{"$schema":"https://www.lobbyregister.bundestag.de/json-schemas/R2.22/Lobbyregister-Registereintrag-schema-R2.22.json","source":"Deutscher Bundestag, Lobbyregister für die Interessenvertretung gegenüber dem Deutschen Bundestag und der Bundesregierung","sourceUrl":"https://www.lobbyregister.bundestag.de","sourceDate":"2026-06-05T20:41:12.910+02:00","jsonDocumentationUrl":"https://www.lobbyregister.bundestag.de/informationen-und-hilfe/open-data-1049716","registerNumber":"R006512","registerEntryDetails":{"registerEntryId":73730,"legislation":"GL2024","version":9,"detailsPageUrl":"https://www.lobbyregister.bundestag.de/suche/R006512/73730","pdfUrl":"https://www.lobbyregister.bundestag.de/media/74/e8/750947/Lobbyregister-Registereintraege-Detailansicht-R006512-2026-06-05_14-54-01.pdf","validFromDate":"2026-06-05T14:54:01.000+02:00","fiscalYearUpdate":{"updateMissing":false,"lastFiscalYearUpdate":"2025-06-17T17:10:47.000+02:00"}},"accountDetails":{"activeLobbyist":true,"activeDateRanges":[{"fromDate":"2024-06-27T13:24:16.000+02:00"}],"firstPublicationDate":"2024-02-22T12:55:30.000+01:00","lastUpdateDate":"2026-06-05T14:54:01.000+02:00","registerEntryVersions":[{"registerEntryId":73730,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R006512/73730","version":9,"legislation":"GL2024","validFromDate":"2026-06-05T14:54:01.000+02:00","versionActiveLobbyist":true},{"registerEntryId":58280,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R006512/58280","version":8,"legislation":"GL2024","validFromDate":"2025-06-17T17:10:47.000+02:00","validUntilDate":"2026-06-05T14:54:01.000+02:00","versionActiveLobbyist":true},{"registerEntryId":53874,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R006512/53874","version":7,"legislation":"GL2024","validFromDate":"2025-04-24T16:15:10.000+02:00","validUntilDate":"2025-06-17T17:10:47.000+02:00","versionActiveLobbyist":true},{"registerEntryId":53872,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R006512/53872","version":6,"legislation":"GL2024","validFromDate":"2025-04-24T16:14:41.000+02:00","validUntilDate":"2025-04-24T16:15:10.000+02:00","versionActiveLobbyist":true},{"registerEntryId":51845,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R006512/51845","version":5,"legislation":"GL2024","validFromDate":"2025-03-17T14:31:57.000+01:00","validUntilDate":"2025-04-24T16:14:41.000+02:00","versionActiveLobbyist":true},{"registerEntryId":51516,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R006512/51516","version":4,"legislation":"GL2024","validFromDate":"2025-03-10T14:59:54.000+01:00","validUntilDate":"2025-03-17T14:31:57.000+01:00","versionActiveLobbyist":true},{"registerEntryId":51514,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R006512/51514","version":3,"legislation":"GL2024","validFromDate":"2025-03-10T14:54:00.000+01:00","validUntilDate":"2025-03-10T14:59:54.000+01:00","versionActiveLobbyist":true},{"registerEntryId":36868,"jsonDetailUrl":"https://www.lobbyregister.bundestag.de/sucheJson/R006512/36868","version":2,"legislation":"GL2024","validFromDate":"2024-06-27T13:24:16.000+02:00","validUntilDate":"2025-03-10T14:54:00.000+01:00","versionActiveLobbyist":true}],"accountHasCodexViolations":false},"lobbyistIdentity":{"identity":"ORGANIZATION","name":" International Information System Security Certification Consortium, Inc.","legalFormType":{"code":"JURISTIC_PERSON","de":"Juristische Person","en":"Legal person"},"legalForm":{"code":"LF_OTHER_JP_INTERNATIONAL","de":"Sonstige juristische Person, auch nach anderem als deutschem Recht","en":"Other juristic person","legalFormText":"US 501(c)6 Non-Profit Corporation"},"contactDetails":{"phoneNumber":"+4402039607791","emails":[{"email":"smehta@isc2.org"},{"email":"mavramescu@isc2.org"}],"websites":[{"website":"www.isc2.org"}]},"address":{"type":"FOREIGN","internationalAdditional1":"625 N Washington Street, Suite 400","internationalAdditional2":"22314","city":"Alexandria","country":{"code":"US","de":"Vereinigte Staaten","en":"United States"}},"capitalCityRepresentationPresent":false,"legalRepresentatives":[{"lastName":"Jackson","firstName":"Graham","function":"General Counsel and Corporate Secretary","recentGovernmentFunctionPresent":false,"entrustedPerson":true,"contactDetails":{}}],"entrustedPersonsPresent":true,"entrustedPersons":[{"lastName":"Jackson","firstName":"Graham","recentGovernmentFunctionPresent":false},{"lastName":"Müller","firstName":"Bernd","recentGovernmentFunctionPresent":false},{"lastName":"Wisniewski","firstName":"Tara","recentGovernmentFunctionPresent":false},{"academicDegreeBefore":"Dr","lastName":"Mehta","firstName":"Sanjana","recentGovernmentFunctionPresent":false},{"lastName":"Avramescu","firstName":"Manuel","recentGovernmentFunctionPresent":false}],"membersPresent":true,"membersCount":{"naturalPersons":222058,"organizations":0,"totalCount":222058,"dateCount":"2023-12-31"},"membershipsPresent":false},"activitiesAndInterests":{"activity":{"code":"ACT_PROFESSION_ASSOC","de":"Berufsverband","en":"Professional