Sehr geehrter Herr Präsident! Sehr geehrte Kolleginnen und Kollegen! Wir nehmen eine zunehmende Bedrohung unserer IT-Sicherheit wahr. Das wird unterfüttert durch Zahlen, die der Bitkom diesen Sommer veröffentlicht hat: über 267 Milliarden Euro an Schäden durch Cybersicherheitsvorfälle in der deutschen Wirtschaft. Im Vorjahr waren es noch knapp über 200 Milliarden Euro. Das heißt, hier gab es eine deutliche Steigerung. Das ist natürlich eine dramatische Situation. Was heißt das? Was steckt hinter diesen Zahlen? Ganz oft sind das Datenabflüsse und Spionage. Geschäftsgeheimnisse werden gestohlen, oder Daten werden verschlüsselt und erst gegen Lösegeldzahlung wieder freigegeben. 267 Milliarden Euro entgangene Gewinne heißen für uns auch – erinnern wir uns an die Haushaltssituation – entgangene Steuereinnahmen in Höhe von 50 Milliarden Euro oder mehr; das nur mal ganz grob abgeschätzt. Es ist ein Riesenschaden, der auch uns hier entsteht.

Man muss sehen: Wenn Angreifer Zugriff auf IT-Systeme von Firmen haben, um dort Daten abzusaugen, dann können sie auch den Schalter umlegen und den Zugang für Sabotage verwenden. Auch das stellen wir fest. Wir erleben im Grunde eine hybride Kriegsführung seitens Russlands mit immer mehr Sabotageakten gegen die deutsche Infrastruktur, gegen die deutsche Wirtschaft. Erst letzte Woche hat die Schwarz-Gruppe veröffentlicht, dass sie es gegenüber 3 500 Cyberangriffen täglich vor dem Kriegsausbruch jetzt mit über 350 000 am Tag, also einer Verhundertfachung, zu tun hat, und das vor allem aus Russland. Das zeigt einmal mehr, wie wichtig es ist, dass wir dieses Thema hier sehr ernst nehmen.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie des Abg. Manuel Höferlin [FDP])

Der Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes ist eine Antwort. Es ist gut, dass wir ihn jetzt vorlegen, und zeigt, dass wir innere und äußere Sicherheit zusammendenken. Das müssen wir noch mal verstärken; denn auch hier müssen wir eine Zeitenwende feststellen. Wir als Grüne verlangen schon lange, dass wir Cybersecurity ernster nehmen. Die Vorgängerregierung hat das nicht getan.

(Lachen bei Abgeordneten der CDU/CSU)

Jetzt komme ich mal zu Ihnen, Herr Henrichmann. Sie haben hier beklagt, dass das BSI weniger Mittel bekommt: Unsere Forderung war doch, das Sondervermögen der Bundeswehr für einen breiten Sicherheitsbegriff zu verwenden, auch für IT-Sicherheit, für Cybersecurity. Sie haben das verhindert; Sie waren das.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie der Abg. Dunja Kreiser [SPD] – Dr. Hendrik Hoppenstedt [CDU/CSU]: Sie haben das selbst verbraucht! – Marc Henrichmann [CDU/CSU]: Das ist ja billig! Sicherheitsmilliarde! Ihr habt doch mehr Geld bekommen! Das ist doch Quatsch!)

Was steht eigentlich drin im Gesetzentwurf? Schauen wir mal, was wir ändern. Herr Staatssekretär Saathoff hat ja schon einige wichtige Punkte genannt. Die Änderungen betreffen viele Unternehmen; es werden etwa 29 000, sogar etliche mehr, betroffen sein. Wir haben die Sektoren von 8 auf 16 ausgeweitet; beispielsweise sind jetzt auch die Abwasserwirtschaft und die Lebensmittelindustrie darunter. Natürlich ist Letztere unter einem Sicherheitsgesichtspunkt für uns systemrelevant; denn ohne eine funktionierende Lebensmittelindustrie können wir unsere Bevölkerung nicht versorgen. Es ist richtig, dass wir die Kategorien ausgeweitet haben, dass wir auch die Schwellenwerte absenken, also mehr Unternehmen in den Geltungsbereich kommen, dass wir die Sicherheitsauflagen stärker machen und vor allen Dingen, dass wir die Kategorie KRITIS als zusätzliche Schutzeinheit beibehalten wollen.

Was auch wichtig ist – das klang in einigen Beiträgen schon an –: Eine neue Richtlinie geht mit mehr Regeln, mit mehr Bürokratie einher; das ist an der Stelle gut und richtig so. Aber natürlich wollen wir darauf achten, die Belastung möglichst gering zu halten. Das heißt, wir müssen die Richtlinie mit der CER, der Critical-Entities-Resilience-Richtlinie, in Einklang bringen und den Bürokratieaufwand möglichst gering halten.

Weiterhin wird mit diesem Gesetz geregelt, dass die Meldepflichten verschärft werden. Das ist wichtig, damit ein klares Lagebild entsteht, damit frühzeitig Trends und möglicherweise auch konzertierte Angriffe erkannt werden und – auch das gehört zur Wahrheit dazu – damit die Unternehmen mehr in die Pflicht genommen und die Haftungsregeln verstärkt werden, damit klar ist: Das ist Aufgabe der Chefetage. Am Ende ist der CEO mitverantwortlich dafür, dass das Unternehmen gesichert ist. Genauso wie er dafür verantwortlich ist, dass ein Schloss eingebaut wird, muss er dafür sorgen, dass die Unternehmen auf der IT-Seite vernünftig abgesichert sind.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie des Abg. Manuel Höferlin [FDP])

Was wir auch brauchen, sind Hilfestellungen für kleine und mittelständische Unternehmen. Die sind nämlich häufig gar nicht dazu in der Lage, weil schlichtweg die Personalkapazität und die Fachkompetenz fehlen. Deswegen brauchen wir One-Stop-Shop-Lösungen mit Beratungsstellen, an die sich KMUs wenden können, die bei der Berichtspflicht helfen und auch bei der Umsetzung und der Absicherung von kleinen Unternehmen beraten können. Denn wir dürfen nicht vergessen: Über 90 Prozent der Wirtschaftsunternehmen in Deutschland sind Kleinstunternehmen und Kleinunternehmen. Natürlich müssen wir vorbereitet sein, wenn es breit gestreute Angriffe gibt, indem wir IT-Sicherheit in die Breite bringen.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie bei Abgeordneten der SPD und des Abg. Manuel Höferlin [FDP])

Wofür es jetzt wirklich Zeit wird – da sind wir schon ein, zwei Jahre hinterher –, ist, dass das BMI ein KRITIS-Dachgesetz vorlegt. Das ist die zentrale Stelle, wo wir regeln müssen, wie wir unsere kritische Infrastruktur schützen.

(Sebastian Hartmann [SPD]: Das hängt doch im BMWK!)

Das betrifft physische Sicherheit, aber auch digitale Sicherheit. Es ist jetzt allerhöchste Zeit, dass da ein Entwurf aus dem BMI kommt.

(Petra Nicolaisen [CDU/CSU]: Hört! Hört!)

Wir würden es auch sehr begrüßen, wenn im Zuge der Verhandlungen Ergebnisse aus der AG BSI in den Entwurf einfließen; denn wir brauchen eine gute IT-Sicherheit für ein Land, das funktioniert.

(Beifall beim BÜNDNIS 90/DIE GRÜNEN sowie der Abg. Dunja Kreiser [SPD])

Vielen Dank, Herr Kollege Außendorf. – Nächster Redner ist der Kollege Steffen Janich, AfD-Fraktion.

(Beifall bei der AfD)