Die NIS2-Richtlinie der EU soll ein hohes, gemeinsames Cyber-Sicherheitsniveau schaffen – doch wer überwacht die Umsetzung? Derzeit setzen viele Länder bei Sicherheitsprüfungen auf private, „qualifizierte Stellen“ (zertifizierte Prüfunternehmen). Diese Delegation von Cybersecurity-Audits an die Privatwirtschaft birgt erhebliche Risiken. Manipulationsmöglichkeiten entstehen, wenn prüfende Firmen von den zu prüfenden Unternehmen bezahlt werden und dadurch in ihrer Unabhängigkeit beeinträchtigt sind. Preisabsprachen und Marktverzerrungen drohen, da voraussichtlich nur wenige große Beratungsunternehmen (etwa große Wirtschaftsprüfungs- und Beratungsfirmen) diese Rolle einnehmen – ein Oligopol, das die Kosten für verpflichtende Audits diktieren könnte. Interessenskonflikte sind vorprogrammiert: Dieselben Beratungsriesen beraten viele Unternehmen und sollen nun deren Sicherheit zertifizieren, was Fragen nach Objektivität und strikter Prüfung aufwirft.

Ein Vergleich mit der DSGVO (Datenschutz-Grundverordnung) zeigt strukturelle Parallelen. Dort wurden ambitionierte Vorgaben gemacht, doch unterbesetzte Aufsichtsbehörden kämpften mit der Durchsetzung. Fünf Jahre nach Inkrafttreten der DSGVO lautet ein Fazit: „Jede Verordnung ist nur so gut wie ihre Durchsetzung“ – und gerade in Deutschland agierten Datenschutzbehörden „zu langsam, zu zaghaft und nicht konsequent genug“ ​netzpolitik.org. Ohne starke, unabhängige Kontrolle droht auch NIS2 ins Leere zu laufen. Experten wie Dr. Johnny Ryan konstatieren, ein Gesetz ohne robuste Durchsetzung sei ein „Fantasieprodukt“, dessen Potenzial ungenutzt bleibt​ dr-datenschutz.de.

Die Lösung: eine unabhängige, staatliche Prüfinstanz für Cyber-Sicherheit. Analog zur Datenschutzbehörde (DSB) braucht es eine zentrale Stelle, die Sicherheitsprüfungen koordiniert oder selbst durchführt, Sicherheitsvorfälle systematisch auswertet und so Transparenz und digitale Souveränität gewährleistet. Diese Behörde – z.B. die nationale Cyber-Sicherheitsbehörde (etwa das BSI in Deutschland) in wirklich unabhängiger Ausgestaltung – muss ausreichend Ressourcen erhalten, um zehntausende betroffene Unternehmen effektiv zu überwachen. Nur so lassen sich die Ziele von NIS2 erreichen, ohne die Kontrolle über die Cyber-Sicherheit kritischer Infrastruktur und wichtiger Unternehmen de facto an private Großkonzerne auszulagern.

Kurz gefasst: Politische Entscheidungsträger sollten die Umsetzung von NIS2 nutzen, um eine staatliche Prüfinfrastruktur aufzubauen. Staatlich veranlasste Audits – durchgeführt mit eigener Expertise oder unter strenger Aufsicht – stellen sicher, dass objektiv, einheitlich und ohne Interessensverflechtung geprüft wird. Eine solche Lösung schützt vor Manipulation und schafft Vertrauen. Sie ermöglicht es außerdem, Erkenntnisse aus allen Prüfungen und gemeldeten Sicherheitsvorfällen zentral zu sammeln. Dieses Wissen stärkt die digitale Souveränität Europas, da Regulierer Trends erkennen, gezielt nachsteuern und Abhängigkeiten von externen Prüfern reduzieren können. Der folgende Bericht analysiert detailliert die Risiken der aktuellen Prüfpraxis und skizziert konkrete Vorschläge für eine unabhängige staatliche Lösung.

Einführung: NIS2 – Europas neue Cyber-Sicherheitsrichtlinie

Die am 27. Dezember 2022 im EU-Amtsblatt veröffentlichte NIS2-Richtlinie (EU) 2022/2555 ist ein Kernstück der europäischen Cyber-Sicherheitsstrategie. „NIS“ steht für Network and Information Security – die Richtlinie zielt darauf ab, in allen Mitgliedstaaten ein hohes gemeinsames Sicherheitsniveau für Netzwerke und Informationssysteme zu erreichen ​eur-lex.europa.eu​eur-lex.europa.eu. NIS2 ist die Nachfolgerin der ersten NIS-Richtlinie von 2016 und erweitert den Geltungsbereich deutlich. Erstmals werden nun neben Betreibern kritischer Infrastrukturen (Energie, Wasser, Gesundheit, etc.) auch eine Vielzahl weiterer „wesentlicher“ und „wichtiger“ Unternehmen erfasst, etwa große Mittelständler aus Sektoren wie Ernährung, Digitalisierung, Finanzmarkt, Abfallwirtschaft und mehr. Schätzungen zufolge fallen EU-weit über 100.000 Organisationen unter NIS2 ​ey.com. Allein in Deutschland rechnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit rund 29.500 betroffenen Unternehmen​ netzpolitik.org – viele davon sind sich ihres neuen Status noch gar nicht bewusst.

Die Richtlinie verpflichtet diese Unternehmen zu umfassenden IT-Risikomanagement-Maßnahmen und setzt Meldepflichten für Sicherheitsvorfälle fest. Bei Verstößen drohen erhebliche Bußgelder (in der Größenordnung von bis zu 10 Mio. € oder 2 % des Jahresumsatzes, in schweren Fällen sogar bis 20 Mio. € bzw. 4 % Umsatz) ähnlich der DSGVO. Kurz: NIS2 soll sicherstellen, dass kritische Dienste und große Unternehmen ihre IT besser absichern und Behörden im Ernstfall schnell informiert werden ​netzpolitik.org.

Eine entscheidende Frage ist jedoch: Wer kontrolliert die Einhaltung dieser Vorgaben? Die Richtlinie selbst spricht von „zuständigen Behörden“, die jedes Land benennen muss, um die Umsetzung zu überwachen. In Deutschland etwa wird dies primär das BSI sein, in anderen Ländern entsprechende Cyber-Sicherheitsagenturen oder Sektor-Regulierer (z.B. die Finanzaufsicht für Banken). Allerdings gesteht NIS2 auch zu, dass Aufsichtsmaßnahmen wie Sicherheitsaudits nicht unbedingt von der Behörde selbst durchgeführt werden müssen – sie können ebenso von „unabhängigen Stellen“ erfolgen​ eur-lex.europa.eu. Genau hier beginnt das Problem: Diese unabhängigen Stellen sind in der Praxis private Prüf- und Beratungsunternehmen, die als „qualifizierte Stellen“ zugelassen werden. Bereits die erste NIS-Richtlinie ließ in einigen Ländern solche Konstruktionen zu. In Österreich z.B. verpflichtet das NIS-Gesetz 2018 Betreiber wesentlicher Dienste, die Wirksamkeit ihrer Sicherheitsmaßnahmen „durch qualifizierte Stellen“ nachweisen zu lassen ​kpmg.com. KPMG Österreich etwa rühmt sich, als geprüfte QuaSte diese Audits „ab sofort“ durchführen zu können​ kpmg.com. Ähnlich wurden in Deutschland seit 2018 diverse Firmen vom BSI als Prüfer anerkannt (etwa große Sicherheitsberatungen), um Audits bei KRITIS-Betreibern durchzuführen.