association"},"typesOfExercisingLobbyWork":[{"code":"SELF_OPERATED_OWN_INTEREST","de":"Die Interessenvertretung wird in eigenem Interesse selbst wahrgenommen","en":"Interest representation is self-performed in its own interest"}],"fieldsOfInterest":[{"code":"FOI_EU_DOMESTIC_MARKET","de":"EU-Binnenmarkt","en":"EU internal market"},{"code":"FOI_DEFENSE_OTHER","de":"Sonstiges im Bereich \"Verteidigung\"","en":"Other in the field of \"Defense\""},{"code":"FOI_MEDIA_PRIVACY","de":"Datenschutz und Informationssicherheit","en":"Data protection and information security"},{"code":"FOI_EP_ACADEMIC","de":"Hochschulbildung","en":"Academic education"},{"code":"FOI_SCIENCE_RESEARCH_TECHNOLOGY","de":"Wissenschaft, Forschung und Technologie","en":"Science, research and technology"},{"code":"FOI_EU_SAFETY_POLICY","de":"Gemeinsame Außen- und Sicherheitspolitik der EU","en":"Common foreign and security policy of the EU"},{"code":"FOI_WORK_POLICY","de":"Arbeitsmarkt","en":"Job market"},{"code":"FOI_WORK_OTHER","de":"Sonstiges im Bereich \"Arbeit und Beschäftigung\"","en":"Other in the field of \"Work and employment\""},{"code":"FOI_MEDIA_DIGITALIZATION","de":"Digitalisierung","en":"Digitalization"},{"code":"FOI_EP_WORK","de":"Berufliche Bildung","en":"Job education"},{"code":"FOI_EU_LAWS","de":"EU-Gesetzgebung","en":"EU legislation"}],"activityDescription":"Das International Information System Security Certification Consortium, Inc. (ISC2) engagiert sich für die Stärkung des Berufsstands der Cybersicherheit. Ziel ist es, Einfluss, Vielfalt und Vitalität des Sektors durch politische Interessenvertretung, fachliche Expertise und gezielte Förderung von Fachkräften zu stärken. ISC2 setzt sich dabei sowohl für eigene als auch für gemeinsame Interessen seiner Mitglieder ein – insbesondere im Hinblick auf Ausbildungsstandards, Zertifizierungen und die Anerkennung des Berufsbilds der Cybersicherheit auf nationaler und internationaler Ebene. In Gesprächen mit Mitgliedern der Bundesregierung, Ministerien und nachgeordneten Behörden als auch Mitgliedern des Bundestages, setzt sich ISC2 aktiv dafür ein, die Lücke für Cybersicherheitsfachkräfte in Deutschland zu schließen und langfristig eine Fachkräftestrategie für Cybersicherheit in Deutschland zu entwickeln."},"employeesInvolvedInLobbying":{"relatedFiscalYearFinished":true,"relatedFiscalYearStart":"2024-01-01","relatedFiscalYearEnd":"2024-12-31","employeeFTE":0.5},"financialExpenses":{"relatedFiscalYearFinished":true,"relatedFiscalYearStart":"2024-01-01","relatedFiscalYearEnd":"2024-12-31","financialExpensesEuro":{"from":90001,"to":100000}},"mainFundingSources":{"relatedFiscalYearFinished":true,"relatedFiscalYearStart":"2024-01-01","relatedFiscalYearEnd":"2024-12-31","mainFundingSources":[{"code":"MFS_ECONOMIC_ACTIVITY","de":"Wirtschaftliche Tätigkeit","en":"Economic activity"},{"code":"MFS_MEMBERSHIP_FEES","de":"Mitgliedsbeiträge","en":"Membership fees"}]},"publicAllowances":{"publicAllowancesPresent":false,"relatedFiscalYearFinished":true,"relatedFiscalYearStart":"2024-01-01","relatedFiscalYearEnd":"2024-12-31"},"donators":{"relatedFiscalYearFinished":true,"relatedFiscalYearStart":"2024-01-01","relatedFiscalYearEnd":"2024-12-31","totalDonationsEuro":{"from":0,"to":0}},"membershipFees":{"relatedFiscalYearFinished":true,"relatedFiscalYearStart":"2024-01-01","relatedFiscalYearEnd":"2024-12-31","totalMembershipFees":{"from":20340001,"to":20350000},"individualContributorsPresent":false,"individualContributors":[]},"annualReports":{"annualReportPreviousLastFiscalYearExists":true,"previousLastFiscalYearStart":"2023-01-01","previousLastFiscalYearEnd":"2023-12-31","annualReportPdfUrl":"https://www.lobbyregister.bundestag.de/media/1a/45/750943/ISC2-Annual-Report-2023.pdf"},"regulatoryProjects":{"regulatoryProjectsPresent":true,"regulatoryProjectsCount":1,"regulatoryProjects":[{"regulatoryProjectNumber":"RV0007241","title":"Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz)","printedMattersPresent":true,"printedMatters":[{"title":"Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen","printingNumber":"21/2510","issuer":"BT","documentUrl":"https://dserver.bundestag.de/btd/21/025/2102510.pdf","projectUrl":"https://dip.bundestag.de/vorgang/gesetz-zur-umsetzung-der-richtlinie-eu-2022-2557-und-zur/326823","leadingMinistries":[{"title":"Bundesministerium des Innern","shortTitle":"BMI","electionPeriod":21,"url":"https://www.bmi.bund.de/DE/startseite/startseite-node.html"}]}],"draftBillPresent":false,"description":"Angesichts