Der Bundestag hat das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie verabschiedet. Damit wird diese in nationales Recht umgesetzt. NIS-2 erhöht die Anforderungen an die Cybersicherheit bestimmter Unternehmen sowie der Bundesverwaltung.
Das NIS-2-Umsetzungsgesetz umfasst eine Novellierung des BSI-Gesetzes (BSIG), von dem bislang ca. 4.500 Einrichtungen des Wirtschaftsraums erfasst waren: Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse.
Mit dem Inkrafttreten des NIS-2-Gesetzes wird dieser Radius um die Kategorien ‚wichtige Einrichtungen‘ und ‚besonders wichtige Einrichtungen‘ erweitert, so dass nach BSI-Angaben künftig rund 29.500 Einrichtungen beaufsichtigt werden, für die neue gesetzliche Pflichten in der IT-Sicherheit gelten.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird Aufsichtsbehörde für die von der Richtlinie betroffenen Unternehmen; zudem wird es in der Funktion des Chief Information Security Officer (CISO) zentrale Stelle für die Cybersicherheit der Bundesverwaltung. Betroffene Unternehmen müssen sich beim BSI registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Risikomanagement-Maßnahmen implementieren.
Seminare und Betroffenheitsprüfung
Das BSI hält für betroffene Unternehmen Informationen bereit, um die Verpflichtungen, die sich aus der NIS-2-Richtlinie ergeben, umzusetzen. Mit Inkrafttreten wird die Behörde zudem virtuelle Kick-Off-Seminare anbieten, in denen Unternehmen unter anderem Schritt-für-Schritt-Anleitungen für die Betroffenheitsprüfung sowie Registrierungs- und Meldeprozesse erhalten.
Mit der Verabschiedung des Gesetzes wird nach Ansicht des Branchenverbands Bitkom die Cybersicherheit in Deutschland gestärkt und mehr Rechtssicherheit für Unternehmen geschaffen. Zugleich könnten die Neuregelungen für den Einsatz sogenannter kritischer Komponenten „erhebliche Auswirkungen“ auf die Investitionsentscheidungen von Unternehmen und damit die Digitalisierung in Deutschland haben. Als positiv bewertet der Verband, dass nun nachgelagerte Bundesbehörden in den Anwendungsbereich von NIS-2 einbezogen werden und diese somit denselben Anforderungen unterliegen, wie regulierte Unternehmen.
Dagegen sind die zuletzt in das Gesetzgebungsverfahren eingebrachten Neuregelungen zu sogenannten kritischen Komponenten nach Ansicht des Bitkom „eher schädlich“. Die Definition von kritischen Komponenten sollte laut Verband auch künftig auf Grundlage technischer Kriterien durch die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen. Vorgesehen ist nun, dass das Bundesinnenministerium in Abstimmung mit anderen Ressorts kritische Komponenten definiert und künftig auch eigenständig deren Einsatz untersagen kann.
