NIS-2-Umsetzung: Deutschland rüstet sich für die neue Cyber-Ära
Mit dem Regierungsentwurf zur Umsetzung der NIS-2-Richtlinie modernisiert Deutschland jetzt sein IT-Sicherheitsrecht grundlegend. Der Staat zieht Konsequenzen aus der eskalierenden Bedrohungslage im Cyberraum – und setzt dabei auf mehr Verantwortung, mehr Kontrolle und einen erheblich erweiterten Kreis verpflichteter Unternehmen.
Der neue Gesetzentwurf zur Umsetzung der europäischen NIS-2-Richtlinie bringt weitreichende Änderungen für das deutsche IT-Sicherheitsrecht. Zentrale Neuerung: Der Kreis der regulierten Organisationen wird deutlich ausgeweitet. Neben den bisherigen Betreibern Kritischer Infrastrukturen, Anbietern digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse werden künftig auch „wichtige“ und „besonders wichtige Einrichtungen“ reguliert. Damit steigt die Zahl der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) beaufsichtigten Organisationen von etwa 4.500 auf rund 29.500.
Diese Einrichtungen müssen künftig unter anderem:
- sich beim BSI registrieren,
- erhebliche Sicherheitsvorfälle melden,
- technische und organisatorische Risikomanagementmaßnahmen einführen.
Gefordert werden unter anderem Risikoanalysen, Sicherheitsvorfallpläne, Maßnahmen zur Sicherung der Lieferkette, regelmäßige Schulungen, Multi-Faktor-Authentifizierung und sichere Kommunikation.
Cybersicherheit wird zur Pflichtaufgabe der Geschäftsleitung
Ein zentrales Prinzip der NIS-2-Umsetzung ist die Verankerung der Cybersicherheit auf höchster Führungsebene. Geschäftsleitungen betroffener Einrichtungen sind ausdrücklich verpflichtet, die IT-Risiken ihres Unternehmens zu kennen, geeignete Schutzmaßnahmen umzusetzen, deren Wirksamkeit zu kontrollieren – und sich selbst regelmäßig zu den Themen Cyberrisiken und Risikomanagement schulen zu lassen.
Damit wird Cybersicherheit zur strategischen Aufgabe, vergleichbar mit der Verantwortung für Finanzrisiken oder Compliance. Die EU und der deutsche Gesetzgeber reagieren so auf die zunehmende Relevanz von Cybervorfällen für die wirtschaftliche Existenz von Unternehmen und für die staatliche Daseinsvorsorge.
BSI soll zentrale Rolle bei Umsetzung und Aufsicht übernehmen
Mit der massiven Ausweitung der Regulierung kommt dem BSI eine Schlüsselrolle zu – sowohl bei der Aufsicht, als auch bei der Unterstützung betroffener Unternehmen. Claudia Plattner, Präsidentin des BSI, begrüßt die Stärkung ihrer Behörde: „Mit dem heutigen Regierungsentwurf geht Deutschland einen wichtigen Schritt in Richtung einer resilienten Cybernation.“
Besonders hebt sie hervor, dass Unternehmen schnell und rechtssicher erkennen können müssen, ob sie von den neuen Regelungen betroffen sind. Hierfür stellt das BSI eine interaktive NIS-2-Betroffenheitsprüfung auf seiner Website zur Verfügung und ergänzt diese durch fortlaufende Informations- und Unterstützungsangebote.
Bundesbehörden: Keine Ausnahmen von Mindeststandards mehr
Auch die Bundesverwaltung bleibt von der Reform nicht unberührt. Der Entwurf verpflichtet sie zur Einhaltung definierter Mindeststandards der Informationssicherheit. Dazu zählen insbesondere Vorgaben aus dem BSI-Grundschutz-Kompendium und verbindliche Mindeststandards des Bundes.
Plattner betont, dass der Staat hier mit gutem Beispiel vorangehen muss: „Eine wirkungsvolle IT-Governance-Struktur, die ressortübergreifend wirkt, ist entscheidend, um den Cyberschutz der Bundesverwaltung nachhaltig zu stärken.“
Bitkom begrüßt Reform – warnt aber vor Sonderwegen
Der Digitalverband Bitkom unterstützt die Reform grundsätzlich, warnt jedoch vor einer zu eigenständigen deutschen Umsetzung. Bitkom-Präsident Dr. Ralf Wintergerst fordert eine wortgetreue Übernahme der europäischen Richtlinie: „Wichtig ist, dass wir keinen nationalen Sonderweg einschlagen – die Unternehmen brauchen europaweit einheitliche Bedingungen.“
Zudem fordert der Verband Nachbesserungen:
- Die Bundesverwaltung dürfe sich nicht von den strengen Sicherheitsvorgaben ausnehmen.
- Für Unternehmen mit gemischten Tätigkeitsfeldern müsse klar geregelt werden, wann sie von NIS-2 betroffen sind.
- Eine enge Abstimmung mit der Umsetzung der CER-Richtlinie sei zwingend erforderlich.
Wintergerst mahnt zur Eile: Deutschland habe die Umsetzung bereits deutlich verzögert, ein Vertragsverletzungsverfahren der Europäischen Union laufe bereits. Spätestens nach der Sommerpause müsse das Gesetz verabschiedet werden.
Fazit: Meilenstein für die Cyberresilienz – mit offenem Reformbedarf
Mit dem NIS-2-Umsetzungsgesetz steht Deutschland vor dem größten Umbruch im IT-Sicherheitsrecht seit Inkrafttreten des ersten IT-Sicherheitsgesetzes im Jahr 2015. Der Entwurf markiert einen Paradigmenwechsel: von freiwilliger Eigenverantwortung zu gesetzlich verankerter Cybersicherheitspflicht – mit klaren Vorgaben, Verantwortlichkeiten und Sanktionen.
Ob der Weg zur Cybernation gelingt, hängt nun entscheidend davon ab, wie klar, einheitlich und praxisnah die Regeln umgesetzt werden – und wie stark das BSI, die Unternehmen und die öffentliche Verwaltung gemeinsam an einem Strang ziehen.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
