Home » News » Security Management » Gesetzentwurf für den Schutz von Wirtschaft und Verwaltung

Gesetzentwurf für den Schutz von Wirtschaft und Verwaltung

Bundesinnenministerin Nancy Faeser hat einen Gesetzentwurf zur Umsetzung der EU-Richtlinie für Netzwerk- und Informationssicherheit vorgestellt. Ziel ist die umfassende Modernisierung und Neustrukturierung des deutschen IT-Sicherheitsrechts. Ab sofort haben Länder und Verbände die Möglichkeit, dazu Stellung zu nehmen.

2 Min. Lesezeit
Netzwerksicherheit mit Cybersecurity-Symbol
Foto: ©AdobeStock/Jelena

Das Bundesministerium des Innern und für Heimat (BMI) hat die Länder und Verbände eingeladen, sich zum Gesetzentwurf für die Umsetzung der 2. EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) zu äußern. Der Entwurf wurde jetzt veröffentlicht. Die Beteiligung der Verbände ist wichtig, da das Gesetz mehr Unternehmen betrifft als zuvor.

Bundesinnenministerin Nancy Faeser erklärte: „Die Bedrohung durch Cyberangriffe ist hoch, besonders angesichts des russischen Angriffskrieges gegen die Ukraine. Mit diesem Gesetz müssen künftig mehr Unternehmen Sicherheitsstandards einhalten und über Cyberangriffe berichten. Dadurch sollen sie besser geschützt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird dafür sorgen, dass die Unternehmen die Regeln einhalten, und die Cybersicherheit in der Bundesverwaltung stärken.“

Der vorgelegte Gesetzentwurf setzt im Wesentlichen die Anforderungen der EU-Richtlinie 2022/2555 zur Förderung eines hohen gemeinsamen Cybersicherheitsniveaus in der Union, bekannt als NIS-2-Richtlinie, durch eine Novellierung des BSI-Gesetzes um. Bereits im September 2023 hatte das BMI ein Diskussionspapier zu wirtschaftsbezogenen Regelungen für die Umsetzung der NIS-2-Richtlinie in Deutschland veröffentlicht. Die Stellungnahmen von Ländern und Verbänden zu diesem Papier flossen in die Ausarbeitung des Gesetzentwurfs ein.

Zu den Hauptpunkten des Entwurfs gehören:

  • Die Einführung der Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“, was zu einer erheblichen Erweiterung des bisherigen Anwendungsbereichs führt.
  • Die Übernahme des Katalogs der Mindestsicherheitsanforderungen der NIS-2-Richtlinie ins BSI-Gesetz, wobei die Intensität der Maßnahmen je nach Kategorie differenziert wird.
  • Die Umstellung von der bisherigen einstufigen Meldepflicht für Cybersicherheitsvorfälle an das BSI auf das dreistufige Meldesystem der NIS-2-Richtlinie.
  • Die Erweiterung des Instrumentariums des BSI zur Aufsicht und Durchsetzung von Maßnahmen, die von der NIS-2-Richtlinie vorgegeben sind, einschließlich neuer Bußgeldrahmen.
  • Die gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und die Zuweisung entsprechender Rollen und Verantwortlichkeiten.
  • Die Schaffung einer Position des Chief Information Security Officer für den Bund, der als zentraler Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung fungieren und die Ressorts bei der Umsetzung der Anforderungen unterstützen soll.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die wichtigste Stelle in Deutschland für Cybersicherheit. Es schützt Regierungsnetzwerke, überwacht wichtige Internetverbindungen und sorgt für die Sicherheit von kritischen Infrastrukturen wie Energieversorgung und Verkehr. Außerdem hilft es dabei, die IT-Sicherheit in öffentlichen Verwaltungen, Unternehmen und bei Verbrauchern zu verbessern.

Den vollständigen Gesetzentwurf gibt es hier.

Andere interessante News

Cyberattacken

Viele Cyberangriffe bleiben lange unentdeckt

Mehr als ein Fünftel (22 Prozent) der Cyberangriffe auf Unternehmen und Organisationen im vergangenen Jahr dauerten mehr als einen Monat an – dies bedeutet einen Anstieg von rund sechs Prozentpunkten gegenüber dem Vorjahr 2022. Eine aktuelle Studie belegt außerdem: Vertrauensvolle Beziehungen werden als Angriffsvektor ausgenutzt.

AI Act

EU-Mitgliedsstaaten beschließen KI-Regulierung für Europa

Die EU-Mitgliedsstaaten haben den AI Act im Ministerrat beschlossen. Nach der Veröffentlichung könnte der AI Act bereits Ende Juni oder Anfang Juli in Kraft treten. Unternehmen müssen dann bereits sechs Monate später erste Regeln befolgen.

DaaS - Desktop as a Service

Wie Device as a Service die IT-Security stärkt

Die Sicherheit am digitalen Arbeitsplatz bleibt ein zentrales Thema für IT-Entscheider. Besonders attraktiv ist dabei Device as a Service (DaaS), also die Auslagerung der Beschaffung, Bereitstellung, Verwaltung und des Austauschs von Geräten. Diese „as a Service“-Modelle tragen mit hohen Sicherheitsstandards zur aktiven und präventiven Sicherheit bei.