Und es wirkt auf mich so, als ob Sie, wie bereits bei den Rechtsverordnungen im KRITIS-Dachgesetzes, absehbar die Verantwortung auf Bundesebene minimal halten wollen. Die Mängelliste ist seit dem Gesetzentwurf auch nicht unwesentlich kürzer geworden. Daher können wir diesem Gesetzentwurf, so wie er vorliegt, nicht zustimmen. Aber lassen Sie mich, wie Sie es von uns als freundlicher Serviceopposition gewohnt sind, noch ein paar Vorschläge machen. Sorgen Sie endlich dafür, dass Sicherheitsbehörden in diesem Land auch für digitale Sicherheit sorgen! Das geht am einfachsten, wenn Sie Ihre Träume vom Hackback durch offengehaltene Hintertüren endlich aufgeben würden. Das BSI darf nicht Helfershelfer für Geheimdienste bleiben, die bewusst in Kauf nehmen, dass kriminelle oder ausländische Geheimdienste Schwachstellen ausnutzen. Setzen Sie endlich ein IT-Schwachstellenmanagement ein, und verschaffen Sie sich ein tagesaktuelles IT-Lagebild! Und zum Abschluss. Herr Minister, die Umsetzung von Nis 2 war eigentlich Ihre Chance, von einem „Ich mache die Grenzen dicht“-Minister zu einem echten Innenminister zu werden, der die Komplexität der öffentlichen Sicherheit versteht. Schade. Aber Sie haben beim KRITIS-Dachgesetz alle Chancen. Vielen Dank. Jetzt hat das Wort für die Bundesregierung der Bundesminister des Innern, Alexander Dobrindt.

Sehr geehrte Frau Präsidentin! Sehr geehrte Damen und Herren! Liebe Kolleginnen und Kollegen! Deutschland ist nicht im Krieg, aber tägliches Ziel einer hybriden Kriegsführung. Das ist die Situation. Sabotage, Spionage, Desinformation, Cyberangriffe: Das ist das, was wir täglich auch an Bedrohungslage erleben. Deswegen befinden wir uns als Land in einem großen Stresstest, einem Stresstest, ob wir diesen Bedrohungen als Staat, als Wirtschaft, als Gesellschaft auch standhalten können. Und ich kann Ihnen sagen: Wir nehmen diesen Stresstest an und geben eine klare Antwort. Wir schaffen Sicherheit durch Stabilität und Stärke. Und NIS 2 erfüllt genau das: Stabilität und Stärke, meine Damen und Herren. Ich will mich ausdrücklich bedanken bei den Kolleginnen und Kollegen, die im parlamentarischen Verfahren, ja, um das auch deutlich zu sagen, NIS 2 besser gemacht haben. Die CDU/CSU-Fraktion, die SPD-Fraktion, Marc Henrichmann, Johannes Schätzl, ihr habt gemeinsam mit meiner Staatssekretärin Daniela Ludwig dieses Gesetz besser gemacht. Herzlichen Dank auch dafür! Lieber Herr von Notz, ich verstehe überhaupt nicht, warum Sie hier am Rednerpult so starke Kritik in Richtung der Kolleginnen und Kollegen formulieren. Sie haben seit Wochen eingefordert, dass wir diesen Gesetzentwurf zum Ende bringen müssen. Denn es ist wichtig für die Cybersicherheit in Deutschland, NIS 2 zu verabschieden und zur Anwendung zu bringen. Ich sage Ihnen: Der entscheidende Unterschied zwischen uns und Ihnen ist, dass wir NIS 2 heute als starkes Element der Cybersicherheit in Deutschland abschließen, Ihnen das aber schlichtweg nicht gelungen ist, Herr von Notz. NIS 2 bedeutet Stärke und Stabilität. Ja, die Cybersicherheit rückt ins Zentrum der Sicherheitspolitik, nicht nur beim Bund, sondern auch in den Ländern, in der Wirtschaft, in der Gesellschaft. Wir haben am Montag den BSI-Lagebericht zur IT-Sicherheit gemeinsam mit der BSI-Präsidentin vorgestellt. Und da ist klar geworden, dass Deutschland neben den USA und Japan weltweit im Zentrum der Cyberangriffe durch staatliche Akteure steht. Das ist die Herausforderung: Deutschland steht im Zentrum der Angriffe. Und deswegen ist es für uns zentral, dass wir mit diesem Gesetz unsere Widerstandsfähigkeit und die Widerstandsfähigkeit der Wirtschaft stärken: durch Risikoanalysen, Notfallpläne, Verschlüsselungslösungen – und das Ganze zentral mit dem BSI als Partner der Wirtschaft für Service und Sicherheit. Das BSI ist das Zentrum eines modernen Staates: digital, effizient, serviceorientiert. Das ist das, was wir mit NIS 2 verbinden. Herzlichen Dank dafür! Für die AfD-Fraktion hat das Wort der Abgeordnete Alexander Arpaschi.

