„Inwiefern die Kommunalverwaltung vom NIS2UmsuCG betroffen sind obliegt der näheren Ausgestaltung durch die Bundesländer. Es ist wichtig zu unterstreichen, dass Bund und Länder grundsätzlich in der Verantwortung stehen, nicht zuletzt vor dem Hintergrund der zunehmenden Anzahl ebenenübergreifender Verfahren, für ein möglichst hohes Maß an Sicherheit auf der kommunalen Ebene zu sorgen. Davon hängt das Gelingen der Digitalisierung und auch das Vertrauen der Bürgerinnen und Bürger in die staatlichen Kompetenzen ab. Die steigende Anzahl von Angriffen auf die IT-Infrastruktur hat auch bei kommunalen Verwaltungen gerade in letzter Zeit deutlich vor Augen geführt, welche Sicherheitsrisiken bestehen und welche Folgekosten aus Angriffen, Handlungsunfähigkeit und Widerinstandsetzung der betroffenen Systeme in Städten und Gemeinden resultieren können.
Das erforderliche Schutzniveau kann keine kommunale Einheit allein auf sich gestellt erreichen. Über Landesgrenzen hinaus international agierende Hackergruppen lassen sich weder organisatorisch durch Zuständigkeits- noch geografisch durch Ländergrenzen aufhalten. Ein gemeinsames Vorgehen der politischen Ebenen setzt klare Absprachen und einen möglichst engmaschigen und umfangreichen Informationsaustausch, transparente Notfallpläne, abrufbare Einsatzteams und Übungsszenarien für Krisenfälle voraus. Hier muss eine gesamtstaatliche Strategie im Sinne der vom BSI ausgerufenen "Cybernation" unter strikter Einhaltung der Konnexitätsgrundsätze greifen. Ziel muss es sein, die Kommunen auf ein stabiles Maß im Hinblick auf Finanzmittel, Fachpersonal, Kapazitäten und Kooperationen zu bringen. Wichtig ist nicht zuletzt, dass wir gemeinsam daran arbeiten, eine möglichst homogene Landschaft bei der Informationssicherheit zu etablieren.
Aktuell bestehen keine bundesweit einheitlichen Vorgaben bezüglich der IT-Sicherheit auf kommunaler Ebene. Ebenso gibt es keine einheitlichen Meldepflichten zu IT-Sicherheitsvorfällen in Städten und Gemeinden. Für eine realistische Teilhabe der Kommunen an einer soliden Sicherheitsinfrastruktur wird es maßgeblich darauf ankommen, möglichst wenig zusätzliche Aufwände für Städte und Gemeinden zu generieren. Kooperationen und Standards, harmonisierte Meldeketten und ein dauerhaft hoher Informationsaustausch müssen das Silodenken ablösen.
Aus kommunaler Perspektive ist die NIS2-Richtline eine wichtige Initiative, um die Cybersicherheit in der EU zu verbessern und zu stärken. Die Kommunen brauchen ein solides Gerüst mit praktikablen Lösungen und zwingend finanzielle Mittel, um sowohl für die Bürgerinnen und Bürger und für die Verwaltung vor Ort alle notwendigen Maßnahmen zu ergreifen als auch dafür, einen wesentlichen Beitrag zu einer kollektiven Sicherheit im Sinne der NIS2-Richtlinie leisten zu können. Die Kommunen sind hierbei zwingend auf die finanzielle und organisatorische Unterstützung der Länder angewiesen.“