Das Bundeskabinett hat den von Bundesinnenministerin Nancy Faeser (SPD) vorgelegten Gesetzesentwurf zur Stärkung von Deutschlands Cyber-Sicherheit beschlossen. Darin wird die nationale Umsetzung der europäischen NIS-2-Richtlinie geregelt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält neue Befugnisse. Wirtschaftsverbände fordern weitere Anpassungen.
Die Umsetzung der zweiten EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) in deutsches Recht solle „den Schutz vor Cyber-Angriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind“, erhöhen. So fasste Nancy Faeser, Bundesministerin des Innern und für Heimat, das Ziel des von ihrem Ministerium vorgelegten und nun beschlossenen Entwurfs zusammen. Um diesen Schutz zu gewährleisten, müssten künftig „mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cyber-Sicherheit und Meldepflichten bei Cyber-Vorfällen erfüllen“, so Faeser weiter. Die Innenministerin zeigte sich zudem zuversichtlich, dass die Maßnahmen „unnötige Bürokratie vermeiden“ könnten.
Bußgelder durch das BSI
Als „Cyber-Sicherheitsbehörde des Bundes“ falle dem BSI bei der NIS-2-Umsetzung eine Schlüsselrolle zu, führte Faeser weiter aus. Konkret bedeutet das eine Ausweitung der Aufsichts- und Durchsetzungsrechte. Zunächst soll der Katalog der Mindestsicherheitsanforderungen der NIS-2-Richtlinie in das BSI-Gesetz übernommen werden. Zu diesen Mindestanforderungen zählen u.a. Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management sowie Konzepte zum Einsatz von Verschlüsselung. Ferner wird die bislang einstufige Meldepflicht von Cyber-Sicherheitsvorfällen zu einem dreistufigen Meldesystem ausgebaut, das eine Erstmeldung innerhalb von 24 Stunden beinhaltet.
„Künftig werden rund 29.500 Unternehmen zur Umsetzung von Cyber-Sicherheitsmaßnahmen verpflichtet sein“, ergänzte BSI-Präsidentin Claudia Plattner. Das Bundesamt wolle diese Unternehmen bei der reibungslosen Umsetzung bestmöglich unterstützen. Verletzen Unternehmen jedoch ihre Pflichten zur Cyber-Sicherheit, können zukünftig Bußgelder fällig werden. Die neuen Bußgeldrahmen des BSI könnten sich prozentual am Jahresumsatz des jeweiligen Unternehmens bemessen.
Rechtssicherheit und Geheimhaltung
Bitkom-Präsident Ralf Wintergerst stellt NIS-2 ein gutes Zeugnis aus: Der Richtlinie sei es gelungen, „die Cyber-Sicherheit zu stärken, ohne die Unternehmen durch zu viel Regulierung“ zu belasten. Durch die verzögerte Umsetzung in Deutschland – die Frist bis Oktober kann laut Wintergerst „nicht mehr eingehalten werden“ – fehle es deutschen Unternehmen jedoch an Rechtssicherheit. Laut dem Präsidenten des IT-Branchenverbands mangele es zudem noch an einer Harmonisierung mit dem KRITIS-Dachgesetz. Zudem solle das BSI bei seinem Prüfungen die „Geheimhaltung von sensiblen Geschäftsgeheimnissen“ sicherstellen.