Mit NIS2 wird dieser Ansatz tendenziell ausgebaut: Regelmäßige Sicherheitsprüfungen („regular and targeted security audits“) können laut Richtlinientext von einer unabhängigen Stelle durchgeführt werden​ eur-lex.europa.eu. Die Ergebnisse müssen der Behörde vorgelegt werden, aber die Kosten trägt das geprüfte Unternehmen selbst ​eur-lex.europa.eu. De facto etabliert sich also ein Markt für NIS2-Audits, in dem Unternehmen externe Prüfdienstleister beauftragen (müssen), um Compliance nachzuweisen. Für bestimmte Kategorien (kritische Einrichtungen) dürften Pflicht-Audits alle paar Jahre kommen​ openkritis.de, während bei anderen stichprobenhafte Kontrollen reichen sollen.

Diese Auslagerung der Prüfkompetenz an Private ist nun Gegenstand unserer Kritik. Im Folgenden analysieren wir, welche Risiken damit verbunden sind und warum das erklärte Ziel – ein hohes Cybersicherheitsniveau – dadurch konterkariert werden könnte. Wir ziehen dabei eine Parallele zur DSGVO und zeigen, dass Europa eine vergleichbar starke Institution wie die Datenschutzaufsicht für den Bereich Cyber-Sicherheit benötigt, um NIS2 zum Erfolg zu führen.

Delegation an private „qualifizierte Stellen“: Risiken und Nebenwirkungen

Die Idee, externe Fachfirmen mit Sicherheitsprüfungen zu betrauen, mag auf den ersten Blick pragmatisch erscheinen – schließlich können Behörden nicht jeden der zigtausend Fälle selbst prüfen. Doch die Auslagerung behördlicher Kernaufgaben birgt erhebliche Gefahren. Im Einzelnen entstehen durch die Delegation an private qualifizierte Stellen folgende Problemfelder:

• Manipulationsmöglichkeiten & fehlende Unabhängigkeit: Wenn Unternehmen ihren Prüfer selbst bezahlen und auswählen, leidet die Objektivität der Prüfung. „Prüfer werden von den zu Überprüfenden bezahlt“, beschreibt es der Finanzexperte Gerhard Schick plastisch ​deutschlandfunk.de. Das kenne man aus der Finanzwelt: Wirtschaftsprüfer wollen sich Anschlussaufträge nicht verscherzen und neigen dazu, ihrem Auftraggeber gegenüber gefällig aufzutreten ​deutschlandfunk.de. Übertragen auf Cybersecurity bedeutet das: Ein Prüfdienstleister, der von Firma X bezahlt wird, hat einen Anreiz, das Prüfungsergebnis nicht allzu „streng“ ausfallen zu lassen, um den Kunden zu halten. Manipulation muss nicht als offene Bestechung ablaufen – oft genügt unterbewusster Bias oder die Bereitschaft, Mängel wohlwollend zu interpretieren. Die Unabhängigkeit, die eine staatliche Kontrolle hat, ist hier gefährdet. Im schlimmsten Fall könnten Unternehmen sich den Prüfer aussuchen, der am wenigsten kritisch hinschaut – ein klassischer Fall von „Den Bock zum Gärtner machen“.
• Preisabsprachen & Kostenexplosion: Ein verpflichtender Audit-Markt, in dem nur wenige Anbieter tätig sind, lädt zu kartellähnlichen Strukturen ein. Große Prüffirmen könnten sich informell absprechen oder zumindest aneinander orientieren, sodass die Auditkosten für Unternehmen hoch bleiben. Schon jetzt ist absehbar, dass KMU und kommunale Betriebe finanziell überfordert werden könnten, wenn sie teure externe Sicherheitszertifizierungen bezahlen müssen – eine Sorge, die Verbände wie der VDMA bereits in der Entstehungsphase von NIS2 äußerten​ autlook.at​autlook.at. Kommt es hier zu Preisabsprachen oder fehlt echter Wettbewerb, zahlen am Ende alle betroffenen Firmen (und indirekt Verbraucher) unnötig drauf. Monopole oder Oligopole bei Prüfstellen sind außerdem innovationsfeindlich: Es gibt wenig Anreiz, effizientere oder günstigere Prüfmethoden zu entwickeln, wenn man den Markt unter sich aufteilt.
• Marktverzerrung zugunsten großer Beratungsunternehmen: Die Akkreditierung als „qualifizierte Stelle“ erfordert umfangreiche fachliche, personelle und organisatorische Voraussetzungen. Kleinere Cybersecurity-Beratungen oder einzelne Sachverständige haben hier oft das Nachsehen gegenüber den großen Beratungs- und Prüfkonzernen, die über das nötige Kapital und Personal verfügen. Dadurch dominieren marktmächtige Unternehmen die Prüfszene – oft dieselben „Big Four“ und internationale Beratungsfirmen, die schon im Finanz- und Unternehmensberatungssektor tonangebend sind. Ein Branchenkenner nannte die vier größten Wirtschaftsprüfer gar „das dümmste Oligopol der Welt“ ​finance-magazin.de – ein zugespitzter Hinweis darauf, dass ihre Marktmacht groß ist, aber nicht unbedingt zum Besten der Qualität genutzt wird. Wenn nun im Cybersecurity-Bereich eine ähnliche Marktkonzentration entsteht, haben Newcomer und spezialisierte Nischenanbieter kaum Chancen. Die Vielfalt an Ansätzen und die Konkurrenz um die besten Lösungen könnte schwinden. Letztlich entscheiden dann einige wenige Großprüfer, was als „sicher“ gilt – eine enorme Machtposition, die den Markt verzerrt.
• Interessenkonflikte und Vetternwirtschaft: Große Beratungsunternehmen bieten ein breites Leistungsspektrum an – von Managementberatung über IT-Integration bis hin zu Cloud-Diensten. Es ist leicht vorstellbar, dass solche Firmen gleichzeitig Sicherheitsaudits anbieten und Beratungsprojekte bei denselben Kunden durchführen. Beispiel: Firma Y berät ein Krankenhaus bei der Einführung eines neuen IT-Systems und fungiert später als dessen NIS2-Prüfstelle. Wird sie die eigenen Implementierungen kritisch prüfen? Oder eine andere Variante: Prüfgesellschaft Z zertifiziert die Sicherheitsmaßnahmen einer Bank, während ein anderer Geschäftsbereich von Z der Bank Software verkauft. Solche Überschneidungen gefährden die Neutralität massiv. Selbst wenn personell getrennt, bleibt innerhalb eines Konzerns oft die gleiche Geschäftsstrategie – man kennt sich, man ist wirtschaftlich verflochten. Ohne glasklare Regeln und eine unabhängige Instanz, die darüber wacht, entstehen hier Interessenskonflikte en masse. Die Vergangenheit lehrt, dass in solchen Situationen Skandale nicht fern sind: Beim Finanzdienstleister Wirecard etwa hat der beauftragte Prüfer jahrelang Unregelmäßigkeiten übersehen – mit verheerenden Folgen. Im Nachgang wurde deutlich kritisiert, dass die Prüfer als Berater „zu nah dran“ waren und zu wenig Skepsis aufbrachten​ deutschlandfunk.de. Auch im Bereich IT-Sicherheit könnten Prüfer dazu neigen, lieber formale Häkchen zu setzen, anstatt unbequem Alarm zu schlagen – vor allem, wenn es um einen langjährigen Großkunden geht.

