Gesetz zur NIS-2-Richt­li­nie beschlossen

Es hät­te eigent­lich schon knapp zwölf Mona­te zuvor so weit sein sol­len, doch durch den Bruch der Ampel-Koa­­­li­ti­on und die vor­ge­zo­ge­nen Neu­wah­len rück­te das Gesetz „zur Umset­zung der NIS-2-Richt­li­nie und zur Rege­lung wesent­li­cher Grund­zü­ge des Informationssicherheits­managements in der Bun­des­ver­wal­tung“ zunächst wie­der auf die gesetz­ge­be­ri­sche War­te­lis­te. Am 13. Novem­ber war es nun so weit: Der Bun­des­tag hat dem Gesetz­ent­wurf zuge­stimmt und damit die natio­na­le Gesetz­ge­bung zur NIS-2-Richt­li­nie abgeschlossen.

Anzei­ge

„Die Umset­zung der euro­päi­schen NIS-2-Richt­li­nie war über­fäl­lig. Cyber­an­grif­fe bedro­hen Wirt­schaft, Ver­wal­tung und Gesell­schaft. Den deut­schen Unter­neh­men ist so zuletzt ein jähr­li­cher Scha­den von 202 Mil­li­ar­den Euro ent­stan­den. Eine wirk­sa­me und glaub­wür­di­ge Cyber­sicherheitsarchitektur setzt vor­aus, dass der Staat selbst höchs­te Sicher­heits­stan­dards ein­hält. Es ist nur kon­se­quent und rich­tig, dass Bun­des­be­hör­den künf­tig den­sel­ben Anfor­de­run­gen beim Risi­ko­ma­nage­ment unter­lie­gen wie regu­lier­te Unter­neh­men“, sagt Bit­kom-Prä­si­dent Dr. Ralf Win­ter­gerst, denn die Richt­li­nie erhöht die Anfor­de­run­gen an die Cyber­si­cher­heit bestimm­ter Unter­neh­men sowie der Bun­des­ver­wal­tung. Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) nimmt in bei­den Berei­chen eine Schlüs­sel­po­si­ti­on ein: Es wird Auf­sichts­be­hör­de für die von der Richt­li­nie betrof­fe­nen Unter­neh­men. Zudem wird es in der Funk­ti­on des Chief Infor­ma­ti­on Secu­ri­ty Offi­cer (CISO) zen­tra­le Stel­le für die Cyber­si­cher­heit der Bundesverwaltung.

„Mit die­sem Gesetz hat Deutsch­land einen wich­ti­gen Mei­len­stein auf dem Weg zu einer resi­li­en­ten Cyber­na­ti­on erreicht, denn wir schüt­zen damit einen ent­schei­den­den Teil unse­rer digi­ta­len Angriffs­flä­che viel bes­ser als bis­her“, bewer­tet BSI-Prä­si­den­tin Clau­dia Platt­ner und ergänzt: „Für die von der NIS-2-Regu­lie­rung erfass­ten Unter­neh­men tun wir bereits jetzt sehr viel mit viel­sei­ti­gen Bera­tungs- und Unter­stüt­zungs­an­ge­bo­ten. Die­se wer­den wir mit Inkraft­tre­ten des Geset­zes erneut aus­wei­ten.“ Gemeint ist damit zum einem ein Star­ter­pa­ket für Unter­neh­men sowie vir­tu­el­le Kick-off-Semi­na­re, in denen Unter­neh­men unter ande­rem Schritt-für-Schritt-Anlei­tun­gen für die Betrof­fen­heits­prü­fung sowie Regis­trie­rungs- und Mel­de­pro­zes­se erhalten.

Antrag der Grünen

„Deutsch­land resi­li­ent machen – Für einen ganzheit­lichen Schutz unse­rer kri­ti­schen Infra­struk­tur“ lau­tet der Titel eines Antrags der Frak­ti­on Bünd­nis 90/Die Grü­nen, der im Rah­men der Gesetz­ge­bung ein­ge­bracht wur­de. Dar­in for­der­te die Frak­ti­on die Bun­des­re­gie­rung auf, den Ent­wurf für ein Kri­tis-Dach­­ge­setz (Kri­tis steht für kri­ti­sche Infra­struk­tur, Anm. d. Red.) vor­zu­le­gen, das „einen effek­tiven und ein­heit­li­chen Kri­tis-Schutz schafft, der die EU-Vor­ga­ben für die phy­si­sche und digi­ta­le Sicher­heit ver­ein­heit­licht, Betrei­ber kri­ti­scher Anla­gen künf­tig nur noch durch das Dach­ge­setz und die dazu­ge­hö­ri­ge ­Rechts­ver­ord­nung bestimmt und Deutsch­land insb­esondere durch das Schaf­fen von ein­heit­li­chen Mindest­standards, Risi­ko­ana­ly­sen und ein Stö­rungs­mo­ni­to­ring ins­ge­samt wider­stands­fä­hi­ger gegen Kri­sen und Angrif­fe macht“.