Sehr geehrter Herr Präsident! Meine Damen und Herren! Ich hatte Ihnen versprochen, heute zu einigen Punkten fortzufahren, die ich am Mittwoch bereits vorgetragen hatte, als wir schon einmal über die NIS-2-Richtlinie gesprochen haben, und möchte dieses Versprechen auch halten.

Das Gesetz setzt die NIS-2-Richtlinie nicht nur um – es ist keine stumpfe Umsetzung; der Staatssekretär hat es schon erwähnt –, sondern wir gehen in einigen Punkten, die wichtig sind für die Cybersicherheit in Deutschland, darüber hinaus. Wir stärken mit dem Gesetz nämlich die Cyberresilienz Deutschlands, meine Damen und Herren; das ist ein wichtiger Punkt.

(Beifall bei der FDP sowie bei Abgeordneten des BÜNDNISSES 90/DIE GRÜNEN)

Die kritische Infrastruktur, gerade im Bereich der IT, beginnt nämlich nicht erst bei großen Unternehmen. Bei der Cybersicherheit gilt nicht „too big to fail“, sondern im Prinzip der Kernsatz „too important to fail“, das heißt: Zu wichtig, um kaputtzugehen. Denken Sie nur an die kommunale Wasserversorgung! Hier in Berlin mag das „big“ sein. Aber in kleineren Kommunen ist es für die Betroffenen genauso wichtig, wenn kritische Infrastrukturen über IT-Systeme angegriffen werden, auch wenn der Fall vielleicht kleiner ist. Genauso ist es bei Unternehmen, die in einer Lieferkette wichtige Elemente produzieren oder in bestimmte Produktionen eingebunden sind. Sie sind einfach wichtig, auch wenn sie kleiner sind. Genau diesen Gedanken nimmt die NIS-2-Richtlinie in unserer Umsetzung auf.

(Beifall bei der FDP sowie bei Abgeordneten des BÜNDNISSES 90/DIE GRÜNEN und des Abg. Daniel Baldy [SPD])

Das heißt natürlich, dass mehr Unternehmen betroffen sein werden als bisher; das ist ganz klar. Es ist ja schon erwähnt worden: Der Kreis der Betroffenen nimmt erheblich zu. Gleichzeitig wollen wir, gerade als Freie Demokraten, auch weniger Bürokratie haben. Wir stehen für eine Verschlankung des Staates, für einen Wirtschaftsturbo. Deswegen war es uns eine Herzensangelegenheit, das hier umzusetzen. Mit dem Meldesystem nach der NIS-2-Richtlinie schaffen wir beispielsweise einerseits einen europäischen Standard; andererseits sorgen wir für eine Erleichterung bei den Unternehmen, die europaweit arbeiten. Gleichzeitig fällt die bisherige Meldepflicht weg. Es ist wichtig, dass wir nicht nur etwas neu einführen, sondern natürlich auch alte Zöpfe, die durch die europäische Regelung ersetzt werden, abschneiden.

Wir wollen die Unternehmen nicht mit mehr Bürokratie belasten, sondern wir wollen mehr Cybersicherheit. Das schaffen wir nur dann, wenn die Unternehmen sich am Ende auch auf die Cybersicherheit konzentrieren können. Mit dem KRITIS-Dachgesetz und mit der Umsetzung der NIS-2-Richtlinie wollen wir erreichen, dass Unternehmen, wenn sie angegriffen werden und meldepflichtig sind, sich nicht plötzlich nur noch um das Melden kümmern müssen und womöglich noch unterschiedliche Inhalte auf unterschiedlichen Wegen melden müssen. Es ist wichtig, dass sich die Unternehmen in solchen Situationen auf den Schadensfall konzentrieren können. Deswegen muss es so sein, dass möglichst einfach und möglichst schnell gemeldet werden kann. Das ist auch für das Lagebild wichtig. Aber das darf nicht dazu führen, dass die Unternehmen nachher mehr mit dem Melden als mit dem Lösen ihres Sicherheitsproblems beschäftigt sind.

(Beifall bei der FDP und dem BÜNDNIS 90/DIE GRÜNEN)

In der Computersicherheit gibt es das Konzept der „Security through Obscurity“, also Sicherheit durch Unklarheit. Der Versuch wird allerdings scheitern. Wir müssen klare Ansätze haben, wie in solchen Fällen vorangegangen wird. Meine Damen und Herren, ich glaube, es ist wichtig, dass man das bis auf die technische Ebene vorantreibt, im übertragenen Sinne aber auch bei bürokratischen Regeln. Deswegen ist es wichtig, dafür zu sorgen, dass die NIS-2-Richtlinie am Ende nicht zu Widersprüchen mit anderen Gesetzen führt.

Wir gehen aber darüber hinaus. Im NIS-2-Gesetzentwurf gibt es weitere Punkte, die wir behandeln und die wir im Bereich der Cybersicherheit auch im Koalitionsvertrag vereinbart haben – es ist der richtige Zeitpunkt und auch der richtige Ort, um diese Themen voranzutreiben –: Wir wollen auch eine Koordinierung der Cybersicherheit in den Bundesbehörden. Im Moment hat jedes Ressort seine eigene Cybersicherheit, zum Beispiel mit eigenen Sicherheitsbeauftragten oder CISOs in den Ressorts. Ich glaube, es ist richtig und wichtig, hier aus dem Silodenken herauszukommen und eine Kohärenz der Bundesverwaltung, der Bundesressorts voranzubringen. Das ist ein längst überfälliger und wichtiger Schritt. Nur so schaffen wir auch auf Bundesebene Cybersicherheit auf einem vergleichbaren Niveau.

(Marc Henrichmann [CDU/CSU]: Jetzt müssen wir nur noch wissen, was der machen soll!)

– Ja, der koordiniert die Cybersicherheit. Ich glaube, das ist wichtig. Ein CISO sorgt für Cybersicherheit über die einzelnen Elemente eines Unternehmens, eines Konzerns hinweg. Ich finde, dass der Staat sich genauso aufstellen muss; denn nur dann ist Cybersicherheit gegeben.

(Marc Henrichmann [CDU/CSU]: Schreibt es doch ins Gesetz!)

– Ja, deswegen werden wir das auch machen.

Mir ist wichtig, dass wir verschiedene Themen weiter angehen. Wir befinden uns in guten Gesprächen in der Koalition. Es freut mich, –

Herr Kollege, kommen Sie zum Schluss, bitte.

– dass sich die Opposition am Mittwoch eingebracht hat. Ich wünsche mir das auch für das weitere Vorgehen.

Herr Kollege!

Ich bin sicher, die Cybersicherheit steigt.

In diesem Sinne: Herzlichen Dank.

(Beifall bei der FDP und dem BÜNDNIS 90/DIE GRÜNEN sowie der Abg. Dunja Kreiser [SPD])

Vielen Dank. – Nächste Rednerin ist die Kollegin Petra Nicolaisen, CDU/CSU-Fraktion.

(Beifall bei der CDU/CSU)