Neuordnung der Cybersicherheit:: NIS-2 zwingt Deutschland zu neuen Cyberschutzregeln
Mit dem neuen Gesetz zur Umsetzung der Richtlinie zur Netz und Informationssicherheit (NIS-2) beginnt für Verwaltung und Wirtschaft eine neue Ära verbindlicher Cybersicherheitsstandards.
Mit der Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt eine umfassende Modernisierung des deutschen Cybersicherheitsrechts in Kraft. Die Novelle hebt die Anforderungen sowohl für die Bundesverwaltung als auch für Unternehmen spürbar an und markiert den größten Eingriff in das Informationssicherheitsrecht seit Einführung der Regulierung Kritischer Infrastrukturen.
Im Zentrum steht die Überarbeitung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz, kurz BSIG). Unternehmen müssen künftig selbst prüfen, ob sie unter den Geltungsbereich fallen und damit zu den künftig rund 29.500 von der Behörde beaufsichtigten Einrichtungen gehören. Bislang regulierte das Gesetz ungefähr 4.500 Organisationen, darunter Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse.
Mit dem neuen Rechtsrahmen entstehen zwei Kategorien: „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“. Unternehmen, die definierte Schwellenwerte bei Beschäftigtenzahl, Umsatz oder Bilanzsumme überschreiten, sind verpflichtet, sich zu registrieren, erhebliche Sicherheitsvorfälle zu melden sowie ein dokumentiertes Risikomanagement zu betreiben. Betreiber Kritischer Infrastrukturen gelten automatisch als besonders wichtige Einrichtungen.
Neue Anforderungen für die Bundesverwaltung
Auch die Bundesverwaltung unterliegt künftig strengeren Vorgaben. Betroffen sind Bundesbehörden, öffentlich-rechtlich organisierte IT-Dienstleister sowie bestimmte Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts. Sie müssen Risikomanagementmaßnahmen nach dem IT-Grundschutz umsetzen und zusätzlich die Mindeststandards des BSI einhalten. Damit wird die bisher heterogene Sicherheitslandschaft stärker vereinheitlicht und auf ein klar definiertes Mindestniveau gehoben.
BSI-Präsidentin Claudia Plattner bezeichnet die Lage Deutschlands als angespannt. „Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im digitalen Raum verwundbar. Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird dazu führen, dass sich die Resilienz unseres Landes spürbar und messbar verbessert.“
Registrierung über digitales Unternehmenskonto
Für betroffene Einrichtungen sieht das BSI einen zweistufigen Registrierungsprozess vor. Er beginnt mit der Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK). Dieses Nutzerkonto im Sinne des Onlinezugangsgesetzes dient juristischen Personen als Zugang zu staatlichen Onlinediensten und bildet das geschäftliche Pendant zur BundID. Die technische Basis liefert die Plattform für Elektronische Steuererklärungen ELSTER, deren Organisationszertifikate vielen Unternehmen bereits aus steuerlichen Verfahren vertraut sind. Weitere Informationen zur Registrierung bei MUK stellt das BSI bereit.
Das BSI empfiehlt, dieses Konto bis spätestens Ende des Jahres 2025 anzulegen. Ab Anfang 2026 können sich Einrichtungen dann im neuen Portal der Behörde registrieren, das am 6. Januar 2026 freigeschaltet wird. Es fungiert künftig auch als Meldestelle für erhebliche Sicherheitsvorfälle. Sollte ein Vorfall vor der Registrierung eintreten, erfolgt die Meldung über ein Onlineformular; Betreiber Kritischer Infrastrukturen und Bundesbehörden nutzen vorerst ihre bisherigen Meldewege.
