Das Bundeskabinett hat heute den von Bundesinnenministerin Nancy Faeser vorgelegten Entwurf für ein Gesetz zur Stärkung der Cybersicherheit beschlossen. Damit wird die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) im deutschen Recht umgesetzt. Das deutsche IT-Sicherheitsrecht wird umfassend modernisiert und neu strukturiert. Die Pflichten zur Umsetzung von Cybersicherheitsmaßnahmen und Meldung von Cyberangriffen werden auf mehr Unternehmen in mehr Sektoren ausgeweitet und die Cybersicherheit der Bundesverwaltung gestärkt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält neue Aufsichtsinstrumente. 

Bundesinnenministerin Nancy Faeser: "Die Bedrohungslage im Bereich der Cybersicherheit ist unvermindert hoch. Wir erleben durch den russischen Angriffskrieg gegen die Ukraine und seine Folgen auch eine Zeitenwende für die innere Sicherheit. Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind. Künftig müssen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen. Wir steigern das Sicherheitsniveau – und senken damit das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden.

Ich bin davon überzeugt, dass wir mit dem Gesetz die Resilienz von Wirtschaft und Bundesverwaltung gegen Cybergefahren stärken und zugleich unnötige Bürokratie vermeiden. Dem BSI als Cybersicherheitsbehörde des Bundes kommt hier eine Schlüsselrolle zu. Es wird die Einhaltung der Vorgaben durch die Unternehmen überwachen und die Cybersicherheit in der Bundesverwaltung weiter stärken."

BSI-Präsidentin Claudia Plattner: "Künftig werden rund 29.500 Unternehmen zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet sein. Sie gewährleisten die Versorgungssicherheit der Bevölkerung und bilden das Rückgrat der Cybernation Deutschland. Daher wird das BSI sie dabei bestmöglich unterstützen und die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten."

Mit dem Gesetzentwurf werden die Vorgaben der Richtlinie (EU) 2022/2555 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (sog. NIS-2-Richtlinie) im Wesentlichen in Form einer Novelle des BSI-Gesetzes umgesetzt. Im Bereich der Wirtschaft handelt es sich um eine 1:1-Umsetzung der NIS-2-Richtlinie, d.h. dass über die europarechtlichen Vorgaben nicht hinausgegangen wird.

Der Gesetzesentwurf enthält im Wesentlichen die folgenden Regelungen:

• Einführung der Kategorien "wichtige Einrichtungen" und "besonders wichtige Einrichtungen", die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
• Der Katalog der Mindestsicherheitsanforderungen der NIS-2-Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den o.g. Kategorien differenziert wird. Zu den Anforderungen zählen u.a. Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management, und Konzepte zum Einsatz von Verschlüsselung.
• Die bislang einstufige Meldepflicht bei Cybersicherheitsvorfällen der erfassten Unternehmen an das BSI wird durch ein dreistufiges Meldesystem Vorgesehen ist eine Erstmeldung binnen 24 Stunden, ein Update binnen 72 Stunden und ein Abschlussbericht der binnen eines Monats zu übermitteln ist.
• Ausweitung des Instrumentariums des BSI zur Aufsicht und Durchsetzung. Hierzu zählen u.a. die neuen Bußgeldrahmen, die sich gegebenenfalls prozentual am weltweiten Jahresumsatz eines Unternehmens bemessen, wenn Unternehmen wesentliche Pflichten zur Cybersicherheit verletzen - zum Beispiel, wenn Mängel in der Umsetzung von Cybersicherheitsmaßnahmen nicht abgestellt werden.
• Etablierung eines Chief Information Security Officer für den Bund und gesetzliche Verankerung wesentlicher Anforderungen an das Informationssicherheitsmanagement.

Um potenziell von neuen gesetzlichen Pflichten betroffene Unternehmen schon während des laufenden Gesetzgebungsverfahrens zu informieren, hat das BSI heute Unterstützungsangebote veröffentlicht:

• Eine Betroffenheitsprüfung enthält konkrete, an der NIS-2-Richtlinie orientierte Ja/Nein-Fragen, um Unternehmen in vier Kategorien einzuordnen: Betreiber Kritischer Infrastrukturen, besonders wichtige Einrichtungen, wichtige Einrichtungen und nicht betroffene Unternehmen. Sobald das geänderte BSI-Gesetz verabschiedet wurde, wird das BSI die Prüfung aktualisieren. Dann wird es für die nach der neuen Gesetzeslage zur Registrierung verpflichteten Unternehmen möglich sein, sich beim BSI zu registrieren.
• Ein FAQ-Katalog umfasst Fragen und Antworten zu den wichtigsten Themen der NIS-2-Richtlinie, etwa zur Betroffenheit, zu Ansprechstellen und gesetzlichen Pflichten.

Um auch beim physischen Schutz kritischer Einrichtungen nachhaltig mehr Resilienz zu schaffen, wird in Kürze mit dem KRITIS-Dachgesetz ein weiterer Meilenstein zum Schutz von KRITIS vom Bundesinnenministerium vorgelegt werden. Mit dem KRITIS-Dachgesetz werden erstmalig sektorübergreifende Mindeststandards zum physischen Schutz von Kritischen Infrastrukturen festgelegt. Auf diese Weise wird ein wesentlicher Beitrag dazu geleistet, dass wichtige Unternehmen und Einrichtungen zuverlässig die Dienstleistungen erbringen können, die für die Versorgung der Bevölkerung und das Funktionieren unserer Gesellschaft essentiell sind.

Den Gesetzentwurf der Bundesregierung zur Stärkung der Cybersicherheit finden Sie hier: www.bmi.bund.de/nis2