Auf der Ebene der Europäischen Union wurde die zweite Richtlinie zur Netzwerk- und Informationssicherheit (NIS‑2) bereits Ende 2022 beschlossen, nun wurde sie auch durch ein Gesetz zur Stärkung der Cybersicherheit in deutsches Recht überführt. Ziel ist es, das deutsche IT-Sicherheitsrecht zu modernisieren und neu zu strukturieren. Bundesinnenministerin Nancy Faeser, deren Ministerium mit dem Gesetzentwurf betraut war, erklärte: „Die Bedrohungslage im Bereich der Cybersicherheit ist unvermindert hoch. Wir erleben durch den russischen Angriffskrieg gegen die Ukraine und seine Folgen auch eine Zeitenwende für die innere Sicherheit. Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind. Künftig müssen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen. Wir steigern das Sicherheitsniveau – und senken damit das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden.“
Die Pflichten zur Umsetzung von Cybersicherheitsmaßnahmen und Meldung von Cyberangriffen werden auf mehr Unternehmen in mehr Sektoren ausgeweitet und die Cybersicherheit der Bundesverwaltung gestärkt. Zu den Pflichten gehören beispielsweise die Erstellung von Risikoanalysekonzepten, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management und Konzepte zum Einsatz von Verschlüsselung. Außerdem müssen Unternehmen zukünftig nicht nur einmal beim Bundesamt für Sicherheit in der Informationstechnik (BSI) vorstellig werden, wenn ein Cyberangriff auf ihren Betrieb gestartet wurde. Zukünftig müssen sich die Unternehmen in drei zeitlichen Stufen – binnen 24 Stunden, via Update binnen 72 Stunden und per Abschlussbericht binnen eines Monats – beim BSI melden. Wer sich nicht an die neuen Regeln hält, dem drohen Finanzstrafen. Mit dem neuen Gesetz bekommt das BSI neue Instrumente, um die Unternehmen zur Umsetzung ihrer Pflichten zu bewegen. Hierzu zählen u. a. die neuen Bußgeldrahmen, die sich gegebenenfalls prozentual am weltweiten Jahresumsatz eines Unternehmens bemessen, wenn Unternehmen wesentliche Pflichten zur Cybersicherheit verletzen – zum Beispiel, wenn Mängel in der Umsetzung von Cybersicherheitsmaßnahmen nicht abgestellt werden. Betroffen von den Maßnahmen sind alle Unternehmen im Gesundheitswesen mit mehr als 50 Mitarbeitenden oder einem jährlichen Umsatz von 10 Millionen Euro.
„Künftig werden rund 29.500 Unternehmen zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet sein. Sie gewährleisten die Versorgungssicherheit der Bevölkerung und bilden das Rückgrat der Cybernation Deutschland. Daher wird das BSI sie dabei bestmöglich unterstützen und die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten“, erklärt BSI-Präsidentin Claudia Plattner.
- Seminar gibt Einblick in Förderlandschaft — 11. September 2024
- Bitkom-Umfrage zur Digitalisierung im Gesundheitswesen — 10. September 2024
- Gesetzesnovelle enttäuscht Erwartungen — 9. September 2024