der weltweit zunehmenden Anzahl, Komplexität und Ausmaßes von Cyberangriffen begrüßt ISC2 den allgemeinen Ansatz des jüngsten Referentenentwurfs des Bundesministeriums für Inneres und Heimat zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen und ist der Ansicht, dass er durch klarere Beschreibungen des Bedarfs an Cybersicherheits-Know-how und Fachkräften verstärkt werden könnte. ISC2 bietet den politischen Entscheidungsträgern weiterhin seine Erfahrung und Fachwissen an, wobei wir uns auf mehr als 30 Jahre Erfahrung im Aufbau von Kapazitäten stützen, und würden die Gelegenheit begrüßen, mit deutschen Behörden zusammenzuarbeiten, um deutsche Fachkräfte im Bereich der Cybersicherheit zu stärken.","affectedLawsPresent":true,"affectedLaws":[{"title":"Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz","shortTitle":"BSI-KritisV","url":"https://www.gesetze-im-internet.de/bsi-kritisv"}],"fieldsOfInterest":[{"code":"FOI_MEDIA_PRIVACY","de":"Datenschutz und Informationssicherheit","en":"Data protection and information security"},{"code":"FOI_EP_WORK","de":"Berufliche Bildung","en":"Job education"},{"code":"FOI_SCIENCE_RESEARCH_TECHNOLOGY","de":"Wissenschaft, Forschung und Technologie","en":"Science, research and technology"},{"code":"FOI_WORK_OTHER","de":"Sonstiges im Bereich \"Arbeit und Beschäftigung\"","en":"Other in the field of \"Work and employment\""},{"code":"FOI_MEDIA_DIGITALIZATION","de":"Digitalisierung","en":"Digitalization"},{"code":"FOI_EU_LAWS","de":"EU-Gesetzgebung","en":"EU legislation"}]}]},"statements":{"statementsPresent":true,"statementsCount":2,"statements":[{"regulatoryProjectNumber":"RV0007241","regulatoryProjectTitle":"Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz)","pdfUrl":"https://www.lobbyregister.bundestag.de/media/c8/f4/318535/Stellungnahme-Gutachten-SG2406130070.pdf","pdfPageCount":2,"text":{"copyrightAcknowledgement":"Die grundlegenden Stellungnahmen und Gutachten können urheberrechtlich geschützte Werke enthalten. Eine Nutzung ist nur im urheberrechtlich zulässigen Rahmen erlaubt.","text":"Text Box \r\n\r\n \r\n\r\n \r\n\r\n \r\n\r\n \r\n\r\n \r\n\r\n \r\n\r\nStatus quo\r\n\r\nErhöhte Cyber-Risiken erfordern neue Lösungen \r\n\r\nLaut Wirtschaftsschutzbericht 2023 beläuft sich der vom Bitkom ermittelte Schaden durch Cyberkriminalität in Deutschland auf 206 Milliarden Euro.1 Die bestehenden Steuerungsinstrumente für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich als nicht ausreichend wirksam erwiesen, um eine umfassende Erhöhung des Cybersicherheitsniveaus zu erreichen, wie die jüngsten Prüfungen des Bundesrechnungshofes (BRH) bestätigen: Die meisten geprüften deutschen Behörden sind seit Jahren nicht in der Lage, gravierende Mängel zu beheben.\r\n\r\nAngesichts der weltweit zunehmenden Anzahl, Komplexität und Ausmaßes von Cyberangriffen begrüßt ISC2 den allgemeinen Ansatz des jüngsten Referentenentwurfs des Bundesministeriums für Inneres und Heimat zur Umsetzung der NIS-2-Richtlinie und ist der Ansicht, dass er durch klarere Beschreibungen des Bedarfs an Cybersicherheits-Know-how und Fachkräften verstärkt werden könnte. ISC2 bietet den politischen Entscheidungsträgern weiterhin seine Erfahrung und Fachwissen an, wobei wir uns auf mehr als 30 Jahre Erfahrung im Aufbau von Kapazitäten stützen, und würden die Gelegenheit begrüßen, mit deutschen Behörden zusammenzuarbeiten, um deutsche Fachkräfte im Bereich der Cybersicherheit zu stärken.\r\n\r\nHerausforderung \r\n\r\nDie Umsetzung der NIS-2 Richtlinie wird die Zahl der von der Regulierung betroffenen Unternehmen massiv erhöhen \r\n\r\nDa der Stichtag für die NIS-2-Richtlinie näher rückt, müssen die betroffenen Organisationen proaktiv werden, um die Einhaltung der Vorschriften zu gewährleisten. Laut einer Analyse des Statistischen Bundesamtes wird der Anwendungsbereich der Richtlinie von 4.500 auf mehr als 30.000 Unternehmen in Deutschland ausgeweitet - eine fast zehnfache Steigerung gegenüber dem Status quo. Die neuen Vorschriften beinhalten eine Bewertung der aktuellen Sicherheitslage, die Umsetzung von Risikomanagementmaßnahmen und die Zusammenarbeit mit IT-Partnern, die strategische Unterstützung bei der Umsetzung der erforderlichen Sicherheitsmaßnahmen leisten können. ISC2 schätzt, dass 95 % der Unternehmen mit weniger als 100 Mitarbeitern überhaupt keine Fachleute für Informations- und Systemsicherheit haben. \r\n\r\nDie Nachfrage nach Cyber-Skills wird sowohl in der Wirtschaft drastisch steigen... \r\n\r\nEs wird erwartet, dass die Umsetzung der NIS-2-Richtlinie die Nachfrage nach Cyber-Fähigkeiten erhöhen wird, insbesondere bei Tätigkeiten im Zusammenhang mit der Bewertung von Cyber-Risiken, dem Management