Frau Präsidentin! Sehr geehrte Kollegen! Liebe Zuschauer! Wie mein Kollege Steffen Janich bereits vorgetragen hat, ist das gleich zur Abstimmung stehende Gesetz notwendig und sinnvoll. Ich will daher nichts weiter ergänzen, sondern wende mich dem Antrag der Grünen zu, den diese unter dem staatstragenden Titel „Deutschland resilient machen – Für einen ganzheitlichen Schutz unserer kritischen Infrastruktur“ eingebracht haben. Welch ein Hohn! Ausgerechnet die Grünen wollen Deutschlands Infrastruktur resilient machen. Ihre Politik, Ihre Energiewende haben das deutsche Stromnetz instabil gemacht und die deutsche Stromversorgung vom Ausland abhängig. Ihre Politik macht unser Land und unsere Bürger arm. CO2-Bepreisung, Habecks Heizungshammer schneiden tief in das Volksvermögen. Die Möglichkeit, Infrastruktur aufzubauen, wird da genommen. Ihre Politik lässt Arbeitsplätze in deutschen Kernindustrien – Chemie und Automobil – verschwinden. – Auch wenn Sie schreien, ist das so. Ihr Klimawahn ist die Basis dieser Entwicklung und wird zum wirtschaftlichen Ruin Deutschlands führen, wenn Herr Merz seinen Sonntagsreden nicht bald Taten folgen lässt. Aber lassen Sie uns beim Stromnetz bleiben. Elektrischer Strom ist die Basis aller kritischen Infrastruktur in diesem Land. Ohne elektrischen Strom funktioniert kein Datennetz, kein Telefon, keine Lebensmittel- und Medikamentenproduktion und auch kein Abwassermanagement. Ohne Datennetze wiederum funktioniert keine Bahn und kein Flughafen, auch kein bargeldloses Zahlungssystem. Und genau an das Stromnetz haben die Grünen mit ihrer unsinnigen Politik die Axt gelegt. Die gleichzeitige Abschaltung der Atomkraftwerke und der völlig geisteskranke und ungeregelte Zubau von Windkraft- und Photovoltaikanlagen stellen die Netzbetreiber vor immer größere Probleme. Die fortschreitende Vernetzung dieser Systeme zur Steuerung eines immer instabiler werdenden Systems schafft aber weitere Einfallstore für Cyberkriminalität. Erst schaffen Sie ein Problem, und dann bieten Sie scheinheilig eine Lösung an. Dass Sie sich vor diesem Hintergrund dann auch noch hinstellen und großflächige Stromausfälle wegen Anschlägen auf Umspannwerke und Zugausfälle wegen Angriffen auf Bahngleise beklagen, ist an Dreistigkeit nicht zu überbieten. Es sind doch Ihre Freunde aus dem Bereich des Linksterrorismus, die für diese Taten verantwortlich sind. Sie und Ihre Konsorten haben das stabile elektrische Fundament der deutschen Infrastruktur zerstört. Und Sie sind es, die Deutschland damit im Innersten verwundbar machen. Und jetzt kommen Sie daher und spielen sich als Retter der bedrohten kritischen Infrastruktur auf? Bravo! Um es ganz klar zu sagen: Die größte Gefahr für die kritische Infrastruktur in Deutschland sind die Grünen. Im Osten haben die Wähler das schon erkannt und sorgen dafür, dass Sie aus den Parlamenten fliegen. Denn die Abwahl der Grünen ist der beste Schutz für Deutschlands Infrastruktur und viel besser als Ihr scheinheiliger Antrag, den wir gerne ablehnen. Danke. Ihre Rede ist vorbei. – Das Wort hat jetzt der Abgeordnete Daniel Baldy für die SPD-Fraktion.

