29.07.2024

Wirtschaft und Staat vor Cyberattacken schützen: Bundesregierung beschließt umfassende Änderung des IT-Sicherheitsrechts

Das Bundeskabinett hat am 24.7.2024 den von Bundesinnenministerin Nancy Faeser vorgelegten Entwurf für ein Gesetz zur Stärkung der Cybersicherheit beschlossen. Damit wird die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) im deutschen Recht umgesetzt. Das deutsche IT-Sicherheitsrecht wird umfassend modernisiert und neu strukturiert. Die Pflichten zur Umsetzung von Cybersicherheitsmaßnahmen und Meldung von Cyberangriffen werden auf mehr Unternehmen in mehr Sektoren ausgeweitet und die Cybersicherheit der Bundesverwaltung gestärkt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält neue Aufsichtsinstrumente.

Künftig ca. 29.500 Unternehmen zu Cybersicherheitsmaßnahmen verpflichtet / Stärkere Aufsicht durch das BSI

Mit dem Gesetzentwurf werden die Vorgaben der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (sog. NIS-2-Richtlinie) im Wesentlichen in Form einer Novelle des BSI-Gesetzes umgesetzt. Im Bereich der Wirtschaft handelt es sich um eine 1:1-Umsetzung der NIS-2-Richtlinie, d.h. dass über die europarechtlichen Vorgaben nicht hinausgegangen wird.

Der Gesetzesentwurf enthält im Wesentlichen die folgenden Regelungen:
  • Einführung der Kategorien "wichtige Einrichtungen" und "besonders wichtige Einrichtungen", die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.

 

  • Der Katalog der Mindestsicherheitsanforderungen der NIS-2-Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den o.g. Kategorien differenziert wird. Zu den Anforderungen zählen u.a. Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management, und Konzepte zum Einsatz von Verschlüsselung.

 

  • Die bislang einstufige Meldepflicht bei Cybersicherheitsvorfällen der erfassten Unternehmen an das BSI wird durch ein dreistufiges Meldesystem Vorgesehen ist eine Erstmeldung binnen 24 Stunden, ein Update binnen 72 Stunden und ein Abschlussbericht der binnen eines Monats zu übermitteln ist.

 

  • Ausweitung des Instrumentariums des BSI zur Aufsicht und Durchsetzung. Hierzu zählen u.a. die neuen Bußgeldrahmen, die sich gegebenenfalls prozentual am weltweiten Jahresumsatz eines Unternehmens bemessen, wenn Unternehmen wesentliche Pflichten zur Cybersicherheit verletzen - zum Beispiel, wenn Mängel in der Umsetzung von Cybersicherheitsmaßnahmen nicht abgestellt werden.

 

  • Etablierung eines Chief Information Security Officer für den Bund und gesetzliche Verankerung wesentlicher Anforderungen an das Informationssicherheitsmanagement.


Um potenziell von neuen gesetzlichen Pflichten betroffene Unternehmen schon während des laufenden Gesetzgebungsverfahrens zu informieren, hat das BSI heute Unterstützungsangebote veröffentlicht:

  • Eine Betroffenheitsprüfung enthält konkrete, an der NIS-2-Richtlinie orientierte Ja/Nein-Fragen, um Unternehmen in vier Kategorien einzuordnen: Betreiber Kritischer Infrastrukturen, besonders wichtige Einrichtungen, wichtige Einrichtungen und nicht betroffene Unternehmen. Sobald das geänderte BSI-Gesetz verabschiedet wurde, wird das BSI die Prüfung aktualisieren. Dann wird es für die nach der neuen Gesetzeslage zur Registrierung verpflichteten Unternehmen möglich sein, sich beim BSI zu registrieren.

 

  • Ein FAQ-Katalog umfasst Fragen und Antworten zu den wichtigsten Themen der NIS-2-Richtlinie, etwa zur Betroffenheit, zu Ansprechstellen und gesetzlichen Pflichten.


Um auch beim physischen Schutz kritischer Einrichtungen nachhaltig mehr Resilienz zu schaffen, wird in Kürze mit dem KRITIS-Dachgesetz ein weiterer Meilenstein zum Schutz von KRITIS vom Bundesinnenministerium vorgelegt werden. Mit dem KRITIS-Dachgesetz werden erstmalig sektorübergreifende Mindeststandards zum physischen Schutz von Kritischen Infrastrukturen festgelegt. Auf diese Weise wird ein wesentlicher Beitrag dazu geleistet, dass wichtige Unternehmen und Einrichtungen zuverlässig die Dienstleistungen erbringen können, die für die Versorgung der Bevölkerung und das Funktionieren unserer Gesellschaft essentiell sind.

Den Gesetzentwurf der Bundesregierung zur Stärkung der Cybersicherheit finden Sie hier.

Mehr zum Thema:

Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht: Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
 

BMI PM vom 24.7.2024
Zurück