von Schwachstellen und der Berichterstattung, der Reaktion auf Zwischenfälle, der Entwicklung und Pflege von Cybersicherheitsrahmen, der Umsetzung von Sicherheitsmaßnahmen, der Überwachung und Analyse von Cyber-Bedrohungen, dem Sicherheitsmanagement in der Lieferkette sowie Audits und Überprüfungen der Cybersicherheit. Der dringende Bedarf an diesen Fähigkeiten wird den bestehenden Mangel an qualifiziertem Cybersecurity-Personal in Deutschland noch verschärfen - dieser Trend wird durch die Ergebnisse der 2023 Cybersecurity Workforce Study3 von ISC2 deutlich, unter anderem die Entschärfung fehlkonfigurierter Systeme, das Patchen kritischer Systeme, die Durchführung von Risikobewertungen und die Reaktion auf Vorfälle - Bedrohungen, die im Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus dem Jahr 2022 zum Stand der IT-Sicherheit in Deutschland als existenziell bezeichnet werden.  \r\n\r\n... als auch innerhalb der öffentlichen Verwaltung  \r\n\r\nDarüber hinaus zeigt die Studie die Verfügbarkeit von qualifizierten Fachkräften im Bereich der Cybersicherheit auf: Schätzungen zufolge fehlen in Deutschland insgesamt rund 105.000 Arbeitskräfte in diesem Bereich. Darüber hinaus sind nur 44 % der Befragten in Deutschland angemessen auf die Umsetztung der NIS-2-Richtlinie vorbereitet, was auf einen dringenden Bedarf an qualifiziertem Cybersicherheitspersonal hinweist. Nach den jüngsten Berichten des Bundesrechnungshofes (BRH) klagen drei Viertel der deutschen Behörden über einen Mangel an IT-Personal.4  \r\n\r\nDer aktuelle Gesetzentwurf erkennt diesen Bedarf an und enthält mehrere Passagen, in denen die Abhängigkeit von der Qualifikation deutlich wird: \r\n\r\nDie Fähigkeit der Betreiber wichtiger und besonders wichtiger Anlagen (§ 30 Abs. 2) und kritischer Systeme (§ 31), die Mindestmaßnahmen des Risikomanagements zu erfüllen, hängt von einer Reihe von Fähigkeiten ab, an denen es derzeit mangelt, u.a. Risikomanagement, Reaktion auf Vorfälle, Sicherheitsoperationen und Identitäts- und Zugangsmanagement (wir stellen fest, dass Risikobewertung, -analyse und -management bereits die am meisten gefragten Cyber-Fähigkeiten bei Personalverantwortlichen sind). Die Bundesverwaltung stützt sich auch auf die Ausbildung im Bereich der Cybersicherheit, um ihre Aufgaben gemäß den §§ 43 und 45 zu erfüllen. \r\n\r\nDas BSI ist nach § 11 für die Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in Ausnahmefällen, nach § 14 - für die Untersuchung der Sicherheit der Informationstechnik und nach § 15 - für die Erkennung von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden zuständig. Der erweiterte Geltungsbereich des Gesetzentwurfs wird die Nachfrage nach digitaler Forensik und Incident Response - bereits die drittgrößte gemeldete Qualifikationslücke - im öffentlichen und privaten Sektor erhöhen. \r\n\r\nDer Mangel an qualifizierten Cyber-Fachkräften stellt eine erhebliche Bedrohung für die erfolgreiche Umsetzung der NIS-2-Richtlinie in Deutschland dar. Die Lücke zwischen der Nachfrage nach Cybersicherheitsspezialisten und den verfügbaren Arbeitskräften zu schließen, ist zwingend notwendig. Es ist von entscheidender Bedeutung, Cyberfachkräfte in Deutschland zu ermutigen, die für die Einhaltung der NIS-2-Richtlinie erforderlichen spezifischen Fähigkeiten zu erwerben, was konzertierte politische Bemühungen erfordert. \r\n\r\nLösung \r\n\r\nDer Aufbau von Cyber-Fachkräften und -Skills in Deutschland ist entscheidend für die Erfüllung der NIS-2-Ziele \r\n\r\nISC2 empfiehlt den deutschen Entscheidungsträgern, sich darauf zu konzentrieren, die unmittelbare Personal- und Qualifikationslücke in der Cybersicherheitsbelegschaft zu schließen, um die Unternehmen in die Lage zu versetzen, kritische Anforderungen zu erfüllen. Um dies zu erreichen, schlägt ISC2 vor, die bestehenden Leistungen der Agentur für Arbeit, wie Bildungsgutscheine und Qualifizierungsgeld, an die Anforderungen der NIS-2-Umsetzung anzupassen. Während die bestehenden bundesweiten Programme ein guter Anfang sind und Potenzial für Cybersecurity-Schulungen bieten, spricht sich ISC2 für die Einrichtung weiterer staatlich geförderter Aus- und Weiterbildungsprogramme im Bereich Cybersecurity aus, um die Umschulung und Höherqualifizierung von Beschäftigten im verarbeitenden Gewerbe zu verbessern. Die Entwicklung von Qualifikationen und Ausbildung von Arbeitskräften muss priorisiert werden.  \r\n\r\nISC2 schlägt folgende Änderungen am Gesetzentwurf vor: \r\n\r\nWir empfehlen einen nationalen Cybersecurity-Aktionsplan für Fachkräfte in Deutschland. Ein solcher Aktionsplan sollte sich an bestehenden Programmen in Frankreich5 oder den Niederlanden6 orientieren. Wir sind der Meinung, dass diese Initiativen als Beispiel für einen deutschen Cybersecurity Workforce Action Plan dienen könnten, der in einer konzertierten Aktion unter Federführung des Bundesministeriums für Arbeit, des Bundesministeriums für Inneres und Heimat und des Bundesministeriums für Digitales und Verkehr entwickelt werden sollte. Darüber hinaus sollten Strategien entwickelt werden, um die Mobilität der Arbeitskräfte zu verbessern und Cybersecurity-Kompetenzen zu fördern, in engem Dialog mit anderen europäischen Ländern.  \r\n\r\nUm die Arbeitskräfte- und Qualifikationslücken zu verkleinern, fordern wir die Bundesregierung auf, öffentlich-private Partnerschaften auszubauen, die dazu beitragen, die Finanzierung zu sichern und die Entwicklung von Arbeitskräften voranzutreiben, und gleichzeitig solche Initiativen so zu koordinieren, dass sie in Synergie mit den Finanzierungsmöglichkeiten von EU-Programmen wie „Digital Europe“ arbeiten. Während die Cyberagentur ein gutes Beispiel für eine öffentlich koordinierte Anstrengung ist, würden wir empfehlen, dass eine solche Organisation als „One-Stop-Shop“ für die Koordinierung der Ausbildung, Weiterbildung und Koordination von Arbeitskräften innerhalb Deutschlands dienen könnte.  \r\n\r\nDarüber hinaus würden wir die Zusammenarbeit mit internationalen Zertifizierungsstellen fördern. Dies könnte den bürokratischen Aufwand verringern, das Angebot erweitern, die Interoperabilität zwischen den EU-Mitgliedstaaten erleichtern und den Zugang zu den internationalen Märkten für Cybersicherheit verbessern.  \r\n\r\nWir empfehlen, dass die Anerkennung von Personenzertifizierungen zwischen den nationalen Rechtsordnungen harmonisiert wird. Da es sich bei Cybersicherheitsexperten oft um hochqualifizierte Arbeitskräfte handelt, sind wir der Meinung, dass ein rein nationaler Ansatz nicht ausreichen würde, um die Fachkräftelücke zu schließen. Deutschland sollte seine Cyber-Fachkräfte mit europäischen Partnern abstimmen und Tools wie das European Cybersecurity Framework (ECSF) stärker nutzen.  \r\n\r\nIm Rahmen seiner Verpflichtungen gemäß Abschnitt 3 besteht für das BSI bzw. Deutschland die Möglichkeit, innerhalb der in Artikel 14 der NIS-2-Richtlinie eingerichteten Kooperationsgruppe eine Führungsrolle zu übernehmen, von der erwartet wird, dass sie „bewährte Praktiken im Zusammenhang mit der Umsetzung dieser Richtlinie, auch in Bezug auf Fähigkeiten und Kapazitätsaufbau, austauscht”, indem es die Rolle des Informationssicherheitskoordinators wirksam stärkt. In Deutschland könnte dies unserer Ansicht nach durch eine Stärkung der Rolle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit im Bundesministerium des Innern und Heimat erreicht werden. \r\n\r\nIn Deutschland gibt es einen Mangel an Reaktion auf Cybersicherheitsvorfälle. Während der bestehende Gesetzesentwurf den Schwerpunkt auf die Prävention legt, ist die Fähigkeit und Kapazität zur Reaktion auf Vorfälle eine Grundlage für die nationale Cyber-Resilienz und reduziert die Auswirkungen von Cyber-Vorfällen. Wir sind der Meinung, dass verbesserte Meldeverfahren mit einem Schwerpunkt auf dem Aufbau von Fähigkeiten zur Reaktion auf Vorfälle einhergehen sollten. Dies sollte nicht nur für Einrichtungen der kritischen Infrastruktur gelten, sondern auch für Unternehmen. Das „Assured Cyber Incident Response“-Programm7 des britischen National Cyber Security Centre ist ein Beispiel dafür, wie die Regierung diese Branche fördern und stärken kann. \r\n\r\nEine weitere Option könnte darin bestehen, den Umfang der vom BSI angebotenen Personenzertifizierungen zu erweitern oder zu replizieren, um die zur Erfüllung der NIS-2 erforderlichen Aufgaben (Abschnitt 54), insbesondere das Risikomanagement, zu berücksichtigen und die wachsende Nachfrage nach qualifizierten Fachkräften im öffentlichen Dienst und in kritischen Infrastrukturen zu decken.\r\n\r\nISC2 ist der Ansicht, dass diese Änderungen an der Gesetzgebung notwendig und ein wichtiger Schritt in die richtige Richtung sind, um sicherzustellen, dass die Umsetzung der NIS-2-Richtlinie ihr Ziel erreicht, Deutschland zukunftssicher und widerstandsfähig gegen die heutigen Herausforderungen im Bereich Cybersicherheit zu machen. ISC2 würde die Gelegenheit begrüßen, mit den deutschen Behörden zusammenzuarbeiten, um die deutschen Cybersicherheitsfachkräfte zu stärken, was letztendlich zu mehr cybersicheren Produkten und besser geschützten Verbrauchern führen wird. \r\n\r\nÜber ISC2 \r\n\r\nISC2 ist die weltweit größte gemeinnützige Organisation von zertifizierten Cybersicherheitsexperten. Wir haben fast 650.000 Mitglieder, Partner und Kandidaten weltweit und über 60.000 in der EU. Unsere Mitglieder sind zertifizierte Cybersicherheitsexperten, die für den Schutz unserer Regierungen, Volkswirtschaften, kritischen