Die Cybersicherheitslage Deutschlands ist angespannt: Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im digitalen Raum verwundbar. Mit dem am 13. November im Deutschen Bundestag verabschiedeten Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie wird das nationale IT-Sicherheitsrecht umfassend modernisiert: Die Richtlinie erhöht die Anforderungen an die Cybersicherheit bestimmter Unternehmen sowie der Bundesverwaltung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt in beiden Bereichen eine Schlüsselposition ein. Es wird Aufsichtsbehörde für die von der Richtlinie betroffenen Unternehmen; zudem wird es in der Funktion des Chief Information Security Officer (CISO) zentrale Stelle für die Cybersicherheit der Bundesverwaltung.
Das NIS-2-Umsetzungsgesetz umfasst eine Novellierung des BSI-Gesetzes (BSIG), von dem bislang circa 4.500 Einrichtungen des Wirtschaftraums erfasst waren: Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Mit dem Inkrafttreten des NIS-2-Gesetzes wird dieser Radius um die Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ erweitert, so dass das BSI künftig rund 29.500 Einrichtungen beaufsichtigen wird, für die neue gesetzliche Pflichten in der IT-Sicherheit gelten: Betroffene Unternehmen müssen sich beim BSI registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Risikomanagement-Maßnahmen implementieren.
Von den Einrichtungen der Bundesverwaltung verlangt das Gesetz, Mindestanforderungen der Informationssicherheit zu erfüllen, die sich unter anderem aus dem IT-Grundschutz-Kompendium des BSI und Mindeststandards für die Sicherheit in der Informationstechnik des Bundes ergeben. Der angespannten Lage im Cyberraum muss zudem eine robuste IT-Governance-Struktur in der Bundesverwaltung entgegengesetzt werden, die sich über alle Ressorts, Behörden und Institutionen erstreckt und dem Ziel dient, IT-Sicherheit gemeinsam zu organisieren und kontinuierlich zu verbessern. Die Koordination dieser Aktivitäten übernimmt künftig das BSI in der Rolle des CISO Bund.
Mit einem Starterpaket wird das BSI betroffenen Unternehmen klare Informationen an die Hand geben, um die Verpflichtungen, die sich aus der NIS-2-Richtlinie ergeben, erfolgreich umzusetzen. Mit Inkrafttreten wird das BSI zudem virtuelle Kick-off-Seminare anbieten, in denen Unternehmen unter anderem Schritt-für-Schritt-Anleitungen für die Betroffenheitsprüfung sowie Registrierungs- und Meldeprozesse erhalten.
