Sehr geehrte Frau Präsidentin! Liebe Kolleginnen und Kollegen! 200 Milliarden Euro Schaden erleidet die deutsche Wirtschaft jährlich durch Cyberangriffe. Allein das macht doch schon deutlich: Cyberresilienz ist kein Nice-to-have, sondern essenziell für unsere Wirtschaft und auch für unseren Standort Deutschland.

Auf die Gefahren im Cyberbereich macht auch Claudia Plattner, die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik, kurz: BSI, immer wieder aufmerksam. Das ist wichtig, weil eben nicht nur Unternehmen von Cyberangriffen betroffen sind, sondern vielfach eben auch Privatpersonen. Sie fordern in Ihrem Antrag ja vollkommen zu Recht, dass das BSI ein tagesaktuelles Lagebild zur Cybersicherheit erstellen können muss. Wir haben dazu einen Vorschlag für eine Änderung des Grundgesetzes vorgelegt, um das BSI zur Zentralstelle weiterzuentwickeln, ähnlich wie wir das vom BKA oder vom Bundesverfassungsschutz kennen. Das BSI als Zentralstelle kann dann auch ein solches Lagebild liefern. Es braucht aber eben auch die gesetzliche Grundlage dafür. Die liegt auf dem Tisch. Lassen Sie uns gerne darüber verhandeln, liebe Unionsfraktion, wenn uns vieren, der Ampel und Ihnen, das so am Herzen liegt.

Diese Woche wurde der Cybersicherheitsmonitor des BSI vorgestellt. Dieser Cybersicherheitsmonitor fragt Internetnutzerinnen und -nutzer nach ihrem Nutzungsverhalten und danach, wie sie sich im Netz vor Angriffen schützen. Von denjenigen, die sich gezielt zur Cybersicherheit informieren, informieren sich 56 Prozent – und damit der höchste Anteil – darüber, wie sie im Ernstfall reagieren sollten. Aber gerade einmal 48 Prozent informieren sich darüber, was sie präventiv gegen einen solchen Ernstfall tun können. Diese Umfrage, aber auch andere Umfragen zu diesem Thema zeigen: Die Menschen fühlen sich leider zu oft zu sicher im Netz. Opfer werden nur die anderen; das ist leider eine sehr gefährliche und meistens auch teure Fehleinschätzung. Deshalb ist klar: Wir müssen nicht nur über Resilienz in der Wirtschaft oder bei der kritischen Infrastruktur sprechen. Es müssen sich auch alle Privatpersonen bewusst sein, dass sie Opfer von Cyberattacken werden können.

Mit wenig Aufwand kann man schon großen und sicheren Schutz erreichen. Aktuelle Software, aktuelle Antivirenprogramme, sichere und regelmäßig aktualisierte Passwörter, Zwei-Faktor-Authentifizierung – das sind nur wenige Maßnahmen, die Sie und Ihre Geräte sicherer machen. Meine Bitte sowohl an Sie, liebe Kolleginnen und Kollegen, als auch an die Zuschauerinnen und Zuschauer: Nutzen Sie solche Möglichkeiten, informieren Sie sich! Schützen Sie sich und Ihre Geräte vor Kriminellen.

Aber nicht nur Privatpersonen werden Opfer von Cyberattacken, sondern eben auch Unternehmen, kritische Infrastruktur, öffentliche Verwaltungen und mehr. Das bedeutet enorme Kosten für die Wirtschaft, 200 Milliarden Euro – ich habe es eben schon gesagt – pro Jahr. Um diesen Schaden zu verringern, ist im Januar letzten Jahres die europäische Cybersicherheitsrichtlinie, kurz: NIS 2, in Kraft getreten. Hintergrund waren natürlich die hohen wirtschaftlichen Schäden, aber eben auch die zunehmenden Cyberangriffe auf kritische Infrastruktur durch staatliche, aber auch quasistaatliche Akteure, sei es aus Russland, China, dem Iran oder anderen Staaten.

Die NIS-2-Richtlinie muss bis Oktober in nationales Recht umgesetzt werden; da haben Sie vollkommen recht. Natürlich drängt da die Zeit. Aber ich will schon deutlich machen, dass auch viel geschehen ist: Wir sind mittlerweile beim dritten Referentenentwurf, um die Interessen der verschiedenen Interessengruppen zu berücksichtigen. Sie haben ja selber angesprochen, wie viele Ministerien da auch Interessen haben. Verbände werden angehört, Verbesserungsvorschläge aufgenommen, und dann werden wir auch zeitnah einen Regierungsentwurf vorgelegt bekommen, liebe Kolleginnen und Kollegen.

Dass der aktuelle Referentenentwurf positiv aufgenommen wird, zeigt ja beispielsweise die Stellungnahme des Bundesverbands der Deutschen Industrie. Knapp 30 000 Unternehmen in Deutschland – auch das haben Sie eben gesagt – werden von der NIS-2-Richtlinie betroffen sein, damit aber auch besser geschützt werden. Der BDI begrüßt zum Beispiel die Aussetzung von Nachweispflichten in den ersten drei Jahren, um die Umsetzbarkeit und Anwendbarkeit in den Unternehmen zu erhöhen.

Zuruf von der SPD: Hört! Hört!)

Aber auch die Anpassung der Unternehmenskategorien stellt eine europaweite Harmonisierung dar.

Ansonsten ist es mit diesem Gesetz wie mit jedem anderen Gesetz: Der Entwurf verlässt dieses Parlament nicht so, wie er reingekommen ist.

Auch wir werden im parlamentarischen Verfahren noch Änderungen vornehmen. Einige Punkte werden beispielsweise in Ihrem Antrag vorgeschlagen, andere in den eingereichten Stellungnahmen. Die werden wir allesamt sorgfältig prüfen und abwägen. Ich freue mich, wenn der Gesetzentwurf zeitnah vorliegt und wir diesen dann auch beraten können. Sie sind, wie gesagt, herzlich eingeladen, Ihre Vorschläge mit einzubringen. Als konstruktive Opposition, wie wir Sie ja kennen und lieben, werden Sie das sicherlich auch tun.

Wir können uns Cyberunsicherheit nicht leisten, die Wirtschaft kann sie sich nicht leisten, die kritische Infrastruktur kann sie sich nicht leisten. Deshalb werden wir mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz dieses Land im Cyberraum resilienter und sicherer machen.

Vielen Dank und einen schönen Abend.