Zusammengefasst besteht die Gefahr, dass das Kontrollsystem selbst zur Schwachstelle wird. Eigentlich soll NIS2 Schwachstellen in Firmen-IT beheben – aber wenn die Prüfer nicht unabhängig und kompetent agieren, können Sicherheitslücken unentdeckt bleiben oder Meldungen geschönt werden. Zudem fehlt der gesellschaftliche Mehrwert, den eine staatliche Stelle bieten würde: Private Prüfberichte wandern in Unternehmensschubladen und bei den Aufsichtsbehörden eventuell in Einzelfallakten. Eine aggregierte Auswertung, Veröffentlichung von Branchentrends oder eine transparente Benennung typischer Mängel – all das passiert eher nicht, wenn die Prüfungen vollkommen privat ablaufen. Genau solche Transparenz wäre aber nötig, um gesamtgesellschaftlich Lerneffekte zu erzielen (dazu später mehr im Abschnitt über die unabhängige Prüfinstanz).

Strukturelle Schwächen: Lehren aus der DSGVO-Aufsicht

Ein Blick auf die Datenschutz-Grundverordnung zeigt, was passieren kann, wenn ambitionierte Regulierungen auf unzureichende Kontrollkapazitäten treffen. Die DSGVO trat 2018 mit großem Anspruch in Kraft – ähnlich wie NIS2 sollten alle Unternehmen verbindliche Regeln einhalten, sanktioniert von starken Behörden. Doch in der Praxis offenbarte sich schnell eine Vollzugsdefizit:

Wie treffend formuliert wurde, ist „jede Verordnung nur so gut wie ihre Durchsetzung“​ netzpolitik.org. Im Fall der DSGVO ist diese Durchsetzung bis heute vielfach mangelhaft. Datenschutzbehörden in Europa – oft chronisch unterfinanziert – kamen mit der Flut an Beschwerden und Fällen nicht hinterher. Die österreichische NGO noyb (angeführt von Max Schrems) stellte nach hunderten Beschwerden ernüchtert fest, die Ämter agierten „zu langsam, zu zaghaft und nicht konsequent genug“​ netzpolitik.org. In Deutschland etwa haben die Aufsichtsbehörden in den ersten Jahren weder durch flächendeckende Kontrollen noch durch empfindliche Strafen besonders von sich reden gemacht​ netzpolitik.org. Unternehmen merkten schnell, dass das Risiko, erwischt und sanktioniert zu werden, überschaubar ist – zumal unterschiedliche Auslegungen in den Bundesländern herrschten und man Behörden gegeneinander ausspielen konnte​ netzpolitik.org.

Ein zentrales Problem waren Ressourcenengpässe. Viele Behörden klagten über zu wenig Personal, fehlende technische Experten und geringe Budgets – und das trotz der Vorgabe in Art. 52(4) DSGVO, dass jeder Mitgliedstaat seine Behörde ausreichend ausstatten MUSS​ dr-datenschutz.de. Dr. Johnny Ryan, ein ausgesprochener Kritiker schwacher DSGVO-Durchsetzung, formulierte es so: „Ohne robuste Durchsetzung und Investitionen ist dieses Gesetz eine Fantasie. Wir haben das Potenzial der DSGVO bislang nicht ausgeschöpft.“​ dr-datenschutz.de. Die Schuld sieht er nicht bei den Datenschutzbehörden selbst, sondern bei den Regierungen, die sie unzureichend unterstützen​ dr-datenschutz.de.

Was bedeutet das für NIS2? Zum einen zeigt es, dass ambitionierte Anforderungen wirkungslos bleiben, wenn die Kontrolle schwach ist. Wenn zehntausende Unternehmen neue Cyber-Mindeststandards erfüllen sollen, aber nur ein Dutzend Prüfer im Amt sich darum kümmern kann, werden viele Schlupflöcher suchen – zumal Cybersecurity ein komplexes Feld ist, in dem Behörden Know-how erst aufbauen müssen. Schon heute ist das BSI (als deutsche Cyber-Behörde) mit vielfältigen Aufgaben betraut, von Warndiensten bis Zertifizierungen, und stöhnt unter Fachkräftemangel im öffentlichen Dienst. NIS2 weitet den Pflichtenkreis stark aus – ohne deutliche Aufstockung droht ähnliches wie bei der DSGVO: Viel Papier, wenig Praxis.

Zum anderen illustriert die DSGVO-Erfahrung, dass unabhängige staatliche Kontrolleure zumindest keine kommerziellen Eigeninteressen verfolgen – dennoch haben selbst diese oft nicht die nötige Durchsetzungsschärfe gezeigt. Wenn man nun bei NIS2 noch eine Stufe weitergeht und die Prüfung teilweise privatisiert, multiplizieren sich die Risiken. Was langsam arbeitende Behörden sind, ist schlecht – aber befangene oder profitorientierte Prüfer wären noch fataler.

Ein weiterer Schwachpunkt der DSGVO-Umsetzung war die Uneinheitlichkeit und Intransparenz: Unterschiedliche Länder vollzogen unterschiedlich streng, Berichte wurden teils nicht veröffentlicht​ netzpolitik.org​netzpolitik.org. Für NIS2 besteht hier eine Parallele: die Richtlinie muss in jedem Mitgliedstaat umgesetzt werden, und schon jetzt zeichnet sich ab, dass die Strukturen variieren. In Deutschland etwa soll das BSI federführend sein, aber auch Sektorbehörden (BaFin, Bundesnetzagentur etc.) bleiben involviert ​netzpolitik.org. Einige Behörden werden evtl. stärker auf externe Prüfer setzen als andere. Die Folge könnten unterschiedliche Sicherheitsniveaus sein – was der Idee eines einheitlichen EU-Standards widerspricht. Bei Datenschutz versucht man dies mittlerweile mit dem Europäischen Datenschutzausschuss (EDSA) aufzufangen, der nationale Behörden koordiniert und gemeinsame Beschlüsse fasst. Im Cyber-Bereich wird die EU-Agentur ENISA eine gewisse Guidance liefern, doch die eigentliche Prüfpraxis könnte dennoch stark fragmentiert bleiben.