Infrastrukturen und persönlichen Daten verantwortlich sind. "},"recipientGroups":[{"recipients":{"parliament":[{"code":"RG_BT_MEMBERS_OF_PARLIAMENT","de":"Mitglieder des Bundestages","en":"Members of parliament"}],"federalGovernment":[{"department":{"title":"Bundesministerium des Innern und für Heimat (BMI) (20. WP)","shortTitle":"BMI (20. WP)","url":"https://www.bmi.bund.de/DE/startseite/startseite-node.html","electionPeriod":20}}]},"sendingDate":"2024-05-15"}]},{"regulatoryProjectNumber":"RV0007241","regulatoryProjectTitle":"Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz)","pdfUrl":"https://www.lobbyregister.bundestag.de/media/99/8f/750944/Stellungnahme-Gutachten-SG2606050024.pdf","pdfPageCount":4,"text":{"copyrightAcknowledgement":"Die grundlegenden Stellungnahmen und Gutachten können urheberrechtlich geschützte Werke enthalten. Eine Nutzung ist nur im urheberrechtlich zulässigen Rahmen erlaubt.","text":"Zusammenfassung\r\nMit der Einrichtung des 500 Milliarden Euro Sondervermögens der Bundesregierung für Infrastruktur und\r\nKlimaneutralität hat Deutschland seine Absicht signalisiert, die nationale Widerstandsfähigkeit zu stärken.\r\nDies ist ein entscheidender Schritt zur Verbesserung der Rezilienz und der nationalen Sicherheit Deutschlands.\r\nDeutschland ist seit Jahren Ziel von hybrider Einflussnahme durch staatliche und nichtstaatliche Akteure.\r\nHybride Bedrohungen umfassen den kombinierten Einsatz verschiedener Mittel wie Cyberangriffe, gezielte\r\nPropaganda und Desinformation, Sabotage, Spionage, Angriffe auf kritische Infrastrukturen, wirtschaftlicher\r\nDruck und Migration.1 Gleichzeitig ist Deutschland aufgrund des allgemeinen Arbeitskräftemangels und des\r\nMangels an Fachkräften weiterhin einem hohen Risiko für Cyberkriminalität ausgesetzt. Tatsächlich hat die\r\nISC2-Studie „Cybersecurity Workforce Study 2024” einen Mangel an 120.000 Fachkräften im Bereich Cybersicherheit\r\nin Deutschland festgestellt.2\r\nDas KRITIS-Dachgesetz ist ein wesentlicher Bestandteil der gesellschaftlichen Resilienz, der Modernisierung\r\nder Infrastruktur und der gezielten Fachkräfteentwicklung. ISC2 begrüßt die Initiative der deutschen\r\nRegierung und den aktuellen Regierungsentwurf. Wir möchten betonen, wie wichtig eine größtmögliche\r\nKohärenz mit der Umsetzung der NIS-2-Richtlinie ist.\r\nDaher empfehlen wir:\r\n• Behebung des wachsenden Fachkräftemangels\r\nDie Zahl der Fachkräfte im Bereich Cybersicherheit in Deutschland ist auf 439.000 gesunken, was\r\neinem Mangel von 120.000 Fachkräften entspricht.3 ISC2 empfiehlt, bestehende Strukturen für\r\nrollenbasierte Schulungen und Zertifizierungen wie das European Cyber Security Skills\r\nFramework (ECSF) der ENISA4 zur Definition „ausreichender und notwendiger Fähigkeiten”\r\nzu nutzen.\r\n• Cybersicherheit als strategisches und nationales Thema angehen\r\nISC2 empfiehlt, dass die deutsche Bundesregierung bis 2027 eine aktualisierte nationale Cybersicherheitsstrategie\r\nvorlegt, die auch Fachkräfteentwicklung und Kompetenzen mit einbezieht.\r\n1 Siehe Bundesministerium der Verteidigung „Was sind hybride Bedrohungen?“ (https://www.bmvg.de/de/themen/sicherheitspolitik/hybride-bedrohungen/was-sind-hybride-bedrohungen--13692)\r\n2 Siehe ISC2-Studie zur Cybersicherheitsbelegschaft 2024 (https://www.isc2.org/Insights/2024/10/ISC2-2024-Cybersecurity-Workforce-Study)\r\n3 Siehe ISC2-Studie zur Cybersicherheitsbelegschaft 2024 (https://www.isc2.org/Insights/2024/10/ISC2-2024-Cybersecurity-Workforce-Study)\r\n4 Siehe von der ENISA entwickelte Rollen und Kompetenzen im Bereich Cybersicherheit (https://www.enisa.europa.eu/publications/cybersecurity-roles-and-skills-for-nis2-essential-and-important-entities)\r\nStellungnahme: Gesetzentwurf des Bundesministeriums des Innern\r\nzur Umsetzung der Richtlinie (EU) 2022/2557\r\nund zur Stärkung der Widerstandsfähigkeit kritischer Einrichtungen\r\nEine Chance, die Widerstandsfähigkeit kritischer nationaler Infrastrukturen durch qualifizierte\r\nArbeitskräfte in Deutschland zu verbessern\r\n\r\nBewertung des Regierungsentwurfs durch ISC2:\r\nAngesichts der zunehmenden Anzahl, Komplexität und des Ausmaßes hybrider Angriffe in Deutschland ist\r\ndie zeitnahe Umsetzung des KRITIS-Dachgesetzes von entscheidender Bedeutung. ISC2 unterstützt den\r\nallgemeinen Ansatz im Entwurf der Bundesregierung, ist jedoch der Ansicht, dass wichtige Aspekte der\r\nResilienz übersehen werden.\r\nUm sicherzustellen, dass die Umsetzung des KRITIS-Dachgesetzes in Deutschland wirksam ist, empfehlen\r\nwir, die folgenden Aspekte zu berücksichtigen:\r\n- Wir empfehlen, den Gesetzesentwurf zu verschärfen, indem kritische Einrichtungen verpflichtet\r\nwerden, nachzuweisen, dass sie über qualifizierte Fachkräfte verfügen und international anerkannte\r\nStandards für die Validierung und Entwicklung von Cybersicherheitskompetenz anwenden.