Die Bundesregierung hat eine umfassende Modernisierung und Neukonzeption des IT-Sicherheitsrechts beschlossen, um Staat und Wirtschaft besser vor Cyberangriffen zu schützen. Diese Reform basiert auf der Umsetzung der neuen EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) und zielt darauf ab, die Cybersicherheitsmaßnahmen zu erweitern und die Überwachung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu verstärken.
Gesetzesentwurf zur Umsetzung der NIS-2-Richtlinie
Das Bundeskabinett hat einen Gesetzesentwurf verabschiedet, der die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) in deutsches Recht umsetzt. Diese umfassende Änderung des IT-Sicherheitsrechts soll die Maßnahmen zur Cybersicherheit erheblich erweitern und die Überwachungsfunktionen des BSI stärken. Ein zentrales Element ist die Einführung neuer Kategorien von Einrichtungen, die über die bisherigen Kritischen Infrastrukturen hinausgehen und eine größere Bandbreite von Unternehmen und Sektoren einschließen soll.
Erweiterung der Cybersicherheitsmaßnahmen
Die Verpflichtung zur Umsetzung von Cybersicherheitsmaßnahmen und zur Meldung von Cyberangriffen wird nun auf etwa 29.500 Unternehmen und zahlreiche Sektoren ausgeweitet. Dies bedeutet eine signifikante Erhöhung des Anwendungsbereichs der Sicherheitsvorschriften und soll dazu beitragen, das Sicherheitsniveau in Deutschland zu erhöhen und das Risiko für Cyberangriffe signifikant zu senken. Zu diesen neuen Kategorien gehören „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“, die spezielle Anforderungen erfüllen müssen.
Ein entscheidender Bestandteil der neuen Regelungen ist die Übernahme des Mindestsicherheitsanforderungskatalogs der NIS-2-Richtlinie in das BSI-Gesetz. Dieser Katalog umfasst detaillierte Vorgaben zur Risikobewertung, zur Aufrechterhaltung des Betriebs, zum Backup-Management und zur Anwendung von Verschlüsselungstechnologien. Diese Maßnahmen zielen darauf ab, die Resilienz und das Sicherheitsbewusstsein der betroffenen Einrichtungen deutlich zu erhöhen. Darüber hinaus wird darauf geachtet, dass die Anforderungen verhältnismäßig bleiben und den Fähigkeiten und Ressourcen der betroffenen Unternehmen entsprechen.
Neue Meldepflichten und Strafmaße
Die Meldepflichten bei Cybersicherheitsvorfällen werden von einer einstufigen auf eine dreistufige Verpflichtung erweitert. Unternehmen sind nun verpflichtet, eine Erstmeldung eines Vorfalls innerhalb von 24 Stunden, ein Update binnen 72 Stunden und einen umfassenden Abschlussbericht innerhalb eines Monats an das BSI zu übermitteln. Diese differenzierte Berichtspflicht soll eine zeitnahe und genaue Erfassung von Sicherheitsvorfällen ermöglichen und eine schnellere Reaktion auf Bedrohungen gewährleisten.
Zusätzlich zu den neuen Meldepflichten werden auch die Strafmaßnahmen verschärft. Unternehmen, die gegen die neuen Cybersicherheitsvorgaben verstoßen, müssen mit erheblichen Bußgeldern rechnen. Diese Bußgelder orientieren sich prozentual am weltweiten Jahresumsatz des jeweiligen Unternehmens und sollen somit einen starken Anreiz zur Einhaltung der Sicherheitsvorgaben schaffen. Diese Maßnahmen sind ein klares Signal, dass die Bundesregierung Cybersicherheit sehr ernst nimmt und entschlossen ist, die Sicherheit von Staat und Wirtschaft zu erhöhen.
Stärkung der Bundesverwaltung und Unterstützung für Unternehmen
Ein weiterer wesentlicher Punkt des neuen Gesetzes ist die Stärkung der Cybersicherheit in der Bundesverwaltung. Die Einführung der Rolle eines Chief Information Security Officers (CISO) für den Bund ist ein zentraler Bestandteil dieser Maßnahme. Der CISO soll dafür sorgen, dass die Bundesverwaltung den gestiegenen Anforderungen an das Informationssicherheitsmanagement gerecht wird und die Cybersicherheit kontinuierlich verbessert wird.
Einführung des Chief Information Security Officer (CISO)
Die Position des Chief Information Security Officer (CISO) soll die Bundesverwaltung in die Lage versetzen, die gestiegenen Anforderungen im Bereich der Cybersicherheit effizient und wirksam zu erfüllen. Der CISO wird für die Koordination und Implementierung der Sicherheitsstrategien verantwortlich sein und sicherstellen, dass alle Bundesbehörden und -einrichtungen den vorgeschriebenen Sicherheitsstandards entsprechen. Diese Maßnahme soll die Widerstandsfähigkeit der Bundesverwaltung gegen Cyberangriffe erheblich verbessern.
