Home » News » NIS-2 auf der Zielgeraden

Wirtschaft und Staat vor Cyberattacken schützen:: NIS-2 auf der Zielgeraden

Die Bundesregierung hat einen bedeutenden Schritt in der IT-Sicherheitspolitik gemacht: Mit der Verabschiedung von NIS-2 tritt eine umfassende Änderung des IT-Sicherheitsrechts in Kraft. Ab sofort sind rund 29.500 Unternehmen dazu verpflichtet, verstärkte Cybersicherheitsmaßnahmen zu ergreifen.

·

Redaktion Secupedia (cs)

2 Min. Lesezeit
Cybersecurity stärken
©AdobeStock/Esfandjar

Diese Reform bringt nicht nur erweiterte Verpflichtungen für die Unternehmen mit sich, sondern auch eine intensivere Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Der von Bundesinnenministerin Nancy Faeser vorgelegte Entwurf für ein Gesetz zur Stärkung der Cybersicherheit ist beschlossene Sache. Mit diesem Gesetz wird die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) in deutsches Recht umgesetzt. Diese umfassende Modernisierung und Neustrukturierung des deutschen IT-Sicherheitsrechts erweitert die Pflichten zur Umsetzung von Cybersicherheitsmaßnahmen und zur Meldung von Cyberangriffen auf mehr Unternehmen und Sektoren. Gleichzeitig wird die Cybersicherheit der Bundesverwaltung gestärkt.

Erweiterte Pflichten für Unternehmen

Zukünftig werden etwa 29.500 Unternehmen verpflichtet sein, spezifische Cybersicherheitsmaßnahmen umzusetzen. Diese Unternehmen sind essenziell für die Versorgungssicherheit der Bevölkerung und bilden das Rückgrat der „Cybernation“ Deutschland. Das BSI erhält dabei eine Schlüsselrolle und neue Aufsichtsinstrumente, um die Einhaltung der Vorgaben durch die Unternehmen zu überwachen und die Cybersicherheit in der Bundesverwaltung weiter zu stärken.

Hohe Bedrohungslage und notwendige Schutzmaßnahmen

Bundesinnenministerin Nancy Faeser betont die anhaltend hohe Bedrohungslage im Bereich der Cybersicherheit, verstärkt durch den russischen Angriffskrieg gegen die Ukraine. Sie unterstreicht die Notwendigkeit erhöhter Schutzmaßnahmen: „Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind. Künftig müssen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen. Wir steigern das Sicherheitsniveau und senken damit das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden.“

Rolle des BSI und Umsetzung der NIS-2-Richtlinie

BSI-Präsidentin Claudia Plattner fügt hinzu: „…Die neuen Cybersicherheitsmaßnahmen gewährleisten die Versorgungssicherheit der Bevölkerung und bilden das Rückgrat der Cybernation Deutschland. Daher wird das BSI sie dabei bestmöglich unterstützen und die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten.“

Der Gesetzentwurf setzt die Vorgaben der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (sogenannte NIS-2-Richtlinie) im Wesentlichen in Form einer Novelle des BSI-Gesetzes um. Im Bereich der Wirtschaft handelt es sich um eine 1:1-Umsetzung der NIS-2-Richtlinie – das heißt, es wird nicht über die europarechtlichen Vorgaben hinausgegangen.

Der Gesetzentwurf enthält im Wesentlichen die folgenden Regelungen:

Einführung neuer Kategorien:

„Wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ werden neu eingeführt, was den Anwendungsbereich erheblich erweitert.

Mindestsicherheitsanforderungen:

Der Katalog der NIS-2-Richtlinie wird ins BSI-Gesetz übernommen. Anforderungen umfassen Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management und Verschlüsselungskonzepte.

Dreistufige Meldepflicht:

Cybersicherheitsvorfälle müssen nun in drei Stufen gemeldet werden: Erstmeldung binnen 24 Stunden, Update binnen 72 Stunden und ein Abschlussbericht binnen eines Monats.

Erweiterte Aufsichts- und Durchsetzungsbefugnisse des BSI:

Neue Bußgeldrahmen basierend auf dem weltweiten Jahresumsatz bei Verletzungen wesentlicher Cybersicherheitsmaßnahmen.

Chief Information Security Officer für den Bund:

Einführung eines CISO und gesetzliche Verankerung wesentlicher Anforderungen an das Informationssicherheitsmanagement.

Das BSI hat bereits Unterstützungsangebote veröffentlicht, darunter eine Betroffenheitsprüfung und einen FAQ-Katalog zur NIS-2-Richtlinie. Zudem wird das Bundesinnenministerium bald das KRITIS-Dachgesetz vorlegen, das sektorübergreifende Mindeststandards für den physischen Schutz kritischer Infrastrukturen festlegt.

Den vollständigen Gesetzentwurf der Bundesregierung gibt es hier.

Weitere Artikel zum Thema:

Die neun wichtigsten Fakten zu NIS-2

Resilienz in Zeiten erhöhter Bedrohungslage

Wie sicherer Zutritt im Kontext von NIS-2 und Co zu lösen ist

Andere interessante News

Umspannwerk mit Stadt im Hintergrund

TÜV Baurechtsreport 2025: Sicherheitsstromanlagen unter Druck

Der TÜV Baurechtsreport 2025 zeigt alarmierende Entwicklungen: Nur noch jede vierte Sicherheitsstromversorgung ist mängelfrei. Auch Brandmelde- und Lüftungsanlagen sind stark anfäl...

KRITIS
digitale Zertifikation auf Bildschirm

VdS-Laborportal bringt Zertifizierungen in Echtzeit

Mit einem digitalen Kundenportal erleichtert VdS Herstellern von Brandschutztechnik den Zertifizierungsprozess. Das neue Tool bietet eine Echtzeit-Übersicht zu laufenden Prüfungen ...

Brandschutz
Konzept von kritischer Infrastrukturen, die zu schützen sind

KRITIS-Dachgesetz: Deutschland stärkt Schutz kritischer Infrastrukturen

Krisen, Cyberangriffe und Abhängigkeiten zwischen Sektoren bedrohen die Versorgungssicherheit. Mit dem neuen KRITIS-Dachgesetz will die Bundesregierung den Schutz kritischer Infras...

KRITIS