Das Bundeskabinett hat den Regierungsentwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie beschlossen. Damit soll das deutsche IT-Sicherheitsrecht modernisiert und der angespannten Bedrohungslage im Cyberraum Rechnung getragen werden.
Eigentlich hatten die 27 EU-Mitgliedsländer Zeit bis zum 17. Oktober 2024, die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) in nationales Recht umzusetzen. Doch erst nach einem Regierungswechsel und einem Vertragsverletzungsverfahren der EU-Kommission liegt nun der Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung vor. Er ähnelt inhaltlich stark den letzten Entwürfen des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG), das noch von der Ampelkoalition verhandelt worden war, aber dem Prinzip der sachlichen Diskontinuität zum Opfer fiel. In einer Pressemitteilung betonte das Bundesministerium des Inneren besonders, dass künftig deutlich mehr Unternehmen eine aktive Rolle beim Schutz ihrer digitalen Infrastruktur übernehmen sollen. Waren bislang ca. 4.500 Einrichtungen vom Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) erfasst, gelten künftig für rund 29.500 Einrichtungen neue gesetzliche Pflichten in der IT-Sicherheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält hierzu Aufsichtsinstrumente, um Unternehmen gezielter zu begleiten und die Einhaltung der Sicherheitsstandards zu überwachen.
In der Praxis müssen alle betroffenen Unternehmen zentrale Schutzmaßnahmen etablieren. Dazu gehören Risikoanalysen, Notfallpläne, Backup-Konzepte oder der Einsatz von Verschlüsselungslösungen. Der Umfang richtet sich nach der Bedeutung der Einrichtung. Weiter sieht der Entwurf klarere Abläufe bei Sicherheitsvorfällen vor. Wenn es zu einem Cyberangriff kommt, greift ein gestuftes Meldeverfahren: Zunächst eine kurze Erstmeldung innerhalb von 24 Stunden, gefolgt von einem Zwischenstand nach 72 Stunden und einem Abschlussbericht innerhalb eines Monats. Ferner erhält das Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr Befugnisse zur Aufsicht und Durchsetzung. Bei schwerwiegenden Verstößen können künftig Bußgelder verhängt werden, die sich am Jahresumsatz orientieren. Die wohl einschneidensten Änderungen bringt das Gesetz für die Geschäftsleitung von Unternehmen, denn Cybersicherheit ist künftig Chefsache: Geschäftsführungen betroffener Einrichtungen sind verpflichtet, regelmäßig an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können. Wer zum Beispiel als Geschäftsführer einer GmbH oder als Vorstand einer AG diese Pflicht verletzt, haftet seiner Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Für die Wirtschaft erhöht sich der jährliche Erfüllungsaufwand um rund EUR 2,3 Mrd., insgesamt entsteht ein einmaliger Aufwand von rund EUR 2,2 Mrd.; dieser ist fast ausschließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen.
Noch bevor das Gesetz das parlamentarische Verfahren vollständig durchlaufen hat und in Kraft tritt, stellt das BSI ab sofort ein digitales Tool bereit, das Unternehmen bei der Selbsteinschätzung helfen soll. So können Unternehmen prüfen, welche Regelungen für sie voraussichtlich relevant sind.