Darüber hinaus wird der CISO eine Schlüsselrolle bei der Bewertung und Bewältigung von Sicherheitsvorfällen spielen und als zentrale Anlaufstelle für alle Fragen der IT-Sicherheit innerhalb der Bundesverwaltung fungieren. Dies soll eine enge Zusammenarbeit und eine schnelle Reaktion auf Sicherheitsbedrohungen ermöglichen. Durch die gesetzliche Verankerung der Rolle des CISO wird die Bedeutung der Cybersicherheit in der Bundesverwaltung weiter unterstrichen und deren Stellenwert erhöht.
Unterstützung durch das BSI
Um Unternehmen auf die neuen gesetzlichen Pflichten vorzubereiten, hat das BSI bereits eine Reihe von Unterstützungsangeboten veröffentlicht. Dazu zählt eine Betroffenheitsprüfung, die Unternehmen in vier Kategorien einteilt: Betreiber Kritischer Infrastrukturen, besonders wichtige Einrichtungen, wichtige Einrichtungen und nicht betroffene Unternehmen. Diese Kategorisierung soll den Unternehmen helfen, ihre spezifischen Risiken und Verpflichtungen besser zu verstehen und entsprechende Maßnahmen zu ergreifen.
Zusätzlich hat das BSI einen umfassenden FAQ-Katalog erstellt, der Antworten auf die wichtigsten Fragen zur NIS-2-Richtlinie und deren Umsetzung bereithält. Dieser Katalog soll den Unternehmen als Orientierungshilfe dienen und ihnen helfen, die neuen gesetzlichen Anforderungen effektiv zu erfüllen. Darüber hinaus werden Schulungen und Informationsveranstaltungen angeboten, um die Unternehmen bei der Implementierung der notwendigen Sicherheitsmaßnahmen zu unterstützen.
Zukünftige Maßnahmen und KRITIS-Dachgesetz
Neben den bereits beschlossenen Maßnahmen plant die Bundesregierung weitere Schritte zur Stärkung der Cybersicherheit. In Kürze soll das KRITIS-Dachgesetz vom Bundesinnenministerium vorgelegt werden. Dieses Gesetz wird sektorübergreifende Mindeststandards zum physischen Schutz von Kritischen Infrastrukturen festlegen und damit die Resilienz wichtiger Unternehmen und Einrichtungen weiter stärken.
Sektorübergreifende Mindeststandards
Das KRITIS-Dachgesetz soll sicherstellen, dass Kritische Infrastrukturen, die essenzielle Dienstleistungen für die Versorgung der Bevölkerung und das Funktionieren der Gesellschaft erbringen, besser geschützt werden. Durch die Einführung bindender Mindeststandards sollen die Unternehmen und Einrichtungen ihre physischen Schutzmaßnahmen verbessern und so ihre Widerstandsfähigkeit gegenüber physischen und cyberbedingten Bedrohungen erhöhen. Diese Standards umfassen unter anderem Sicherheitskonzepte für Zugänge zu sensiblen Bereichen, Notfallpläne und regelmäßige Sicherheitsüberprüfungen.
Ein erklärtes Ziel des KRITIS-Dachgesetzes ist es, die Zusammenarbeit und den Informationsaustausch zwischen den Betreibern Kritischer Infrastrukturen, den Sicherheitsbehörden und anderen relevanten Akteuren zu fördern. Dies soll dazu beitragen, Bedrohungen frühzeitig zu erkennen und gemeinsam geeignete Gegenmaßnahmen zu entwickeln. Damit wird ein umfassender Schutz von essenziellen Dienstleistungen und Infrastrukturen angestrebt, die für das tägliche Leben der Bevölkerung und die Funktionsfähigkeit der Gesellschaft unverzichtbar sind.
Reaktion auf wachsende Bedrohungen
Die Bundesregierung hat eine weitreichende Modernisierung und grundlegende Neukonzeption des IT-Sicherheitsrechts beschlossen, um den Schutz von Staat und Wirtschaft vor Cyberangriffen zu verbessern. Diese umfassende Reform beruht auf der Umsetzung der neuen EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2). Ziel der Reform ist es, die Cybersicherheitsmaßnahmen erheblich auszuweiten und die Überwachung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu verstärken. Ein zentrales Element dieser Reform ist die verstärkte Zusammenarbeit zwischen öffentlichen und privaten Institutionen, um gemeinsam gegen Cyberbedrohungen vorzugehen. Dabei wird auch besonderer Wert auf die Schulung und Sensibilisierung der Mitarbeiterinnen und Mitarbeiter gelegt, um ein höheres Bewusstsein für die Gefahren im digitalen Raum zu schaffen. Diese Maßnahmen sollen langfristig dazu beitragen, die Resilienz gegenüber Cyberangriffen zu erhöhen und die Sicherheit der digitalen Infrastruktur in Deutschland zu gewährleisten.