\r\no Eine klare Bezugnahme auf diese Anforderungen, wie in Artikel 13 der Richtlinie über die Widerstandsfähigkeit\r\nkritischer Einrichtungen (CER) gefordert, würde den Weg zu einem klareren\r\nVerständnis der für bestimmte Funktionen erforderlichen Fähigkeiten ebnen. Außerdem würde\r\ndies eine reibungslose Integration mit den Bestimmungen zu „Ausbildung und Fähigkeiten” der\r\nNIS-2-Richtlinie ermöglichen. Als Beispiel für einen rollenbasierten Ansatz möchten wir die politischen\r\nEntscheidungsträger, auf den von der ENISA definierte European Cybersecurity Skills\r\nFramework (ECSF) verweisen.\r\n- Wir empfehlen, die den Gesetzesentwurf in Verbindung mit der nationalen Cybersicherheitsstrategie\r\nvorzunehmen.\r\no Wir begrüßen zwar die Kooperationsklausel, doch reicht es nicht aus, die intrinsische Verbindung\r\nzwischen Cyber- und physischen Dimensionen nur auf operativer Ebene anzuerkennen.\r\nErforderlich ist eine strategische Verankerung – einschließlich eines einheitlichen, national kohärenten\r\nAnsatzes für den Aufbau und die Weiterentwicklung der Sicherheits- und Cybersicherheitsfachkräfte\r\nsowie ihrer Kompetenzen in Deutschland.\r\nInsgesamt muss die Umsetzung des KRITIS-Dachgesetzes in Deutschland über die Infrastruktur und die\r\nReaktion auf Vorfälle hinausgehen und sich mit der grundlegenden Frage der Sicherheitskapazitäten befassen\r\n– den Menschen und Fähigkeiten hinter den Systemen und Prozessen. Mit einer kohärenten nationalen\r\nStrategie und nachhaltigen Investitionen kann Deutschland sicherstellen, dass seine Cybersicherheit\r\nund sein Sicherheitspersonal zu einem wichtigen Faktor für digitale Souveränität, Innovation und wirtschaftliche\r\nWiderstandsfähigkeit werden.\r\nUnsere Empfehlungen im Detail\r\n1. Vollständige Umsetzung von Artikel 13 Absatz 1 Buchstabe f der EU-CER-Richtlinie, der\r\nkritische Einrichtungen verpflichtet, angemessene Ausbildungsanforderungen und Qualifikationen\r\nfestzulegen.\r\nParagraf 13 Absatz 3 Nummer 5 des aktuellen Entwurfs verlangt lediglich ein „angemessenes Sicherheitsmanagement\r\nhinsichtlich der Mitarbeitenden zu gewährleisten, einschließlich des Personals\r\nexterner Dienstleister”, was die Gefahr einer uneinheitlichen Bewertung und Entwicklung von Cybersicherheitskompetenzen\r\nbirgt. Um einheitliche Standards zu gewährleisten und den Cybersicherheitssektor\r\n\r\nzu professionalisieren, empfehlen wir die Verwendung einer klaren, kompetenzspezifischen Definition,\r\ndie einerseits einen klaren Rahmen bietet, aber auch Flexibilität zum Lernen und Anpassen lässt.\r\nPunkt 5 sollte folgenden Wortlaut haben:\r\n[...] ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeitenden zu gewährleisten,\r\neinschließlich des Personals externer Dienstleister, und die Festlegung angemessener Schulungsanforderungen\r\nund Qualifikationen.\r\nBegründung:\r\nDer Entwurf hält hilfreich fest, dass für Betreiber, die sowohl das KRITIS-Dachgesetz als auch das NIS2UmsuCG\r\neinhalten, Systeme nach einem Allgefahrenansatz entwickelt werden sollten, der gleichzeitig die Widerstandsfähigkeit\r\nvon IT-Systemen und physischen Komponenten berücksichtigt. Ein kompetenzbasierter\r\nAnsatz sollte für beide Gesetze gelten, da Betreiber wahrscheinlich Risikomanagementmaßnahmen als Teil\r\neines einzigen Systems umsetzen werden, einschließlich Schulungen und Kompetenzentwicklung.\r\nWir empfehlen dringend einen Mentalitätswandel von anwendungsspezifischen Anforderungen hin zu kompetenzspezifischen\r\nFähigkeiten. Ein solcher kompetenzbasierter Ansatz steht nicht im Widerspruch zu künftigen\r\nsektorspezifischen Resilienzstandards, da der Schwerpunkt auf relevanten Kenntnissen und Fähigkeiten\r\nliegt, die kalibriert werden können.\r\nAus der Perspektive der in der NIS-2-Richtlinie genannten Cybersicherheitsschulungen bieten internationale\r\nund europäische Frameworks bereits eine Referenz. Die ENISA bietet durch ihre Zuordnung des ECSF\r\nzu den Anforderungen der NIS-2-Richtlinie Klarheit, wie im Dokument „Cybersecurity Roles and Skills for\r\nNIS2 Essential and Important Entities” dargelegt. Darin werden die Cybersicherheitsrollen beschrieben, die\r\nzur Erfüllung der Anforderungen der NIS-2-Richtlinie erforderlich sind. Die Verwendung von Qualifikationen,\r\ndie den ECSF-Rollen entsprechen, ermöglicht vergleichbare Standards über Sektoren und Mitgliedstaaten\r\nhinweg, was für eine harmonisierte Anwendung der NIS-2-Richtlinie und die EU-weite Cyberresilienz und\r\nMobilität qualifizierter Cybersicherheitsfachkräfte von entscheidender Bedeutung ist.