Lehrreich ist auch der „Irland-Effekt“ der DSGVO: Große Technologiefirmen suchten sich bewusst das Land mit der laxesten Behörde als Hauptsitz, um mildere Kontrolle zu genießen ​netzpolitik.org​ netzpolitik.org. Analog dazu könnten manche Konzerne nun überlegen, Standorte in Länder zu legen, wo NIS2 weniger streng exekutiert wird – zum Beispiel, wenn dort Prüfungen eher auf dem Papier erfolgen oder Behörden mangels Ressourcen alle paar Jahre nur pro forma kontrollieren. Das wäre eine Wettbewerbsverzerrung zulasten jener Staaten, die streng und transparent prüfen.

Kurz: Die DSGVO hat die Bedeutung starker, personell gut ausgestatteter und unabhängiger Behörden unterstrichen. Ohne sie bleiben Regeln wirkungslos. NIS2 darf nicht denselben Fehler wiederholen, indem man die essenzielle Kontrollfunktion outsourct, ohne für stringente Qualität zu sorgen. Im nächsten Abschnitt wird daher skizziert, wie eine unabhängige, staatliche Prüfinstanz aussehen könnte, die diese Fehler vermeidet und sowohl die Schwächen rein privater Audits als auch die der klassischen Behördenüberforderung adressiert.

Warum eine unabhängige staatliche Prüfinstanz nötig ist

Statt sich auf private Prüfdienstleister zu verlassen, sollte die Politik eine unabhängige staatliche Prüfinfrastruktur für die Cybersicherheit schaffen. Dieses „Cyber-Audit-Behörde“–Modell wäre vergleichbar mit einer Datenschutzbehörde, jedoch fokussiert auf IT-Sicherheit. Wesentliche Gründe und Vorteile:

1. Gewährleistung echter Unabhängigkeit: Eine öffentliche Stelle, die nicht in Geschäftsbeziehungen zu den zu prüfenden Unternehmen steht, kann wirklich neutral agieren. Ihre Mitarbeiter werden vom Staat bezahlt, nicht vom Prüfling. Damit entfällt der oben beschriebene wirtschaftliche Interessenkonflikt. Ein staatlicher Prüfer hat kein Motiv, ein Auge zuzudrücken, um einen Auftrag zu verlängern – im Gegenteil, sein Auftrag ist das öffentliche Interesse: Sicherheitsrisiken aufzudecken und zu reduzieren. Voraussetzung ist freilich, dass die Behörde institutionell unabhängig aufgestellt ist, damit keine politischen Erwägungen oder Lobbyeinflüsse Prüfberichte schönen. Hier könnte man vom Koalitionsvertrag der deutschen Bundesregierung lernen, der eine unabhängige Aufstellung des BSI forderte​bundestag.de – also Herauslösung aus ministeriellen Hierarchien. Eine weisungsfreie Cyber-Sicherheitsbehörde analog zur DSB würde integren, unbeeinflussten Prüfungen den Rücken stärken.
   
2. Aufbau zentraler Fachkompetenz und einheitlicher Standards: Ein zersplitterter Prüfmarkt führt womöglich zu unterschiedlichen Bewertungsmaßstäben. Wenn jedoch eine zentrale Stelle (oder ein koordiniertes Netzwerk nationaler Stellen in der EU) zuständig ist, kann sie einheitliche Prüfkriterien entwickeln und für alle zugrunde legen. Eine staatliche Prüfinstanz kann Experten verschiedener Fachrichtungen bündeln – von Netzwerkforensik über industrielle Steuerungstechnik bis Cloud-Sicherheit – und so die gesamte Breite an Know-how abdecken. Diese Experten können interne Qualitätszirkel bilden, sich kontinuierlich fortbilden und aus jedem Prüfverfahren lernen. Die Erfahrung bleibt im Haus und kommt den nächsten Prüfungen zugute, statt bei wechselnden externen Dienstleistern verstreut zu sein. Damit ließen sich gleichmäßig hohe Prüfungsstandards etablieren, unabhängig davon, welches Unternehmen geprüft wird. Auch die oft schwierige Abgrenzung „Wann ist etwas konform und wann ein kritischer Verstoß?“ kann eine zentrale Behörde konsistent handhaben, während private Prüfer hier unterschiedliche Toleranzen haben könnten.
   
3. Systematische Auswertung von Vorfällen und Schwachstellen: Eine unabhängige Prüfstelle sollte nicht nur kontrollieren, sondern auch beobachten und lernen. Das heißt: Alle gemeldeten Sicherheitsvorfälle (die nach NIS2 innerhalb 24 Stunden an die Behörden gemeldet werden müssen) und alle Befunde aus Audits können in einer zentralen Datenbank gesammelt und analysiert werden. Daraus ließen sich trendweise Auswertungen erstellen: Welche Angriffsarten häufen sich? Wo bestehen Branchen-spezifische Schwächen? Welche Arten von Maßnahmen sind besonders effektiv? Diese Erkenntnisse könnte die Behörde in Lageberichte und Warnungen überführen, ähnlich wie es das BSI teils schon mit jährlichen Lagebildern tut. Ein unabhängiges Prüfinstitut hätte aber weitaus mehr empirische Daten zur Hand als heute, da NIS2 die Melde- und Nachweispflichten erheblich ausweitet ​netzpolitik.org. Durch die zentrale Auswertung entsteht Transparenz über den Stand der Cybersicherheit in der Wirtschaft – etwas, das derzeit aufgrund verstreuter Zuständigkeiten und privater Geheimhaltung kaum vorhanden ist. Ein positiver Nebeneffekt: Diese Behörde könnte Best Practices identifizieren und der Wirtschaft zurückspiegeln. Statt dass jede Firma nur ihren eigenen Auditbericht bekommt, würde eine staatliche Stelle verallgemeinerbare Lehren ziehen und publizieren (in anonymisierter Form). So steigt das allgemeine Sicherheitsniveau kontinuierlich.
   
4. Vertrauen und Glaubwürdigkeit: Für die Akzeptanz von Regulierung ist es entscheidend, dass sie fair und glaubwürdig umgesetzt wird. Wenn Unternehmen den Eindruck haben, Prüfauflagen dienen nur dazu, bestimmten Beratungsriesen neue Geschäfte zuzuschustern, entsteht Frust und Widerstand. Umgekehrt signalisiert eine staatliche Lösung: Die Sicherheit wird uns so wichtig sein, dass wir selbst dafür Kapazitäten bereitstellen. Dies stärkt die Vorbildfunktion des Staates. In der Anhörung zum NIS2-Gesetz kritisierten Experten, es sei ein „falsches Signal“ und unglaubwürdig, wenn der Staat Ausnahmen für sich selbst schafft oder Verantwortung auslagert​ bundestag.de​bundestag.de. Eine einheitliche staatliche Prüfinstanz, die sowohl Behörden als auch Firmen überprüft, demonstriert, dass alle nach denselben Maßstäben beurteilt werden. Auch international hätte ein solches Modell Strahlkraft: Es würde Europas Anspruch untermauern, digitale Souveränität und Sicherheit nicht dem freien Spiel des Marktes zu überlassen, sondern aktiv zu gestalten.
   
