Benjamin Stiebel und Christiane Rebhan schreiben in »Wo beim NIS-2-Gesetz noch nachgebessert werden soll« für tagesspiegel.de

Zwar seien die formulierten Sicherheitsanforderungen relativ gut und ausgewogen, räumt die Abgeordnete ein. „Das Problem ist ein Wirrwarr von Ausnahmeregeln und Intransparenz, insbesondere was den Staat selbst betrifft“. So dürften die meisten Bundesbehörden auf das Risikomanagement verzichten und seien anders als andere Akteure von Bußgeldern befreit. IT-Dienstleister der öffentlichen Hand seien zudem weitgehend ausgenommen, wodurch die IT-Sicherheit insgesamt unterwandert werde. Dass die Verwaltung von Bußgeldern befreit ist, ist üblich. Auch für Datenschutzverstöße müssen Behörden nicht zahlen.

Ach, das war mir wirklich nicht so bewusst. Klar, ich habe auch noch nie davon gehört, dass eine Verwaltung wegen Verstößen tatsächlich bestraft wurde, aber ich bin immer davon ausgegangen, dass es eher so ist, dass man sich untereinander nicht wirklich etwas tut, so nach dem Motto „eine Krähe hackt der anderen kein Auge aus“.