Bundesinnenministerin Nancy Faeser hat einen Gesetzentwurf vorgelegt, mit dem das deutsche IT-Sicherheitsrecht umfassend modernisiert und neu strukturiert wird. Heute hat das Bundesministerium des Innern und für Heimat (BMI) die Länder- und Verbändebeteiligung zu diesem Gesetzentwurf zur Umsetzung der 2. EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) eingeleitet und den Gesetzentwurf veröffentlicht. Die Einbindung der Verbände in das laufende Gesetzgebungsvorhaben ist von besonderer Bedeutung, da das Gesetz den bisherigen Kreis der betroffenen Unternehmen erheblich ausweitet.
Bundesinnenministerin Nancy Faeser: „Die Bedrohungslage im Bereich der Cybersicherheit ist unvermindert hoch. Wir erleben durch den russischen Angriffskrieg gegen die Ukraine und seine Folgen auch eine Zeitenwende für die Innere Sicherheit. Mit unserem Gesetz werden künftig mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen müssen. Wir steigern das Sicherheitsniveau – und senken damit das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden.
Ich bin davon überzeugt, dass wir mit dem Gesetz die Resilienz von Wirtschaft und Bundesverwaltung gegen Cybergefahren stärken und zugleich unnötige Bürokratie vermeiden. Dem BSI als Cybersicherheitsbehörde des Bundes kommt hier eine Schlüsselrolle zu. Es wird die Einhaltung der Vorgaben durch die Unternehmen überwachen und die Cybersicherheit in der Bundesverwaltung weiter stärken.“
Mit dem Gesetzentwurf werden die Vorgaben der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (sog. NIS-2-Richtlinie) im Wesentlichen in Form einer Novelle des BSI-Gesetzes umgesetzt. Das BMI hatte bereits im September 2023 ein Diskussionspapier für wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland veröffentlicht (Link). Stellungnahmen von Ländern und Verbänden zu diesem Diskussionspapier wurden bei der Erstellung dieses Gesetzentwurfs berücksichtigt. Zu den wesentlichen Inhalten des Gesetzesentwurfs im Einzelnen:
- Einführung der Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
- Der Katalog der Mindestsicherheitsanforderungen der NIS-2-Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien differenziert wird. Hierzu zählen u.a. Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs (z.B. Backup-Management) und Konzepte zum Einsatz von Verschlüsselung.
- Die bislang einstufige Meldepflicht bei Cybersicherheitsvorfällen an das BSI wird durch das dreistufige Meldesystem der NIS-2-Richtlinie ersetzt. Vorgesehen ist eine Erstmeldung binnen 24 Stunden, ein Update binnen 72 Stunden und einen Abschlussbericht der binnen eines Monats zu übermitteln ist. Dabei soll der administrative Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
- Ausweitung des Instrumentariums des BSI im Hinblick auf von der NIS-2-Richtlinie vorgegebene Maßnahmen zur Aufsicht und Durchsetzung. Hierzu zählen u.a. die neuen Bußgeldrahmen, die sich gegebenenfalls prozentual am weltweiten Jahresumsatz eines Unternehmens bemessen.
- Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten.
- Etablierung eines Chief Information Security Officer für den Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und ist für den Schutz der Regierungsnetze und die Sicherung zentraler Netzübergänge sowie für die IT-Sicherheit kritischer Infrastrukturen (KRITIS) und anderer Unternehmen zuständig. Hinzu kommen unterstützende Aufgaben bezüglich der IT-Sicherheit in der öffentlichen Verwaltung, der Wirtschaft und der Verbraucherinnen und Verbraucher.
Den Gesetzentwurf Sie hier: www.bmi.bund.de/nis2
(c) BMI, 07.05.2024