5. Effizienz und Koordination: Auf den ersten Blick klingt es aufwendig, tausende Unternehmen staatlich prüfen zu lassen. Aber man kann Ressourcen gezielt einsetzen: Etwa indem man risikobasiert vorgeht – kritische Sektoren häufiger und intensiver prüfen, weniger riskante seltener. Eine zentralisierte Behörde kann flexibel Prioritäten setzen, während ein festgefahrener privater Zertifizierungszyklus das nicht ohne weiteres tut. Zudem könnten Synergien genutzt werden: Statt dass jedes Unternehmen separat einem Auditor erklärt, wie seine Infrastruktur aussieht, könnte die Behörde branchenspezifische Baseline-Infos sammeln und ihren Prüfern bereitstellen. Auch könnte man “Blitzlicht”-Überprüfungen durchführen, z.B. alle Stromnetzbetreiber zeitgleich zu einem bestimmten Schutzthema abfragen. Private Prüfer würden so etwas kaum koordiniert tun. Eine staatliche Stelle könnte auch Peer-Reviews zwischen Ländern organisieren (ähnlich dem Datenschutz-Kohärenzverfahren), um Qualität und Harmonisierungen zu gewährleisten. All dies verbessert die Wirksamkeit der Richtlinie.
   
6. Entlastung und Unterstützung der Unternehmen: Paradoxerweise kann eine stringente staatliche Prüfung sogar Unternehmen helfen. Wie? Wenn die Behörde gut ausgestattet ist, kann sie klar kommunizieren, was erwartet wird, und bei Bedarf beraten. Bitkom-Vertreter forderten etwa, die Regierung müsse die 30.000 betroffenen Unternehmen proaktiv informieren und unterstützen​bundestag.de. Ein gestärktes BSI könnte Leitfäden erstellen, Hotline-Fragen beantworten und generell als Partner auftreten – wie eine Beratungs- und Kontrollinstanz in einem, ähnlich wie das z.B. in Skandinavien teils gehandhabt wird. In der DSGVO-Welt wünschen sich Unternehmen bis heute oft mehr Guidance von den Behörden. Für NIS2 könnte eine aktive Behörde dazu beitragen, dass Compliance nicht als bürokratische Last, sondern als kooperativer Prozess wahrgenommen wird: Die Firmen arbeiten mit der Behörde zusammen an der Erhöhung ihres Sicherheitsniveaus, statt gegen anonyme externe Auditoren zu kämpfen. Natürlich muss die Behörde am Ende sanktionieren, wenn nötig – aber der Weg dorthin kann partnerschaftlicher sein als in einem reinen Kunden-Dienstleister-Verhältnis, wo ein Auditor im Zweifel nur einen Mangelbericht abliefert.

Angesichts dieser Punkte wird deutlich: Eine unabhängige Cyber-Prüfbehörde vereint die Vorteile fachlicher Konzentration, Neutralität und systemischer Sicht. Sie vermeidet sowohl das kommerzielle Bias privater Prüfer als auch die Schwäche unterfinanzierter Ämter – vorausgesetzt, sie wird von der Politik ernst genommen und entsprechend ausgestattet. Genau das muss die Forderung an die Gesetzgeber sein, wenn NIS2 in nationales Recht umgesetzt wird.

Die Rolle großer Beratungsfirmen: Marktmacht und Verflechtungen

Besondere Aufmerksamkeit verdient die Rolle der großen Beratungs- und Prüfungskonzerne, denn sie stehen im Zentrum der Problematik. Firmen wie Deloitte, PwC, KPMG, EY – aber auch große IT-Dienstleister und Sicherheitsberatungen – haben in den letzten Jahren ihr Cybersecurity-Serviceangebot stark ausgebaut. NIS2 kommt diesen Playern insofern gelegen, als es einen neuen Markt schafft: tausende Unternehmen, die Hilfe bei Compliance, beim Aufbau von Sicherheitsmaßnahmen und eben bei Audits brauchen. Bereits heute positionieren sich die Großberater aggressiv in diesem Feld. Man bietet „NIS2 Readiness Assessments“, Implementierungshilfen und natürlich Audit-Leistungen an ​sec-consult.com​sec-consult.com. Die doppelte Rolle ist offensichtlich: Erst beraten, wie die Anforderungen umzusetzen sind, dann als „unabhängige Stelle“ diese Umsetzung prüfen und bestätigen. Für die Konzerne bedeutet das lukrative Geschäftsmöglichkeiten entlang der ganzen Wertschöpfungskette. Für die Allgemeinheit bedeutet es potenzielle Interessensverquickung – wer würde schon das eigene Beratungsergebnis im Audit als unzureichend brandmarken?

Durch ihre schiere Größe verschaffen sich diese Beratungsunternehmen einen Vorteil gegenüber Mittelständlern. Sie können ein EU-weites Netzwerk von Standorten vorweisen, Zertifizierungen nach ISO 27001 und anderen Standards im Haus haben und Armeen von Consultants beschäftigen. Die zuständigen Innenministerien und Sicherheitsbehörden erkennen solche Firmen gern als qualifizierte Prüfer an – schließlich strahlen große Namen Seriosität aus und können das Volumen stemmen. So kommt es, dass in Deutschland und Österreich fast alle zugelassenen "qualifizierten Stellen" aus dem Dunstkreis großer Beratungsfirmen stammen​ kpmg.com​sec-consult.com. Kleinere IT-Sicherheitsbüros, die vielleicht ebenso kompetent wären, haben es deutlich schwerer, die formalen Kriterien zu erfüllen oder überhaupt wahrgenommen zu werden.

Die Marktmacht der Großen birgt mehrere Gefahren:

Zum einen besteht – wie bereits erörtert – die Gefahr eines Oligopols, in dem wenige Anbieter die Preise und Bedingungen diktieren. Wenn alle großen Prüffirmen ähnliche Stundensätze und Auditvorgehen ansetzen, bleibt den geprüften Unternehmen kaum Wahl, als dies zähneknirschend zu akzeptieren. Wettbewerb um Qualität könnte in den Hintergrund treten, wenn es primär darum geht, den Audit „bestehen“ zu lassen. In der Finanzprüfung hat man gesehen, dass die Big Four selten wirklich harte Konkurrenzkämpfe austragen; stattdessen teilt man sich oft die Mandate großer Unternehmen auf. Ein vergleichbares Gentlemen’s Agreement ist auch im Cyber-Audit denkbar.

