Ca. 29.500 Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet / Stärkere Aufsicht durch das BSI

Das Bundeskabinett hat jüngst den von Bundesinnenministerin Nancy Faeser vorgelegten Entwurf für ein Gesetz zur Stärkung der Cybersicherheit beschlossen. Damit wird die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) im deutschen Recht umgesetzt. Das deutsche IT-Sicherheitsrecht wird umfassend modernisiert und neu strukturiert. Die Pflichten zur Umsetzung von Cybersicherheitsmaßnahmen und Meldung von Cyberangriffen werden auf mehr Unternehmen in mehr Sektoren ausgeweitet und die Cybersicherheit der Bundesverwaltung gestärkt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält neue Aufsichtsinstrumente.

Bundesinnenministerin Nancy Faeser: „„Die Bedrohungslage im Bereich der Cybersicherheit ist unvermindert hoch. Wir erleben durch den russischen Angriffskrieg gegen die Ukraine und seine Folgen auch eine Zeitenwende für die innere Sicherheit. Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind. Künftig müssen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen. Wir steigern das Sicherheitsniveau – und senken damit das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden.“ „Ich bin davon überzeugt, dass wir mit dem Gesetz die Resilienz von Wirtschaft und Bundesverwaltung gegen Cybergefahren stärken und zugleich unnötige Bürokratie vermeiden. Dem BSI als Cybersicherheitsbehörde des Bundes kommt hier eine Schlüsselrolle zu. Es wird die Einhaltung der Vorgaben durch die Unternehmen überwachen und die Cybersicherheit in der Bundesverwaltung weiter stärken.““BSI-Präsidentin Claudia Plattner: „„Künftig werden rund 29.500 Unternehmen zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet sein. Sie gewährleisten die Versorgungssicherheit der Bevölkerung und bilden das Rückgrat der Cybernation Deutschland. Daher wird das BSI sie dabei bestmöglich unterstützen und die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten.““

Richtlinie (EU) 2022/2555

Mit dem Gesetzentwurf werden die Vorgaben der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (sog. NIS-2-Richtlinie) im Wesentlichen in Form einer Novelle des BSI-Gesetzes umgesetzt. Im Bereich der Wirtschaft handelt es sich um eine 1:1-Umsetzung der NIS-2-Richtlinie, d.h. dass über die europarechtlichen Vorgaben nicht hinausgegangen wird.

Der Gesetzentwurf enthält im Wesentlichen die folgenden Regelungen:

• Einführung der Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
• Der Katalog der Mindestsicherheitsanforderungen der NIS-2-Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den o.g. Kategorien differenziert wird. Zu den Anforderungen zählen u.a. Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management, und Konzepte zum Einsatz von Verschlüsselung.
• Die bislang einstufige Meldepflicht bei Cybersicherheitsvorfällen der erfassten Unternehmen an das BSI wird durch ein dreistufiges Meldesystem ersetzt. Vorgesehen ist eine Erstmeldung binnen 24 Stunden, ein Update binnen 72 Stunden und ein Abschlussbericht der binnen eines Monats zu übermitteln ist.
• Ausweitung des Instrumentariums des BSI zur Aufsicht und Durchsetzung. Hierzu zählen u.a. die neuen Bußgeldrahmen, die sich gegebenenfalls prozentual am weltweiten Jahresumsatz eines Unternehmens bemessen, wenn Unternehmen wesentliche Pflichten zur Cybersicherheit verletzen – zum Beispiel, wenn Mängel in der Umsetzung von Cybersicherheitsmaßnahmen nicht abgestellt werden.
• Etablierung eines Chief Information Security Officer für den Bund und gesetzliche Verankerung wesentlicher Anforderungen an das Informationssicherheitsmanagement

Um potenziell von neuen gesetzlichen Pflichten betroffene Unternehmen schon während des laufenden Gesetzgebungsverfahrens zu informieren, hat das BSI jüngst Unterstützungsangebote veröffentlicht:

