Gesetzentwurf für den Schutz von Wirtschaft und Verwaltung
Bundesinnenministerin Nancy Faeser hat einen Gesetzentwurf zur Umsetzung der EU-Richtlinie für Netzwerk- und Informationssicherheit vorgestellt. Ziel ist die umfassende Modernisierung und Neustrukturierung des deutschen IT-Sicherheitsrechts. Ab sofort haben Länder und Verbände die Möglichkeit, dazu Stellung zu nehmen.
Das Bundesministerium des Innern und für Heimat (BMI) hat die Länder und Verbände eingeladen, sich zum Gesetzentwurf für die Umsetzung der 2. EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) zu äußern (Exkurs Informationssicherheit). Der Entwurf wurde jetzt veröffentlicht. Die Beteiligung der Verbände ist wichtig, da das Gesetz mehr Unternehmen betrifft als zuvor.
Bundesinnenministerin Nancy Faeser erklärte: „Die Bedrohung durch Cyberangriffe ist hoch, besonders angesichts des russischen Angriffskrieges gegen die Ukraine. Mit diesem Gesetz müssen künftig mehr Unternehmen Sicherheitsstandards einhalten und über Cyberangriffe berichten. Dadurch sollen sie besser geschützt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird dafür sorgen, dass die Unternehmen die Regeln einhalten, und die Cybersicherheit in der Bundesverwaltung stärken.“
Der vorgelegte Gesetzentwurf setzt im Wesentlichen die Anforderungen der EU-Richtlinie 2022/2555 zur Förderung eines hohen gemeinsamen Cybersicherheitsniveaus in der Union, bekannt als NIS-2-Richtlinie, durch eine Novellierung des BSI-Gesetzes um. Bereits im September 2023 hatte das BMI ein Diskussionspapier zu wirtschaftsbezogenen Regelungen für die Umsetzung der NIS-2-Richtlinie in Deutschland veröffentlicht. Die Stellungnahmen von Ländern und Verbänden zu diesem Papier flossen in die Ausarbeitung des Gesetzentwurfs ein.
Zu den Hauptpunkten des Entwurfs gehören:
- Die Einführung der Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“, was zu einer erheblichen Erweiterung des bisherigen Anwendungsbereichs führt.
- Die Übernahme des Katalogs der Mindestsicherheitsanforderungen der NIS-2-Richtlinie ins BSI-Gesetz, wobei die Intensität der Maßnahmen je nach Kategorie differenziert wird.
- Die Umstellung von der bisherigen einstufigen Meldepflicht für Cybersicherheitsvorfälle an das BSI auf das dreistufige Meldesystem der NIS-2-Richtlinie.
- Die Erweiterung des Instrumentariums des BSI zur Aufsicht und Durchsetzung von Maßnahmen, die von der NIS-2-Richtlinie vorgegeben sind, einschließlich neuer Bußgeldrahmen.
- Die gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und die Zuweisung entsprechender Rollen und Verantwortlichkeiten.
- Die Schaffung einer Position des Chief Information Security Officer für den Bund, der als zentraler Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung fungieren und die Ressorts bei der Umsetzung der Anforderungen unterstützen soll.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die wichtigste Stelle in Deutschland für Cybersicherheit. Es schützt Regierungsnetzwerke, überwacht wichtige Internetverbindungen und sorgt für die Sicherheit von kritischen Infrastrukturen wie Energieversorgung und Verkehr. Außerdem hilft es dabei, die IT-Sicherheit in öffentlichen Verwaltungen, Unternehmen und bei Verbrauchern zu verbessern.
Den vollständigen Gesetzentwurf gibt es hier.