Zum zweiten sind die wirtschaftlichen Verflechtungen der Beratungsriesen komplex. Viele von ihnen unterhalten Partnerschaften mit Technologiefirmen, investieren in Start-ups oder betreiben eigene Produkte. Beispiel: Eine große Beratung kooperiert eng mit einem Firewall-Hersteller und empfiehlt dessen Produkte ihren Kunden. Wird dieselbe Beratung als Prüfstelle einen kritischen Blick auf genau diese Firewall-Lösungen werfen? Oder ein anderes Szenario: Ein Prüfunternehmen ist gleichzeitig bei einem zu auditierenden Unternehmen als Outsourcing-Partner tätig (etwa im Rahmen eines ausgelagerten Security Operation Centers). Hier prüft praktisch die eine Abteilung der Firma die Arbeit der anderen. Solche Konstellationen sind alles andere als hypothetisch – die Beratungsbranche ist bekannt für Cross-Selling, also das Verkaufen verschiedener Leistungen an denselben Kunden. Ohne strikte Chinese Walls und Verbote droht eine Vermischung von Prüfen und Verkaufen. Ein privater Konzern ist primär seinen Gewinzielen verpflichtet, nicht der Allgemeinheit. Es besteht daher das Risiko, dass schwierige Befunde unter den Teppich gekehrt werden, um das Geschäftsverhältnis nicht zu belasten.

Des Weiteren muss man bedenken, dass große Beratungshäuser auch politisch und gesellschaftlich Einfluss nehmen. Sie sponsern Veranstaltungen, sitzen in Normungsgremien und pflegen Netzwerke in Ministerien. Sollte also eine Prüfung einmal gravierende Mängel in einem Unternehmen zutage fördern, das aber wirtschaftlich oder politisch bedeutend ist, könnte der Auditor in einen Loyalitätskonflikt geraten. Ein staatlicher Prüfer hätte klar das Mandat der Gefahrenabwehr; ein Beratungsunternehmen könnte versucht sein, erst intern „Problemmanagement“ zu betreiben, um den Skandal zu entschärfen – womöglich auf Kosten der schnellen Warnung der Öffentlichkeit.

Zuletzt sei der „Rotations-Effekt“ angesprochen: In der Finanzwirtschaft müssen Unternehmen alle paar Jahre den Wirtschaftsprüfer wechseln, um zu enge Verflechtungen zu vermeiden. In der IT-Sicherheitsprüfung gibt es bisher keine solche Vorschrift. Ein Großunternehmen könnte über ein Jahrzehnt denselben Auditor beschäftigen. Die personellen Überschneidungen tun ihr Übriges – nicht selten wechseln Berater zwischen Unternehmen und Prüfunternehmen hin und her (Stichwort Drehtüreffekt). Das alles fördert eine gewisse Gemütlichkeit und erschwert einen unvoreingenommenen Blick. Frische, kritische Augen fehlen.

Fazit: Ohne Korrektiv könnte die Umsetzung von NIS2 in der Hand einiger weniger Beratungsfirmen landen, die aufgrund ihrer Marktmacht den Ton angeben. Zwar verfügen diese über Expertise, doch sie sind keine neutralen Sachwalter des Gemeinwohls. Die Gefahr, dass wirtschaftliche Interessen vor Sicherheit gehen, ist real. Es muss Aufgabe der Gesetzgeber und Behörden sein, diesem Szenario entgegenzutreten – sei es durch strikte Regularien für qualifizierte Stellen (z.B. Unvereinbarkeitsregeln, Rotationspflichten, Transparenzanforderungen) oder, besser noch, durch die Etablierung einer öffentlichen Alternative, die den Markt diszipliniert.

Konkrete Vorschläge für eine unabhängige staatliche Lösung

Wie könnte nun eine solche staatliche Prüfinfrastruktur aussehen, die die genannten Vorteile nutzt und Risiken mindert? Im Folgenden werden konkrete Ansätze dargestellt, die Entscheidungsgrundlage für Gesetzgeber und Führungskräfte sein können:

• Einrichtung einer zentralen Cyber-Prüfbehörde bzw. Ausbau bestehender Strukturen: Jede nationale Regierung sollte prüfen, eine zentrale Stelle zu schaffen oder eine bestehende Behörde (wie das BSI in Deutschland oder das CERT/DSB in Österreich) mit einem neuen Prüfungs- und Auditierungsmandat auszustatten. Diese Stelle muss organisatorisch unabhängig sein (ähnlich einer Bundesbehörde mit Sonderstatus) und direkt vom Parlament oder einer unabhängigen Kommission überwacht werden, um politische Instrumentalisierung zu vermeiden. Sie sollte ein eigenes Budget bekommen, das groß genug ist, um Experten aus der Privatwirtschaft abwerben zu können – denn hochqualifizierte Sicherheitsprüfer kosten Geld, sind aber essentiell. Im Koalitionsvertrag der deutschen Bundesregierung ist eine solche Unabhängigkeit des BSI bereits vorgesehen, wurde jedoch noch nicht umgesetzt ​bundestag.de. Dies gilt es nun rasch anzugehen.
  
• Risikobasierte Prüfzyklen und Priorisierungen: Nicht jedes der 100.000 Unternehmen braucht jedes Jahr einen Full Audit. Die Behörde sollte ein Risikomodell entwickeln: Kritische Infrastrukturbetreiber vielleicht alle 2 Jahre umfassend prüfen, wichtige Einrichtungen alle 3-4 Jahre stichprobenartig, usw., ergänzt durch anlassbezogene Prüfungen nach schweren Vorfällen. Die Richtlinie lässt diesen Spielraum ausdrücklich zu (reguläre, gezielte und ad-hoc Audits )​eur-lex.europa.eu. Ein sinnvolles Prüfkonzept könnte z.B. vorsehen, dass jedes betroffene Unternehmen zumindest einmal innerhalb von 5 Jahren von der Behörde oder in ihrem Auftrag geprüft wird. Damit wäre eine Grundabdeckung sichergestellt.
  
• Kombination aus internen Prüfern und externen Sachverständigen-Pools: Um flexibel zu bleiben, kann die Behörde durchaus mit externen Experten kooperieren – aber zu ihren Bedingungen. Denkbar ist ein unabhängiger Sachverständigen-Pool: Die Behörde akkreditiert einzelne Auditoren oder kleine Unternehmen nach strengen Kriterien (inklusive Überprüfung auf Unabhängigkeit und Integrität). Diese arbeiten jedoch im Auftrag der Behörde, nicht direkt für das zu prüfende Unternehmen. Das unterscheidet sich vom jetzigen System: Heute bezahlt das Unternehmen den Prüfer. Im vorgeschlagenen Modell würde das Unternehmen eine Gebühr an die Behörde entrichten (ähnlich einer Verwaltungsgebühr für eine Prüfung), und die Behörde beauftragt davon einen Auditor aus dem Pool oder eigene Mitarbeiter. So bleibt die Auftragshoheit beim Staat – der Auditor ist der verlängerte Arm der Behörde. Abrechnungsmodelle könnten sicherstellen, dass kein finanzielles Abhängigkeitsverhältnis zwischen Prüfer und Prüfobjekt entsteht. Zudem könnte die Behörde immer einen eigenen Mitarbeiter im Team haben (Vier-Augen-Prinzip), um Qualität zu gewährleisten.
  
