Home » News » NIS-2 auf der Zielgeraden

Wirtschaft und Staat vor Cyberattacken schützen:: NIS-2 auf der Zielgeraden

Die Bundesregierung hat einen bedeutenden Schritt in der IT-Sicherheitspolitik gemacht: Mit der Verabschiedung von NIS-2 tritt eine umfassende Änderung des IT-Sicherheitsrechts in Kraft. Ab sofort sind rund 29.500 Unternehmen dazu verpflichtet, verstärkte Cybersicherheitsmaßnahmen zu ergreifen.

2 Min. Lesezeit
Cybersecurity stärken
©AdobeStock/Esfandjar

Diese Reform bringt nicht nur erweiterte Verpflichtungen für die Unternehmen mit sich, sondern auch eine intensivere Aufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Der von Bundesinnenministerin Nancy Faeser vorgelegte Entwurf für ein Gesetz zur Stärkung der Cybersicherheit ist beschlossene Sache. Mit diesem Gesetz wird die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) in deutsches Recht umgesetzt. Diese umfassende Modernisierung und Neustrukturierung des deutschen IT-Sicherheitsrechts erweitert die Pflichten zur Umsetzung von Cybersicherheitsmaßnahmen und zur Meldung von Cyberangriffen auf mehr Unternehmen und Sektoren. Gleichzeitig wird die Cybersicherheit der Bundesverwaltung gestärkt.

Erweiterte Pflichten für Unternehmen

Zukünftig werden etwa 29.500 Unternehmen verpflichtet sein, spezifische Cybersicherheitsmaßnahmen umzusetzen. Diese Unternehmen sind essenziell für die Versorgungssicherheit der Bevölkerung und bilden das Rückgrat der „Cybernation“ Deutschland. Das BSI erhält dabei eine Schlüsselrolle und neue Aufsichtsinstrumente, um die Einhaltung der Vorgaben durch die Unternehmen zu überwachen und die Cybersicherheit in der Bundesverwaltung weiter zu stärken.

Hohe Bedrohungslage und notwendige Schutzmaßnahmen

Bundesinnenministerin Nancy Faeser betont die anhaltend hohe Bedrohungslage im Bereich der Cybersicherheit, verstärkt durch den russischen Angriffskrieg gegen die Ukraine. Sie unterstreicht die Notwendigkeit erhöhter Schutzmaßnahmen: „Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind. Künftig müssen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen. Wir steigern das Sicherheitsniveau und senken damit das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden.“

Rolle des BSI und Umsetzung der NIS-2-Richtlinie

BSI-Präsidentin Claudia Plattner fügt hinzu: „…Die neuen Cybersicherheitsmaßnahmen gewährleisten die Versorgungssicherheit der Bevölkerung und bilden das Rückgrat der Cybernation Deutschland. Daher wird das BSI sie dabei bestmöglich unterstützen und die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten.“

Der Gesetzentwurf setzt die Vorgaben der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (sogenannte NIS-2-Richtlinie) im Wesentlichen in Form einer Novelle des BSI-Gesetzes um. Im Bereich der Wirtschaft handelt es sich um eine 1:1-Umsetzung der NIS-2-Richtlinie – das heißt, es wird nicht über die europarechtlichen Vorgaben hinausgegangen.

Der Gesetzentwurf enthält im Wesentlichen die folgenden Regelungen:

Einführung neuer Kategorien:

„Wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ werden neu eingeführt, was den Anwendungsbereich erheblich erweitert.

Mindestsicherheitsanforderungen:

Der Katalog der NIS-2-Richtlinie wird ins BSI-Gesetz übernommen. Anforderungen umfassen Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management und Verschlüsselungskonzepte.

Dreistufige Meldepflicht:

Cybersicherheitsvorfälle müssen nun in drei Stufen gemeldet werden: Erstmeldung binnen 24 Stunden, Update binnen 72 Stunden und ein Abschlussbericht binnen eines Monats.

Erweiterte Aufsichts- und Durchsetzungsbefugnisse des BSI:

Neue Bußgeldrahmen basierend auf dem weltweiten Jahresumsatz bei Verletzungen wesentlicher Cybersicherheitsmaßnahmen.

Chief Information Security Officer für den Bund:

Einführung eines CISO und gesetzliche Verankerung wesentlicher Anforderungen an das Informationssicherheitsmanagement.

Das BSI hat bereits Unterstützungsangebote veröffentlicht, darunter eine Betroffenheitsprüfung und einen FAQ-Katalog zur NIS-2-Richtlinie. Zudem wird das Bundesinnenministerium bald das KRITIS-Dachgesetz vorlegen, das sektorübergreifende Mindeststandards für den physischen Schutz kritischer Infrastrukturen festlegt.

Den vollständigen Gesetzentwurf der Bundesregierung gibt es hier.

Andere interessante News

Forklift

Zentralisiertes Sicherheitsmanagement soll Frachtdiebstähle eindämmen

In Deutschland werden jährlich die Ladungen von rund 26.000 LKWs gestohlen, was zu direkten Warenschäden von 1,3 Milliarden Euro führt. Zusätzlich entstehen durch Lieferverzögerung...

Airbus Flugzeug

INFODAS jetzt Tochtergesellschaft von Airbus

Meilenstein in der 50-jährigen Firmengeschichte: Die INFODAS GmbH wird Tochtergesellschaft von Airbus, behält jedoch ihr Branding und alle Geschäftsprozesse bei. Die behördlichen G...

Feuerwehr Sperrzone

Blaulichtnavigation bei der Berufsfeuerwehr: Optimierte Einsatzfahrten

In Zusammenarbeit mit RTM Informationstechnologie und InfoWare startete abel & käufl ein Pilotprojekt bei der Berufsfeuerwehr Frankfurt. Dabei wird das Funkbedien- und Einsatznavig...