Cybersicherheit wird Pflicht und Chefsache: NIS-2 Gesetz: BSI übernimmt Kontrolle über 29.500 Organisationen
Der Bundestag hat das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie verabschiedet – ein Systemumbau, der Deutschlands digitale Verteidigungsfähigkeit deutlich stärken soll. Das Bundesamt für Sicherheit in der Informationstechnik übernimmt eine zentrale Rolle.
Deutschland steht im digitalen Raum seit Jahren unter Druck. Schwachstellen in Unternehmen und Behörden bieten Angreifern immer wieder Ansatzpunkte für Erpressungen, Sabotage und Spionage. Mit dem verabschiedeten Gesetz zur Umsetzung der NIS-2-Richtlinie zieht die Bundesrepublik nun die Konsequenzen aus der wachsenden Bedrohungslage: Das nationale Recht zur IT-Sicherheit wird grundlegend modernisiert, Zuständigkeiten werden neu geordnet und die Anforderungen an Unternehmen und die Bundesverwaltung steigen deutlich.
Zentraler Akteur dieses Umbaus ist das Bundesamt für Sicherheit in der Informationstechnik. Es wird künftig als Aufsichtsbehörde über alle Unternehmen wachen, die von den erweiterten Vorgaben betroffen sind, und gleichzeitig als CISO (Chief Information Security Officer, IT-Sicherheitsverantwortlicher) der Bundesverwaltung fungieren. Damit konzentriert sich die operative Steuerung der Cybersicherheit an einer Stelle – ein Schritt, den Fachleute seit Langem fordern.
Ausweitung der Aufsicht auf rund 29.500 Organisationen
Bisher erfasste das BSI-Gesetz etwa 4.500 Einrichtungen wie Betreiber Kritischer Infrastrukturen oder Unternehmen mit besonderer gesellschaftlicher Bedeutung. Der neue Rechtsrahmen erweitert diesen Kreis deutlich: Mit den Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ wächst der Verantwortungsbereich des Bundesamts auf rund 29.500 Organisationen.
Für diese gelten künftig einheitliche Pflichten. Sie müssen sich beim Bundesamt registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Maßnahmen zum Risikomanagement nachweisen. Dazu zählen etwa die Absicherung von Netzwerken, klare Verantwortlichkeiten, Nachweise über Versorgungssicherheit, Prozesse für Sicherheitsupdates und Notfälle, regelmäßige Schulungen und vieles mehr.
Stärkung der Bundesverwaltung durch einheitliche Sicherheitsstandards
Auch innerhalb der Bundesverwaltung werden die Anforderungen verschärft. Künftig müssen Behörden Mindeststandards der Informationssicherheit erfüllen, die sich aus dem IT-Grundschutz-Kompendium und weiteren Sicherheitsvorgaben ableiten. Angesichts der angespannten Cybersicherheitslage soll eine robuste Governance-Struktur entstehen, die ressortübergreifend funktioniert und die digitale Sicherheit der gesamten Verwaltung kontinuierlich verbessert.
In seiner Rolle als CISO koordiniert das Bundesamt Strategien, setzt Prioritäten, überwacht die Einhaltung der Standards und unterstützt große Digitalisierungsprojekte. Ziel ist eine konsistente, effiziente und widerstandsfähige Sicherheitsarchitektur des Bundes.
Ein starkes Signal der Politik
BSI-Präsidentin Claudia Plattner bezeichnet das Gesetz als „wichtigen Meilenstein“ auf dem Weg zu einer widerstandsfähigen digitalen Nation. Sie betont, dass mit den neuen Zuständigkeiten Expertise, Ressourcen und operative Umsetzungskompetenz erstmals vollständig gebündelt werden. Diese Konzentration soll es ermöglichen, sowohl Behörden als auch Unternehmen effizienter zu unterstützen und Risiken zielgerichtet zu reduzieren.
Gleichzeitig weist sie darauf hin, dass die Aufgabe enorm sei und nur in enger Zusammenarbeit mit allen Ressorts gelingen könne. Wichtig sei zudem, die Modernisierung der Bundesverwaltung so zu gestalten, dass Neutralität, Effizienz und Kontinuität gewährleistet bleiben.
Unterstützung für Unternehmen: Starterpaket und Kick-off-Seminare
Damit Unternehmen die neuen Anforderungen erfolgreich umsetzen können, schnürt das BSI ein Starterpaket. Es soll verständliche Informationen liefern, erläutern, ob ein Unternehmen von der Richtlinie betroffen ist, und konkrete Handlungsschritte vorgeben. Nach Inkrafttreten des Gesetzes werden zudem virtuelle Kick-off-Seminare angeboten. Sie geben Schritt-für-Schritt-Hilfen zur Betroffenheitsprüfung, zur Registrierung und zum Meldewesen.
Mit dem NIS-2-Umsetzungsgesetz stellt der Bundestag die Weichen für eine deutlich widerstandsfähigere digitale Infrastruktur. Unternehmen und Verwaltung stehen jedoch vor großen Aufgaben: Die Modernisierung ist anspruchsvoll, aber notwendig. Die kommenden Monate werden zeigen, ob Deutschland sein Ziel erreichen kann, ein deutlich robusterer digitaler Standort zu werden.
