NIS-2: Nationales Cybersicherheitsgesetz beschlossen

Das vom Deutschen Bundestag verabschiedete Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie wird das nationale IT-Sicherheitsrecht umfassend modernisieren, stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer Pressemitteilung fest: Die Richtlinie erhöht die Anforderungen an die Cybersicherheit bestimmter Unternehmen sowie der Bundesverwaltung. Das BSI wird Aufsichtsbehörde für die von der Richtlinie betroffenen Unternehmen und zudem in der Funktion eines Chief-Information-Security-Officer (CISO) zentrale Stelle für die Cybersicherheit der Bundesverwaltung.

Das NIS-2-Umsetzungsgesetz umfasst dafür einerseits eine Novellierung des BSI-Gesetzes (BSIG), von dem bislang circa 4500 Einrichtungen des Wirtschaftraums erfasst waren: Betreiber kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste sowie Unternehmen im „besonderen öffentlichen Interesse“. Mit dem Inkrafttreten des NIS-2-Gesetzes werden die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ ergänzt, sodass das BSI künftig nach eigenen Schätzungen rund 29500 Einrichtungen beaufsichtigen muss, für die neue gesetzliche Pflichten in der IT-Sicherheit gelten: Betroffene Unternehmen müssen sich beim BSI registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Risikomanagement-Maßnahmen implementieren.

Von den Einrichtungen der Bundesverwaltung verlangt das Gesetz, Mindestanforderungen der Informationssicherheit zu erfüllen, die sich unter anderem aus dem IT-Grundschutz-Kompendium des BSI und Mindeststandards für die Sicherheit in der Informationstechnik des Bundes ergeben. Der angespannten Lage im Cyberraum müsse überdies eine robuste IT-Governance-Struktur in der Bundesverwaltung entgegengesetzt werden, die sich über alle Ressorts, Behörden und Institutionen erstreckt und dem Ziel diene, IT-Sicherheit gemeinsam zu organisieren und kontinuierlich zu verbessern, betont das BSI, das diese Aktivitäten künftig als CISO koordinieren werde.

BSI-Präsidentin Claudia Plattner kommentiert: „Mit diesem Gesetz hat Deutschland einen wichtigen Meilenstein auf dem Weg zu einer resilienten Cybernation erreicht, denn wir schützen damit einen entscheidenden Teil unserer digitalen Angriffsfläche viel besser als bisher. Ich danke ausdrücklich dem Bundesinnenminister sowie allen Mitgliedern der Bundesregierung und des Deutschen Bundestages, die dies ermöglicht haben. Zudem danke ich herzlich dem Bundesdigitalmister für seine Unterstützung – wir freuen uns sehr auf die Intensivierung der Zusammenarbeit. Es ist von großem Nutzen, dass Mandat, Expertise und Ressourcen für die operative Umsetzung von Cybersicherheit innerhalb der Bundesverwaltung nun an einer Stelle gebündelt und stringent eingesetzt werden können. Diese Aufgabe nehmen wir gerne an, wir sind uns ihrer Größe aber auch mehr als bewusst. Daher werden wir in kollegialer Zusammenarbeit mit den Regierungsressorts die dringend benötigte Resilienz der Bundesverwaltung signifikant stärken, Digitalisierungsprojekte des Bundes konstruktiv begleiten und dabei nicht nur die nötige Fachkompetenz, sondern auch Neutralität, Aufwandseffizienz und Kontinuität sicherstellen. Für die von der NIS-2-Regulierung erfassten Unternehmen tun wir bereits jetzt sehr viel mit vielseitigen Beratungs- und Unterstützungsangeboten. Diese werden wir mit Inkrafttreten des Gesetzes erneut ausweiten.“

Mit einem Starterpaket wolle das BSI betroffenen Unternehmen klare Informationen an die Hand geben, um die Verpflichtungen, die sich aus der NIS-2-Richtlinie ergeben, erfolgreich umzusetzen. Mit Inkrafttreten werde das BSI zudem virtuelle Kick-off-Seminare anbieten, in denen Unternehmen unter anderem Schritt-für-Schritt-Anleitungen für die Betroffenheitsprüfung sowie Registrierungs- und Meldeprozesse erhalten.