Rechtsrahmen für mehr Cybersicherheit

Typ: Artikel , Schwerpunktthema: IT & Digitalpolitik

Stärkung der Zusammenarbeit von Staat und Wirtschaft im Bereich der Cybersicherheit.

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Das Bundeskabinett hat am 24. Juli 2024 den von Bundesinnenministerin Nancy Faeser vorgelegten Gesetzentwurf für ein NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz beschlossen.

Dadurch soll das deutsche IT-Sicherheitsrecht umfassend modernisiert, neu strukturiert und die NIS-2-Richtlinie umgesetzt werden. Die NIS-2-Richtlinie sieht im Wesentlichen eine Ausweitung von Cybersicherheitsmindestanforderungen und Meldepflichten auf mehr Unternehmen – in Deutschland von rund 4.500 (darunter ca. 1.800 KRITIS-Betreiber) auf rund 29.500 Unternehmen vor.

In dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz werden die Pflichten zur Umsetzung von Cybersicherheitsmaßnahmen und Meldung von Cyberangriffen auf mehr Unternehmen in mehr Sektoren ausgeweitet und die Cybersicherheit der Bundesverwaltung gestärkt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält zudem neue Aufsichtsinstrumente.

Ein kurzer Überblick über die wesentlichen Regelungen:

  • Es werden die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht, eingeführt.

  • Der Katalog der Mindestsicherheitsanforderungen der NIS-2-Richtlinie wird in das BSI-Gesetz übernommen. Anforderungen umfassen u.a. Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management, und Konzepte zum Einsatz von Verschlüsselung.

  • Die bislang einstufige Meldepflicht bei Cybersicherheitsvorfällen der erfassten Unternehmen an das BSI wird durch ein dreistufiges Meldesystem Vorgesehen ist eine Erstmeldung binnen 24 Stunden, ein Update binnen 72 Stunden und ein Abschlussbericht, der binnen eines Monats zu übermitteln ist.

  • Das Instrumentarium des BSI zur Aufsicht und Durchsetzung wird ausgeweitet. Dies umfasst unter anderem einen neuen Bußgeldrahmen, der sich gegebenenfalls prozentual am weltweiten Jahresumsatz eines Unternehmens bemisst, wenn Unternehmen wesentliche Pflichten zur Cybersicherheit verletzen.

  • Es wird ein Chief Information Security Officer für den Bund und gesetzliche Verankerung wesentlicher Anforderungen an das Informationssicherheitsmanagement etabliert. 

Der Gesetzentwurf ist derzeit im parlamentarischen Verfahren; mit einem Inkrafttreten ist im ersten Quartal 2025 zu rechnen.

Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheits­managements in der Bundesverwaltung

Umsetzungsstand

Erklärung der Darstellung "Umsetzungsstand"

Schutz kritischer Infrastrukturen

Die bestehenden Regelungen werden von einer Verordnung zur Bestimmung von Kritischen Infrastrukturen (BSI-KritisV) ergänzt. Sie ermöglicht es Betreibern Kritischer Infrastrukturen, anhand messbarer und nachvollziehbarer Kriterien zu prüfen, ob die Regelungen des BSI-Gesetzes für sie gelten.

Historie des IT-Sicherheitsrechts

  • Das IT-Sicherheitsgesetz, erstmals 2015 beschlossen und in Kraft getreten, setzt den Rechtsrahmen, in dem Staat und Wirtschaft für mehr Cybersicherheit zusammenarbeiten. Über Änderungen im Telekommunikations- und Telemedienrecht hat das Gesetz die Sicherheit im Internet allgemein erhöht und die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) gestärkt. Zudem formulierte es erstmals verbindliche Mindestanforderungen und Meldepflichten für die Betreiber Kritischer Infrastrukturen über das BSI 
  • Die Regelungen wurden 2021 durch das IT-Sicherheitsgesetz 2.0 umfassend überarbeitet und ergänzt. Aktualisiert wurden zum Beispiel verschiedene Aspekte der Zusammenarbeit zwischen Staat und Wirtschaft.

Stand: 17.10.2024

Verwandte Themen

Meldungen zum Thema

Blätterfunktion

Staatsvertrag schafft Grundlage für effiziente Verwaltung: Bürgerinnen und Bürger sollen viele Daten nur noch einmal angeben müssen Typ: Pressemitteilung , Datum: 12.12.2024

Weniger Bürokratie, mehr Service für Bürgerinnen und Bürger sowie für Unternehmen: Staatsvertrag schafft die Grundlage für den Aufbau einer gemeinsamen Infrastruktur zum Datenaustausch.

„Cybersicherheit ist zentral für unsere Gesellschaft“ Typ: Meldung , Datum: 12.11.2024

Bundesinnenministerin Nancy Faeser und BSI-Präsidentin Claudia Plattner stellen Bericht zur Lage der IT-Sicherheit in Deutschland vor. Bedrohungslage bleibt angespannt. 

Cybersicherheit: Bedrohungslage bleibt angespannt, aber Resilienz gegen Angriffe steigt Typ: Pressemitteilung , Datum: 12.11.2024

Bericht zur Lage der IT-Sicherheit in Deutschland. Ransomware bleibt größte Bedrohung im Cyberraum.

mehr