NIS2-Gesetz: Deutschland stärkt Cyber-Abwehr

Der Deutsche Bundestag hat den lang erwarteten Gesetzentwurf der Bundesregierung zur Umsetzung der europäischen NIS2-Richtlinie angenommen. Ziel des Gesetzes ist es, die digitale Widerstandsfähigkeit Deutschlands angesichts der angespannten Bedrohungslage deutlich zu erhöhen und das Sicherheitsniveau in der gesamten Europäischen Union zu harmonisieren.

Die Abstimmung über NIS2 im Parlament zeigte eine breite Zustimmung, wenngleich nicht einstimmig: CDU/CSU, AfD und SPD votierten für das Gesetz, während Bündnis 90/Die Grünen dagegen stimmten und Die Linke sich enthielt.

Das neue Gesetz erweitert den Kreis der von Sicherheitsanforderungen betroffenen Organisationen massiv. Es wird geschätzt, dass künftig rund 30.000 Unternehmen in Deutschland, die als "wichtige" oder "besonders wichtige Einrichtungen" eingestuft werden, den neuen Regelungen unterliegen. Unternehmen, die anhand ihrer Sektorzugehörigkeit und Größe (mindestens 50 Beschäftigte oder 10 Millionen Euro Jahresumsatz) unter die Richtlinie fallen, müssen künftig eine Reihe von Pflichten beachten. Dazu gehören Risikomanagementmaßnahmen, die den Stand der Technik berücksichtigen und mindestens die Themen Bewältigung von Sicherheitsvorfällen, Business Continuity Management, Kryptografie und Multi-Faktor-Authentifizierung umfassen müssen.

Eine elementare Neuerung ist die persönliche Haftung der Geschäftsleitung für die Überwachung der Umsetzung dieser Risikomanagementmaßnahmen, ergänzt durch eine Schulungspflicht für Führungskräfte in Sachen Cybersicherheit. Zudem müssen sich betroffene Unternehmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und erhebliche Sicherheitsvorfälle in einem dreistufigen Meldeverfahren frühzeitig melden.

Wichtigere Rolle des BSI

Das BSI spielt künftig eine noch zentralere Rolle als nationale Cybersicherheitsbehörde. Mit dem NIS2-Umsetzungsgesetz werden seine Befugnisse erweitert, um die Einhaltung der Vorschriften bei den nunmehr zehntausenden betroffenen Einrichtungen zu überwachen, Anordnungen bei Verstößen zu treffen und Bußgelder zu verhängen. Gleichzeitig wird das BSI seiner Unterstützungsrolle durch die Festlegung von Mindestsicherheitsstandards, die Bereitstellung von Umsetzungshilfen und die Organisation des Informationsaustauschs über Sicherheitsvorfälle gerecht. Eine wichtige Neuerung ist auch, dass künftig auch nachgelagerte Bundesbehörden in den Anwendungsbereich einbezogen werden und damit denselben strengen Anforderungen im Risikomanagement unterliegen wie regulierte Unternehmen.

Bitkom kritisiert Komponenten-Zusatz

Der Digitalverband Bitkom begrüßt die Harmonisierung und Stärkung des Cybersicherheitsniveaus durch die NIS2-Richtlinie im Grundsatz, hält diese angesichts des jährlichen Schadens von Hunderten Milliarden Euro in der deutschen Wirtschaft durch Cyberattacken für überfällig und zwingend notwendig. Positiv wird auch bewertet, dass nun die Bundesverwaltung in die Pflicht genommen wird. Jedoch übt der Verband Kritik an den kurzfristig eingebrachten Neuregelungen zu den "kritischen Komponenten". Bitkom-Präsident Dr. Ralf Wintergerst betonte, dass diese Regelungen "eher schädlich" seien und die Definition kritischer Komponenten auf Grundlage technischer Kriterien durch die Bundesnetzagentur erfolgen sollte, statt durch kurzfristig eingeführte, umstrittene Neuregelungen.

Aus seiner Sicht besteht Anlass zur Sorge, dass diese Neuregelungen Investitionsentscheidungen der Unternehmen bremsen und damit die Digitalisierung in Deutschland negativ beeinflussen könnten. Die Neuregelung zu kritischen Komponenten erweitert die Befugnisse des Bundesinnenministeriums, den Einsatz bestimmter Komponenten in kritischen Infrastrukturen zu untersagen, wenn Sicherheitsbedenken bestehen. Hieraus können sich auch Unsicherheiten für IT-Dienstleister ergeben, wenn integrierte Komponenten im Rahmen eines Projekts plötzlich als "kritisch" bewertet werden.

Das BSI bietet hier eine Übersicht über die konkreten Pflichten und Anforderungen des NIS2-Umsetzungsgesetzes.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden