Die Bundesregierung hat am 24. Juli 2024 das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) beschlossen. Auf rund 30.000 Unternehmen in Deutschland kommen damit verschärfte IT-Sicherheitsvorkehrungen zu.
Am 16. Januar 2023 ist die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) in Kraft getreten. Da es sich um eine Richtlinie handelt, bedarf sie der Umsetzung in nationales Recht; dies ist in Deutschland durch das NIS2UmsuCG geschehen. Nach Angaben der Bundesregierung wird das deutsche IT-Sicherheitsrecht damit umfassend modernisiert und neu strukturiert. So werden die beiden Kategorien »wichtige Einrichtungen« und »besonders wichtige Einrichtungen« eingeführt, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht. Dazu zählt ein Katalog an Mindestsicherheitsanforderungen, der unter anderem Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management und Konzepte zum Einsatz von Verschlüsselung als verpflichtend vorsieht. Die bislang einstufige Meldepflicht bei Cybersicherheitsvorfällen wird durch ein dreistufiges Meldesystem ersetzt; vorgesehen ist eine Erstmeldung binnen 24 Stunden, ein Update binnen 72 Stunden und ein Abschlussbericht der binnen eines Monats zu übermitteln ist. Besondere Risiken stecken dabei in § 38 NIS2UmsuCG. Danach haben die Geschäftsleitungen von Unternehmen die konkret zu ergreifenden Maßnahmen als für geeignet zu billigen und deren Umsetzung kontinuierlich zu überwachen; auch bei Einschaltung von Hilfspersonen bleibt das Leitungsorgan letztverantwortlich und kann für Pflichtverletzungen persönlich haftbar gemacht werden.
Um potenziell betroffene Unternehmen zu informieren, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Unterstützungsangebote veröffentlicht. Eine Betroffenheitsprüfung enthält konkrete, an der NIS-2-Richtlinie orientierte Ja/Nein-Fragen, um Unternehmen in vier Kategorien einzuordnen: Betreiber Kritischer Infrastrukturen, besonders wichtige Einrichtungen, wichtige Einrichtungen und nicht betroffene Unternehmen. Zudem wurde ein FAQ-Katalog vorgestellt; er umfasst Fragen und Antworten zu den wichtigsten Themen der NIS-2-Richtlinie, etwa zur Betroffenheit, zu Ansprechstellen und gesetzlichen Pflichten. Bundesinnenministerin Nancy Faeser:
Die Bedrohungslage im Bereich der Cybersicherheit ist unvermindert hoch. Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind. Künftig müssen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen.
Nach Einschätzung von BSI-Präsidentin Claudia Plattner werden künftig rund 29.500 Unternehmen in Deutschland zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet sein.
Sie gewährleisten die Versorgungssicherheit der Bevölkerung und bilden das Rückgrat der Cybernation Deutschland. Daher wird das BSI sie dabei bestmöglich unterstützen und die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten.
Ein Selbstläufer wird das NIS2UmsuCG aber selbst innerhalb der Ampel-Regierung nicht. Nach Angaben von heise.de kritisierte der Grünen-Fraktionsvize Konstantin von Notz den Entwurf und kündigte an, dass sich das Parlament nun »sehr intensiv« mit dem Gesetz beschäftigen werde.
Der Jurist Fabricio Vayra aus der international tätigen Kanzlei Perkins Coie LLP rief unterdessen die Internet-Verwaltung ICANN nochmals auf, das WHOIS-System mit Artikel 28 der NIS-2 zu harmonisieren. Obwohl die Bestimmungen der NIS-2 am 18. Oktober 2024 in den meisten EU-Mitgliedsstaaten in Kraft treten, sei nach wie vor unklar, was von Registries und Registraren verlangt werde. Es sei aber an der Zeit, die Umsetzung von Artikel 28 mit der gleichen Leidenschaft anzugehen, mit der ICANN 2018 die Harmonisierung der DSGVO und des WHOIS vorangetrieben habe. Es genüge nicht, die Verantwortung allein den Registries und Registraren zuzuschieben.