\r\nISC2 betont, dass Schulungen spezifische Kompetenzen behandeln und auf ihre Wirksamkeit überprüft,\r\nwerden sollten, beispielsweise durch berufliche Qualifikationen. ISC2 fordert die politischen Entscheidungsträger\r\ndazu auf, Wirtschaft und Verwaltung zu verpflichten, dass sie berufliche Qualifikationen verwenden,\r\ndie mit weltweit anerkannten Standards wie ISO/IEC 17024 übereinstimmen, um sicherzustellen, dass Personen,\r\ndie diese Rollen ausüben, über die erforderlichen Kompetenzen verfügen.\r\n2. Die Aktualisierung des KRITIS-Dachgesetz sollte in Verbindung mit der nationalen Cybersicherheitsstrategie\r\nerfolgen\r\nWir begrüßen die Verpflichtung der Regierung, die nationale Strategie zum Schutz kritischer Infrastrukturen\r\nvon 2009 zu aktualisieren und zu erweitern.5 Ohne eine kohärente und gemeinsame Strategie bleiben die\r\nBemühungen fragmentiert, reaktiv und sind nicht in der Lage, mit der Geschwindigkeit und dem Ausmaß\r\nder sich entwickelnden Bedrohungen Schritt zu halten. Im Interesse der Kohärenz und Effizienz sollte die\r\n5 Siehe Bundesministerium des Innern „Nationale Strategie zum Schutz Kritischer Infrastrukturen“ (https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/BMI09324-\r\nkritis-strategie.html)\r\n\r\nnationale KRITIS-Resilienzstrategie in Abstimmung und parallel zur nationalen Cybersicherheitsstrategie\r\nkonzipiert werden, wie dies bereits in Artikel 7 der NIS-2-Richtlinie vorgeschrieben ist.6\r\nEine aktualisierte, übergreifende nationale Cybersicherheitsstrategie, die auf klaren Zielen basiert, mit europäischen\r\nStandards im Einklang steht und unter breiter Einbeziehung der Interessengruppen entwickelt\r\nwurde, würde den notwendigen Bezugspunkt für kohärentes Handeln bieten und sicherstellen, dass die\r\nUmsetzung der NIS-2-Richtlinie und des KRITIS-Dachgesetz zu einer dauerhaften Widerstandsfähigkeit\r\nführt.\r\nDies wird dazu beitragen, strategische Ziele und politische Maßnahmen zur Stärkung der IT- und physischen\r\nSicherheit in kritischen Sektoren zu definieren, wobei ein besonderer Schwerpunkt auf dem Aufbau\r\nvon Kapazitäten und der nationalen Talentförderung liegt.\r\nWie könnte dieser strategische Ansatz aussehen?\r\no Die Professionalisierung der Cybersicherheits- und Sicherheitsfachkräfte sollte als prioritäres\r\nQuerschnittsthema in der Bildungs-, Arbeitsmarkt- und Sozialpolitik verankert werden\r\n– über die reine Digital- und Sicherheitspolitik hinaus.\r\no Ausbildungsanbieter (z. B. die Bundesagentur für Arbeit) sollten mit der Wirtschaft zusammenarbeiten,\r\num relevante Programme und Qualifikationen anzubieten.\r\no Die Angleichung an die rollenbasierten Qualifikationen des ECSF in den Einstellungsrahmen\r\ndes öffentlichen Dienstes (TVöD), in den Lehrplänen von Hochschulen und Berufsschulen\r\nsowie in der Personalpolitik des privaten Sektors wird international anerkannte und\r\nqualifizierte Fachkräfte im Bereich Cybersicherheit sichern.\r\no Öffentliche Mittel sollten zweckgebunden eingesetzt werden, um Organisationen, insbesondere\r\nkleinen und mittleren Unternehmen, den Aufbau von Cybersicherheitskompetenzen\r\nzu ermöglichen. Der Schwerpunkt sollte auf spezialisierten Funktionen sowie auf der\r\nWeiterqualifizierung und Ausbildung in Einstiegspositionen liegen, um eine solide Talentbasis\r\naufzubauen.\r\nÜber ISC2\r\nISC2 ist die weltweit größte Non-Profit-Organisation für zertifizierte Cybersicherheitsfachkräfte mit über\r\n265.000 Mitgliedern – darunter 60.000 in Europa und 4.600 in Deutschland. Unsere international anerkannten\r\nZertifizierungen sind ISO/IEC 17024-akkreditiert und eng mit dem EU Cybersecurity Skills Framework\r\n(ECSF) verknüpft. Mit Programmen wie die Beteiligung an der EU Cyber Skills Academy, die 20.000 Menschen\r\nin Europa den kostenfreien Einstieg in die Cybersicherheit ermöglicht, setzen wir uns gezielt für die\r\nFörderung von Kompetenzen ein. Unsere Mitglieder sind zertifizierte Cybersicherheitsexperten, die für den\r\nSchutz unserer Regierungen, Volkswirtschaften, kritischen Infrastrukturen und persönlichen Daten verantwortlich\r\nsind.\r\n6 Siehe Artikel 7 der Richtlinie (EU) 2022/2555 (https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:02022L2555-20221227&amp;qid=1754901247047)"},"recipientGroups":[{"recipients":{"parliament":[{"code":"RG_BT_MEMBERS_OF_PARLIAMENT","de":"Mitglieder des Bundestages","en":"Members of parliament"}],"federalGovernment":[{"department":{"title":"Bundesministerium des Innern (BMI)","shortTitle":"BMI","url":"https://www.bmi.bund.de/DE/startseite/startseite-node.html","electionPeriod":21}}]},"sendingDate":"2025-11-28"}]}]},"contracts":{"contractsPresent":false,"contractsCount":0,"contracts":[]},"codeOfConduct":{"ownCodeOfConduct":false}}