Strengere Regeln für Cybersicherheit

Kabinett beschließt Gesetz zur Umsetzung der NIS-2-Richtlinie

24.07.2024

Die NIS-2-Richtlinie verschärft für Staat und Gesellschaft wichtige Einrichtungen und Firmen die Anforderungen bei der IT-Sicherheit. Die entsprechende EU-Richtlinie greift bereits ab Oktober, jetzt kommt auch endlich das zugehörige Umsetzungsgesetz in Deutschland voran.

Das Bundeskabinett hat jetzt den lange und heftig diskutierten "Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie" beschlossen. Nun muss es noch vom Bundestag gebilligt werden.
Foto: Na_Studio - shutterstock.com

Das Bundeskabinett hat strengere Regeln für den Schutz kritischer Anlagen und wichtiger Unternehmen vor Cyberangriffen beschlossen. Mit dem geplanten Gesetz wird die europäische NIS-2-Richtlinie umgesetzt. Als besonders wichtige Einrichtung im Sinne des Gesetzes gelten unter anderem Großunternehmen der Sektoren Energie, Transport und Verkehr, Trinkwasser, Abwasser und Telekommunikation.

Die Pflicht zur Umsetzung bestimmter Sicherheitsmaßnahmen zur Abwehr und Bewältigung von Cyberangriffen soll künftig rund 29.500 Unternehmen betreffen und damit deutlich mehr als bisher. Zudem soll der Instrumentenkasten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert werden - auch was die Möglichkeit betrifft, Bußgelder zu verhängen.

Im Gesetzentwurf heißt es beispielsweise, während eines erheblichen Sicherheitsvorfalls könne das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern kritischer Anlagen die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen. BSI-Präsidentin Claudia Plattner betonte jedoch, das BSI wolle die betroffenen Unternehmen generell "bestmöglich unterstützen und die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten".

Anforderungen an die Unternehmen

Zu den Anforderungen an die Unternehmen zählen laut Innenministerium unter anderem Risikoanalysekonzepte, ein Backup-Management, Maßnahmen zur Aufrechterhaltung des Betriebs sowie Konzepte zum Einsatz von Verschlüsselung.

Schon jetzt müssen Unternehmen Cybersicherheitsvorfälle an das BSI melden. Künftig soll es ein dreistufiges Meldesystem geben: Eine erste Meldung binnen 24 Stunden, ein Update innerhalb von 72 Stunden sowie einen Abschlussbericht, der binnen eines Monats übermittelt werden muss. Damit Unternehmen prüfen können, ob sie von der geplanten Änderung, die noch vom Bundestag gebilligt werden muss, betroffen sind, hat das BSI einen Fragenkatalog dazu veröffentlicht.

Was noch aussteht, ist das im Koalitionsvertrag von SPD, Grünen und FDP vereinbarte "Kritis-Dachgesetz". Es soll Vorgaben für einen besseren physischen Schutz wichtiger Einrichtungen beinhalten. Hierzu hatte das Innenministerium bereits im Dezember 2022 Eckpunkte vorgelegt. (dpa/rs/pma)