• Eine Betroffenheitsprüfung enthält konkrete, an der NIS-2-Richtlinie orientierte Ja/Nein-Fragen, um Unternehmen in vier Kategorien einzuordnen: Betreiber Kritischer Infrastrukturen, besonders wichtige Einrichtungen, wichtige Einrichtungen und nicht betroffene Unternehmen. Sobald das geänderte BSI-Gesetz verabschiedet wurde, wird das BSI die Prüfung aktualisieren.
• Dann wird es für die nach der neuen Gesetzeslage zur Registrierung verpflichteten Unternehmen möglich sein, sich beim BSI zu registrieren.
• Ein FAQ-Katalog umfasst Fragen und Antworten zu den wichtigsten Themen der NIS-2-Richtlinie, etwa zur Betroffenheit, zu Ansprechstellen und gesetzlichen Pflichten.

KRITIS-Dachgesetz für Mindeststandards

Um auch beim physischen Schutz kritischer Einrichtungen nachhaltig mehr Resilienz zu schaffen, wird in Kürze mit dem KRITIS-Dachgesetz ein weiterer Meilenstein zum Schutz von KRITIS vom Bundesinnenministerium vorgelegt werden. Mit dem KRITIS-Dachgesetz werden erstmalig sektorübergreifende Mindeststandards zum physischen Schutz von Kritischen Infrastrukturen festgelegt. Auf diese Weise wird ein wesentlicher Beitrag dazu geleistet, dass wichtige Unternehmen und Einrichtungen zuverlässig die Dienstleistungen erbringen können, die für die Versorgung der Bevölkerung und das Funktionieren unserer Gesellschaft essenziell sind.

---

 

Redaktionelle Infos

Aufgaben des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine breite Palette von Aufgaben, die darauf abzielen, die Cybersicherheit in Deutschland zu gewährleisten und zu verbessern. Die wichtigsten Aufgaben des BSI umfassen:

1. **Schutz der IT-Systeme des Bundes**: Das BSI ist verantwortlich für die Abwehr von Cyberbedrohungen gegen die IT-Infrastruktur der Bundesverwaltung. Dazu gehört die Erkennung und Abwehr von Viren, Trojanern und anderen Schadprogrammen.
2. **Zertifizierung und Akkreditierung**: Das BSI prüft und zertifiziert IT-Produkte und -Dienstleistungen, um sicherzustellen, dass sie den Sicherheitsstandards entsprechen.
3. **Warnung und Beratung**: Das BSI gibt Warnungen vor Sicherheitslücken und Schadprogrammen heraus und bietet praxisorientierte Mindeststandards sowie Handlungsempfehlungen zur IT- und Internet-Sicherheit.
4. **Schutz kritischer Infrastrukturen**: Das BSI arbeitet daran, die Sicherheit von kritischen Infrastrukturen wie Energie, Transport und Gesundheit zu gewährleisten, die für das Funktionieren der Gesellschaft essenziell sind.
5. **Förderung der Cybersicherheit in der Wirtschaft**: Durch die Bereitstellung von Informationen und Hilfestellungen unterstützt das BSI Unternehmen dabei, ihre Cybersicherheit zu erhöhen.

Für das Jahr 2024 stehen dem BSI erhebliche finanzielle Mittel zur Verfügung, um diese Aufgaben zu erfüllen. Der genaue Betrag für das Budget des BSI im Jahr 2024 beträgt ca. 148 Millionen Euro. Dieses Budget wird verwendet, um die verschiedenen Initiativen und Maßnahmen des BSI zu finanzieren, darunter die Weiterentwicklung von Sicherheitsstandards, die Durchführung von Zertifizierungen und die Förderung von Forschungs- und Entwicklungsprojekten im Bereich der Cybersicherheit.

Quellen:

– [BSI – Aufgaben und Themen]
– [BMI – Bundesamt für Sicherheit in der Informationstechnik]

• Website URL: https://www.bsi.bund.de
• Bildrechte: OpenAI,
• Artikel Empfehlung: https://internet-weekly.de/cybersicherheit-steht-vor-einer-ki-herausforderung-milliarden-markt/