NIS-2-Umsetzung: Bundestag beschließt Cybersicherheitsgesetz

Mit dem im Deutschen Bundestag verabschiedeten Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie wird das nationale IT-Sicherheitsrecht umfassend modernisiert: Die Richtlinie erhöht die Anforderungen an die Cybersicherheit bestimmter Unternehmen sowie der Bundesverwaltung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt in beiden Bereichen eine Schlüsselposition ein. Es wird Aufsichtsbehörde für die von der Richtlinie betroffenen Unternehmen, wie die COMPUTER SPEZIAL zuvor berichtete; zudem wird es in der Funktion des Chief Information Security Officer (CISO) zentrale Stelle für die Cybersicherheit der Bundesverwaltung.

IT-Sicherheit gemeinsam organisieren und kontinuierlich zu verbessern

Das NIS-2-Umsetzungsgesetz umfasst eine Novellierung des BSI-Gesetzes (BSIG), von dem bislang ca. 4.500 Einrichtungen des Wirtschaftraums erfasst waren: Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Mit dem Inkrafttreten des NIS-2-Gesetzes wird dieser Radius um die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ erweitert, so dass das BSI künftig rund 29.500 Einrichtungen beaufsichtigen wird, für die neue gesetzliche Pflichten in der IT-Sicherheit gelten: Betroffene Unternehmen müssen sich beim BSI registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Risikomanagement-Maßnahmen implementieren.

Von den Einrichtungen der Bundesverwaltung verlangt das Gesetz, Mindestanforderungen der Informationssicherheit zu erfüllen, die sich u. a. aus dem IT-Grundschutz-Kompendium des BSI und Mindeststandards für die Sicherheit in der Informationstechnik des Bundes ergeben. Der angespannten Lage im Cyberraum muss zudem eine robuste IT-Governance-Struktur in der Bundesverwaltung entgegengesetzt werden, die sich über alle Ressorts, Behörden und Institutionen erstreckt und dem Ziel dient, IT-Sicherheit gemeinsam zu organisieren und kontinuierlich zu verbessern. Die Koordination dieser Aktivitäten übernimmt künftig das BSI in der Rolle des CISO Bund.

Betroffene Unternehmen unterstützen

BSI-Präsidentin Claudia Plattner: „Mit diesem Gesetz hat Deutschland einen wichtigen Meilenstein auf dem Weg zu einer resilienten Cybernation erreicht, denn wir schützen damit einen entscheidenden Teil unserer digitalen Angriffsfläche viel besser als bisher. Es ist von großem Nutzen, dass Mandat, Expertise und Ressourcen für die operative Umsetzung von Cybersicherheit innerhalb der Bundesverwaltung nun an einer Stelle gebündelt und stringent eingesetzt werden können. Diese Aufgabe nehmen wir gerne an, wir sind uns ihrer Größe aber auch mehr als bewusst. Daher werden wir in kollegialer Zusammenarbeit mit den Regierungsressorts die dringend benötigte Resilienz der Bundesverwaltung signifikant stärken, Digitalisierungsprojekte des Bundes konstruktiv begleiten und dabei nicht nur die nötige Fachkompetenz, sondern auch Neutralität, Aufwandseffizienz und Kontinuität sicherstellen. Für die von der NIS-2-Regulierung erfassten Unternehmen tun wir bereits jetzt sehr viel mit vielseitigen Beratungs- und Unterstützungsangeboten. Diese werden wir mit Inkrafttreten des Gesetzes erneut ausweiten.“

Mit einem Starterpaket wird das BSI betroffenen Unternehmen klare Informationen an die Hand geben, um die Verpflichtungen, die sich aus der NIS-2-Richtlinie ergeben, erfolgreich umzusetzen. Mit Inkrafttreten wird das BSI zudem virtuelle Kick-off-Seminare anbieten, in denen Unternehmen unter anderem Schritt-für-Schritt-Anleitungen für die Betroffenheitsprüfung sowie Registrierungs- und Meldeprozesse erhalten.