Vielen Dank. – Frau Präsidentin! Liebe Kolleginnen und Kollegen! Zurück zum Thema! Cyberangriffe lassen sich relativ einfach mit Einbrüchen vergleichen. Was liegt näher, als uns anzuschauen: Was ist eigentlich beim Einbruch in den Louvre vor einigen Wochen schiefgelaufen, und was können wir daraus für den digitalen Raum und das NIS-2-Gesetz lernen? Erstens. Die Einbrecher im Louvre konnten über einen Balkon einsteigen, der nicht sonderlich gut bewacht war. Das macht deutlich: Nicht nur die Eingangstür, das Portal, muss gehärtet, muss geschützt sein, sondern jeder Eingang muss geschützt sein. Das gilt auch für staatliche IT-Systeme. Und wir haben in der Vergangenheit schon oft Angriffe auf die Bundesverwaltung erlebt; aber sie konzentrierten sich in der Regel nicht auf Ministerien, sondern eben auf nachgelagerte Behörden mit geringerem Schutz. Diese Koalition hat deshalb reagiert und die gesamte Bundesverwaltung – der Kollege Henrichmann hat es schon angesprochen – den Anforderungen von NIS 2 unterstellt: weil es eine Frage der Gerechtigkeit gegenüber der Wirtschaft ist, aber – das finde ich noch viel wichtiger – eben auch eine ganz zentrale Frage der Sicherheit unserer staatlichen Infrastruktur, liebe Kolleginnen und Kollegen. Das Zweite, was wir lernen können: Mit Winkelschleifern schnitten die Louvre-Einbrecher Löcher in die Vitrinen und konnten so an die Wertgegenstände gelangen. Das macht deutlich: An kritischen Stellen muss man sich auf die Funktion von guten Komponenten verlassen können. Deshalb kann das Innenministerium zukünftig kritische Komponenten von zweifelhaften Anbietern, beispielsweise aus autoritären Staaten, verbieten. Und auch das führt zu mehr Sicherheit. Wir schaffen mit dieser Änderung Resilienz, und wir machen deutlich: Autoritäre Staaten dürfen in Deutschland bei kritischer Infrastruktur keinen Fuß in der Tür haben, liebe Kolleginnen und Kollegen. Und dann noch zwei Dinge, die auch der vom Minister angesprochene BSI-Lagebericht diese Woche aufgezeigt hat und für die der Louvre-Einbruch auch ein gutes Beispiel ist. Erstens. Das Passwort für das Kameraüberwachungssystem des Louvre lautete „LOUVRE“. Und damit ist der Louvre nicht allein. Laut BSI-Lagebericht nutzt nur jede und jeder Zweite in Deutschland sichere Passwörter – Tendenz in den letzten Jahren leider sogar fallend. Das macht deutlich: Cybersicherheit geht uns alle an. Und jeder und jede kann mit einfachen Mitteln wie beispielsweise einem sicheren Passwort, das nicht „LOUVRE“ lautet, seinen eigenen Anteil leisten. Der zweite Punkt: Der französische Rechnungshof kritisierte im vergangenen Jahr, dass seit 2018 nur 3 Millionen Euro in die Sicherheitsmaßnahmen des Louvre gesteckt wurden, obwohl 83 Millionen Euro erforderlich gewesen wären. Die geklaute Beute hatte einen Wert von circa 88 Millionen Euro. Das zeigt: Der Verzicht auf Maßnahmen zur Cybersicherheit wird am Ende wesentlich teurer sein als die Investition in die Sicherheit selbst. Wir investieren mit diesem Gesetz und mit den folgenden Maßnahmen in dieses Land, und wir bringen es sicher voran, liebe Kolleginnen und Kollegen. Herzlichen Dank. Für die CDU/CSU-Fraktion hat das Wort der Abgeordnete Henri Schmidt.

