Mit dem heute vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie wird das deutsche IT-Sicherheitsrecht umfassend modernisiert und der angespannten Bedrohungslage im Cyberraum Rechnung getragen. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) fällt dabei eine Schlüsselrolle zu.
Der Gesetzesentwurf sieht unter anderem vor, das BSI-Gesetz (BSIG) zu novellieren und den Kreis der regulierten Organisationen um die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ zu erweitern. Bislang waren ca. 4.500 Einrichtungen vom BSIG erfasst: Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Mit der Erweiterung wird das BSI künftig rund 29.500 Einrichtungen beaufsichtigen, für die neue gesetzliche Pflichten in der IT-Sicherheit greifen.
So müssen sich besonders wichtige und wichtige Einrichtungen etwa registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Risikomanagement-Maßnahmen implementieren. Dazu zählen unter anderem Risikoanalysen, Konzepte zur Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Schulungen und Sensibilisierungsmaßnahmen, Multi-Faktor-Authentifizierung und sichere Kommunikation. Zudem macht die NIS-2-Richtlinie Cybersicherheit zur Chefinnen- und Chefsache: Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen.
Von Einrichtungen der Bundesverwaltung verlangt der Gesetzesentwurf, Mindestanforderungen der Informationssicherheit zu erfüllen, die sich u.a. aus dem IT-Grundschutz-Kompendium des BSI und Mindeststandards für die Sicherheit in der Informationstechnik des Bundes ergeben.
BSI-Präsidentin Claudia Plattner: „Mit dem heutigen Regierungsentwurf geht Deutschland einen wichtigen Schritt in Richtung einer resilienten Cybernation. Um Wohlstand und Stabilität weiterhin sichern zu können, müssen Wirtschaft und Staat sich besser gegen Cybergefahren wappnen. Die Wirtschaft braucht dabei Planungssicherheit: Unternehmen müssen schnell und rechtssicher feststellen können, ob sie von der NIS-2-Richtline betroffen sind. Das BSI unterstützt sie dabei mit Beratungsangeboten schon heute und wird die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten. Für den Cyberschutz des Staates ist der Regierungsentwurf ebenfalls ein wichtiger Meilenstein: Dass Einrichtungen der Bundesverwaltung BSI-Standards wie den IT-Grundschutz umsetzen, ist dafür wesentliche Voraussetzung. Der stetig wachsenden Bedrohungslage im Cyberraum muss besonders in der Bundesverwaltung zudem eine wirkungsvolle Antwort in Form einer robusten IT-Governance-Struktur entgegengesetzt werden. Diese Struktur sollte sich über alle Ressorts, Behörden und Institutionen der Bundesverwaltung erstrecken und dem Ziel dienen, IT-Sicherheit gemeinsam zu organisieren und kontinuierlich zu verbessern.“
Bild: ©bluedesign / Fotolia.com
Um Einrichtungen zu informieren, die potenziell von neuen gesetzlichen Pflichten betroffen sind, erstellt das BSI fortlaufend Unterstützungsangebote und umfangreiche Informationen – einschließlich einer auf der BSI-Webseite unter www.bsi.bund.de/dok/nis-2 veröffentlichten interaktiven NIS-2-Betroffenheitsprüfung.
Quelle: Bundesamt für Sicherheit in der Informationstechnik