• Strikte Regelungen für qualifizierte Stellen: Unabhängig von der angestrebten staatlichen Lösung sollten gesetzlich klare Regeln für alle evtl. doch eingebundenen privaten Prüfer erlassen werden: Verbot von Beratungsleistungen beim selben Kunden im Prüfungszeitraum und einer angemessenen Frist davor/nachher (um Consulting und Audit zu trennen), Pflicht zur Rotation der Prüfer nach z.B. drei Prüfzyklen, Transparenzpflicht über etwaige Nebenbeziehungen zu geprüften Firmen (Partnerschaften, Beteiligungen, etc.). Außerdem sollten Preisrichtlinien oder zumindest Regularien gegen Wucher eingeführt werden, damit die Kosten für Audits nicht explodieren. Hier könnte man z.B. an gedeckelte Tagessätze für bestimmte Prüfkategorien denken oder an einen öffentlich einsehbaren Gebührenkatalog der Behörde, der als Maßstab dient.
  
• Europäische Koordination ausbauen: Langfristig wäre eine europäische Cyberaufsichts-Koordinierung sinnvoll, analog zum Europäischen Datenschutzausschuss. ENISA könnte die Rolle übernehmen, Best-Practice-Prüfmethoden zusammentragen, Peer Reviews zwischen nationalen Behörden initiieren und dafür sorgen, dass ein hohes Grundniveau überall gilt. Auch ein EU-Zertifizierungsschema für „qualified auditors“ könnte aufgelegt werden, das die Kriterien vereinheitlicht und die Anzahl wirklich unabhängiger Prüfer EU-weit erhöht. Für besonders grenzüberschreitende Unternehmen (z.B. große Cloud-Provider, internationale Konzerne) könnte man gemeinsame Prüfteams aus mehreren Ländern einsetzen, um Dopplungen zu vermeiden und Know-how zu bündeln.
  
• Transparenzberichte und öffentlicher Druck: Die unabhängige Prüfinstanz sollte verpflichtet werden, regelmäßig Berichte zu veröffentlichen – ähnlich den Tätigkeitsberichten der Datenschutzbehörden. Darin könnten anonymisierte Statistiken erscheinen: Wie viele Prüfungen wurden durchgeführt, wie häufig gab es Beanstandungen, welche häufigen Mängel traten auf? Auch konkrete Warnungen vor bestimmten Sicherheitslücken, die wiederholt beobachtet wurden, könnte man darin aufnehmen. Diese Transparenz schafft öffentlichen Druck auf alle Beteiligten, ihre Hausaufgaben zu machen. Unternehmen wollen ungern im nächsten Bericht als Negativbeispiel erwähnt werden (wenn auch anonymisiert, könnten Branchenzuordnungen doch Hinweise geben). So entsteht ein Anreiz zur proaktiven Verbesserung, jenseits der reinen Angst vor Bußgeldern.
  
• Unterstützung und Prävention in den Vordergrund rücken: Eine unabhängige staatliche Prüfstelle kann – anders als ein rein prüfender Dienstleister – auch eine präventive Mission verfolgen. Sie könnte Brancheninformationstage anbieten, Mindeststandards erarbeiten (z.B. branchenspezifische Sicherheitskataloge) und mit den Unternehmen vorab in Dialog treten, bevor es zur Prüfung kommt. Ziel wäre, dass die Unternehmen die Prüfung nicht als unbekannte Hürde sehen, sondern bereits wissen, woran sie sind. Dieses Coaching-Element ist bei Datenschutzbehörden durchaus üblich (Beratung gehört zu ihren Aufgaben). Für Cybersecurity sollte es ebenfalls etabliert werden. Es mindert das Misstrauen und erhöht letztlich die Compliance, weil Unternehmen sich unterstützt fühlen und Fehler früher korrigieren können.

Die Umsetzung dieser Vorschläge erfordert natürlich politischen Willen und Ressourcen. Es kostet Geld, solch eine Behörde aufzustocken oder neu zu schaffen – aber bedenkt man die Schäden, die erfolgreiche Cyberangriffe anrichten (von Produktionsausfällen bis zum Abfluss sensibler Daten), ist dies eine Investition in die nationale Sicherheit und Wirtschaftsstandfestigkeit. Gerade politische Entscheidungsträger müssen hier den langfristigen Nutzen sehen: Eine robuste, unabhängige Cyber-Prüfinfrastruktur ist Teil der kritischen Staatsaufgaben in der digitalen Ära.

Mehrere Sachverständige haben in einer Bundestagsanhörung gefordert, das NIS2-Umsetzungsgesetz müsse zu einer deutlichen Stärkung der Rolle des BSI führen​bundestag.de. Dem ist beizupflichten – allerdings muss diese Stärkung auch die Prüf- und Kontrollfunktion explizit einschließen. Es reicht nicht, Meldewege und Bußgelder zu regeln; die Überprüfung der Vorgaben muss aktiv angegangen werden. Die Politik sollte die Gelegenheit nutzen, aus den Fehlern der DSGVO-Lehre zu ziehen und von Anfang an eine schlagkräftige Aufsicht aufzubauen, statt sich später über mangelnde Cybersicherheit zu wundern.

Fazit

Die NIS2-Richtlinie markiert einen wichtigen Schritt für Europas digitale Sicherheit. Doch ihr Erfolg entscheidet sich in der Phase der Umsetzung und Kontrolle. Die Delegation von Sicherheitsprüfungen an private „qualifizierte Stellen“ mag als pragmatischer Weg erscheinen, um Ressourcenengpässe zu umgehen – tatsächlich aber droht sie, ein grundlegendes Einfallstor für Ineffektivität und Missbrauch zu werden. Manipulation, Interessenskonflikte, oligopolistische Strukturen – all das sind nicht bloß theoretische Gespenster, sondern wahrscheinliche Konsequenzen, wenn die Überwachung der Cybersicherheit primär durch privatwirtschaftliche Akteure erfolgt, die eigenen Profitinteressen folgen.

Die Erfahrungen mit der DSGVO haben uns gelehrt, dass Regulierung ohne ausreichende unabhängige Kontrolle ins Leere läuft. Bei NIS2 steht sogar noch mehr auf dem Spiel: Es geht um die Resilienz unserer kritischen Infrastrukturen, um das Vertrauen in digitale Dienstleistungen und letztlich um die nationale und europäische Sicherheit. Dieses Feld darf der Staat nicht aus der Hand geben.

Für politische Entscheidungsträger bedeutet das: Jetzt die Weichen richtig stellen. Schaffen Sie starke, unabhängige Cybersecurity-Aufsichtsstrukturen! Statten Sie sie mit den notwendigen Mitteln aus, und sorgen Sie für einen klaren gesetzlichen Auftrag, der Unabhängigkeit, Transparenz und Durchsetzungsstärke gewährleistet. Nur so kann NIS2 sein Versprechen einlösen. Führungskräfte in Unternehmen wiederum sollten diese Entwicklung begrüßen – auch wenn es zunächst nach mehr staatlicher Kontrolle klingt. Langfristig profitieren sie von einheitlichen Maßstäben, Beratung und einem fairen Wettbewerbsumfeld, in dem nicht die Beziehungen zu einem Auditor den Ausschlag geben, sondern die tatsächliche Sicherheit.