Sehr geehrte Frau Präsidentin! Liebe Kolleginnen und Kollegen! Ich freue mich zunächst, dass ich knapp zwei Monate nach der ersten Lesung hier stehen und berichten darf über intensive, aber recht erfolgreiche Verhandlungen. Heute geht es um die Umsetzung der NIS-2-Richtlinie. Ich finde, dieses Gesetz ist ein großer Erfolg, und zwar in jeder Hinsicht: ein 360-Grad-Schutzschirm für unsere Cybersicherheit. Klar ist: Digitalpolitik und innere Sicherheit gehören zusammen. Nur wenn wir beides zusammendenken, entsteht echte Cybersicherheit. Genau dieses gemeinsame Denken hat uns auch in den Verhandlungen geprägt. Vielen Dank an alle, die daran mitgewirkt haben! Da das BMI heute schon häufig genug gelobt wurde und Thomas Jarzombek inzwischen hier ist: Lieber Thomas, auch an dich vielen Dank für deine Unterstützung! Mir war es wichtig, dass dieses Gesetz nicht nur auf dem Papier gut aussieht, sondern in der Praxis auch tatsächlich funktioniert und Wirkung erzielt. Auch die am Montag – das haben wir gerade schon gehört – vorgestellte BSI-Studie zur Lage der IT-Sicherheit in Deutschland macht noch mal klar: Wir müssen zwingend handeln und unsere Angriffsflächen reduzieren. Wir alle wollten ein Gesetz, welches modern, praktikabel, aber vor allem auch wirksam ist, und das ist uns gelungen. Was haben wir erreicht? Dass nun alle Bundesbehörden denselben Sicherheitsstandards unterliegen, dass ein Chief Information Security Officer des Bundes im BSI künftig die Umsetzung koordiniert und die Einhaltung überwacht – und, lieber Kollege von Notz, das tut er unabhängig –, dass das BSI handlungsfähiger ist, wenn Angriffe drohen, und dass kritische Komponenten gezielt überprüft und, wenn nötig, ausgeschlossen werden. Damit gilt – und das ist besonders wichtig –: Der Staat zieht sich eben nicht zurück aus seiner Verantwortung, aus seiner Vorbildfunktion. Ganz im Gegenteil: Wir setzen uns an die Spitze der digitalen Sicherheitskette. Unsere Koalition nimmt Cybersicherheit ernst – nicht als Schlagwort, sondern als Teil unserer digitalen Daseinsvorsorge. Erlauben Sie mir am Schluss einen wichtigen Appell, nämlich an Sie, liebe Bürgerinnen und Bürger, an alle Unternehmen, Institutionen und Vereine, die heute nicht durch die NIS 2 verpflichtet werden: Warten Sie nicht auf weitere Gesetzgebung, sondern werden Sie proaktiv tätig! Übernehmen auch Sie Verantwortung! Denn die Angreifer im Cyberraum gucken nicht auf die größten Ziele, sondern auf die schwächsten Systeme. Vielen Dank.