Das Bundeskabinett hat den Gesetzentwurf von Bundesinnenminister Alexander Dobrindt zur Stärkung der Cybersicherheit beschlossen. Damit wird die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) in deutsches Recht umgesetzt und das bestehende IT-Sicherheitsrecht modernisiert.
Quer durch zentrale Wirtschaftsbereiche sollen deutlich mehr Unternehmen eine aktive Rolle beim Schutz ihrer digitalen Infrastruktur übernehmen, heißt es in einer Pressemitteilung des BMI (Bundesministerium des Innern). Auch die Bundesverwaltung wird besser abgesichert und das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält Aufsichtsinstrumente.
Was sieht das Gesetz vor?
Neben Betreibern Kritischer Infrastrukturen umfasst der Entwurf ein breiteres Spektrum und unterscheidet zwischen ‚wichtigen‘ und ‚besonders wichtigen‘ Einrichtungen‘. Insgesamt betrifft das rund 29.500 Unternehmen, etwa aus den Bereichen Energie, Gesundheit, Transport oder digitale Dienste.
Betroffene Unternehmen sollen künftig zentrale Schutzmaßnahmen etablieren – beispielsweise Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen. Der Umfang richtet sich nach der Bedeutung der Einrichtung.
Kommt es zu einem Cyberangriff, greift ein gestuftes Meldeverfahren: Zunächst bedarf es einer kurzen Erstmeldung innerhalb von 24 Stunden, gefolgt von einem Zwischenstand nach 72 Stunden und einem Abschlussbericht innerhalb eines Monats.
Das BSI erhält mehr Befugnisse zur Aufsicht und Durchsetzung. Wie das BMI mitteilt, können bei schwerwiegenden Verstößen künftig auch Bußgelder verhängt werden, die sich am Jahresumsatz orientieren.
Das BSI stellt Informationen bereit, inklusive eines digitalen Tools zur Selbsteinschätzung. Unternehmen können prüfen, welche Regelungen für sie relevant sind und wie sie sich bestmöglich aufstellen.
Der Regierungsentwurf ist hier einsehbar.