Europa hat die Chance, mit NIS2 nicht nur Pflichtübung zu betreiben, sondern ein Exempel für digitale Souveränität zu statuieren: Wir lassen die Sicherheit unserer essentiellen Systeme nicht von Zufällen oder Partikularinteressen abhängen, sondern nehmen sie in die eigene Hand. Das erfordert Mut zur Veränderung bestehender Strukturen – doch die Investition wird sich auszahlen.

Die digitale Welt wird immer verzahnter mit unserem täglichen Leben und der Wirtschaft. Gerade deshalb müssen wir ihre „Hüter“ – die Prüf- und Kontrollinstanzen – sorgfältig auswählen. Ein unabhängiger staatlicher Wächter der Cybersecurity, ausgestattet mit Expertise, Macht und Moral, ist der richtige Weg, um Manipulation und Schlendrian keine Chance zu geben. NIS2 bietet den Rahmen – jetzt gilt es, ihn mit der richtigen institutionellen Architektur zu füllen.

Zusammenfassung in leichter Sprache

Die Europäische Union hat ein neues Gesetz für Cyber-Sicherheit gemacht. Es heißt NIS2-Richtlinie. Dieses Gesetz soll dafür sorgen, dass wichtige Unternehmen und Einrichtungen ihre Computer und Daten besser schützen. Es gibt viele Regeln: Zum Beispiel müssen Firmen Hacker-Angriffe melden und Sicherheits-Maßnahmen einführen. Wenn sie das nicht tun, können sie große Strafen bekommen.

Ein großes Problem ist: Wer prüft, ob die Firmen die Regeln einhalten? Zurzeit ist geplant, dass private Firmen diese Prüfungen machen. Das heißt: Ein Unternehmen bezahlt eine Prüf-Firma, die kommt und kontrolliert die Sicherheitsmaßnahmen. Diese Prüf-Firmen nennt man „qualifizierte Stellen“.

Dieser Text erklärt, warum das gefährlich sein kann:

• Wenn eine Firma ihren Prüfer selbst bezahlt, könnte der Prüfer milder sein, als er sein sollte. Er will die Firma vielleicht als Kunden behalten. Dann werden Probleme nicht aufgedeckt. Das ist wie wenn man den Fuchs fragt, ob der Hühnerstall sicher ist – vielleicht sagt er Ja, obwohl es Lücken gibt.
• Nur wenige große Prüf-Firmen werden solche Aufträge bekommen. Diese können dann hohe Preise verlangen. Kleinere Prüf-Firmen haben wenig Chance. Das ist unfair und teuer für die geprüften Unternehmen.
• Große Beratungs-Firmen haben oft zwei Rollen: Sie beraten die Unternehmen und sollen sie dann auch prüfen. Das ist ein Konflikt. Man kontrolliert praktisch die eigene Arbeit. Vielleicht wird dann nicht so streng geprüft.

Der Text vergleicht das mit der Datenschutz-Grundverordnung (DSGVO). Dort gibt es staatliche Behörden, die auf Datenschutz achten. Aber oft haben diese Behörden zu wenig Leute und Geld. Darum wurden am Anfang viele Verstöße nicht bestraft. Man hat gelernt: Ein Gesetz nützt nur etwas, wenn es auch wirklich kontrolliert wird.

Die Lösung im Text ist: Wir brauchen eine staatliche Stelle für Cyber-Sicherheit, so wie es eine Behörde für Datenschutz gibt. Diese Stelle soll unabhängig arbeiten, also neutral und ohne von Firmen bezahlt zu werden. Sie soll die Prüfungen entweder selbst machen oder streng überwachen. Dann werden alle Firmen gleich behandelt.

Warum ist das besser?

• Eine staatliche Prüfstelle ist neutral. Sie will nur, dass alles sicher ist, und nicht Geld verdienen.
• Sie kann alle Informationen sammeln. Wenn irgendwo etwas passiert (z.B. ein Hacker-Angriff), kann sie daraus lernen und alle warnen. So wird insgesamt die Lage sicherer.
• Auch die Firmen können der staatlichen Stelle mehr vertrauen. Sie wissen: Alle anderen müssen das Gleiche tun, niemand bekommt Vorteile durch Beziehungen zu Prüfern.

Der Text schlägt vor, so eine Behörde gut auszustatten – mit genug Personal und Fachleuten. Die Behörde könnte auch externen Experten Aufträge geben, aber diese Experten würden für die Behörde arbeiten, nicht direkt für die geprüfte Firma.

Am Ende ist die Botschaft: Cyber-Sicherheit ist wichtig für uns alle. Darum sollte der Staat selbst darauf achten, dass Regeln wie NIS2 eingehalten werden. Wenn der Staat eine starke, unabhängige Cyber-Sicherheits-Behörde hat, schützt das uns vor Betrug, verhindert Schummeleien bei Sicherheits-Prüfungen und gibt allen mehr Vertrauen in die digitale Welt.

Kurz gesagt: Lasst nicht nur private Firmen über unsere Cyber-Sicherheit wachen. Eine unabhängige staatliche Kontrollstelle kann besser sicherstellen, dass wirklich alle wichtigen Stellen sicher sind und fair geprüft werden. Das erhöht die Sicherheit und nützt am Ende Bürgern und Unternehmen gleichermaßen.

Quellen:

• EU-Richtlinie 2022/2555 (NIS2), Artikel über Prüfungen​ eur-lex.europa.eu​eur-lex.europa.eu​eur-lex.europa.eu
• Netzpolitik.org – Expertenkritik NIS2 (Aussagen zu Ausnahmen und Bedarf starker Behörden)​bundestag.de​bundestag.de
• Netzpolitik.org – Schwächen DSGVO (Langsame Behörden, Zitat Schrems/noyb)​netzpolitik.org
• Dr-datenschutz.de – Kommentar zur Ausstattung der Datenschutzbehörden, Zitat Dr. Ryan ​dr-datenschutz.de
• Deutschlandfunk – Bericht zu Wirecard und Prüfern, Zitat Gerhard Schick (Interessenkonflikt Prüfer)​ deutschlandfunk.de
• KPMG Austria – Info, dass KPMG als qualifizierte Stelle NIS-Prüfungen durchführt ​kpmg.com
• Finance Magazin – Kritik an Big Four als Oligopol​ finance-magazin.de
• Heimdal Security – Einschätzung zu NIS2-Audits und Anzahl betroffener Firmen​ heimdalsecurity.com
• Bundestagsanhörung – Prof. Kipker zur Unabhängigkeit des BSI​ bundestag.de
• Netzpolitik.org – Anhörung NIS2, Plattner/BSI zur Zahl betroffener Unternehmen​ netzpolitik.org
• Weitere Quellen mit Hintergrundinfos und Kommentaren zur NIS2-Umsetzung und Kritik an geplanter Ausgestaltung.