NIS-2-Umsetzungsgesetz: Neuerungen für die Cybersicherheit

Das Gesetz zur Umsetzung der NIS-2-Richtlinie der EU hat eine wichtige Hürde genommen und wurde vom Bundeskabinett beschlossen. Es bringt weitreichende Neuregelungen für die Cybersicherheit bei Betreibern kritischer Infrastrukturen (KRITIS). Zukünftig fallen deutlich mehr Unternehmen und öffentliche Stellen unter die neuen Vorgaben.

Kernpunkte des Gesetzes sind verschärfte Vorschriften und ein erweiterter Adressatenkreis, der künftig etwa 29.500 Stellen umfasst. Unternehmen in verschiedenen Sektoren, wie Energie, Gesundheit und digitale Infrastruktur, müssen nun strengere Sicherheitsvorgaben erfüllen und Cybervorfälle innerhalb von 24 Stunden melden. Eine zentrale Meldestelle wird dafür eingerichtet.

Besonders strenge Anforderungen gelten für „besonders wichtige Einrichtungen“, die umfassend definiert sind und Maßnahmen zur Cybersicherheit umsetzen müssen. Auch die Haftung wird neu geregelt: Die Geschäftsleitung ist künftig für die Cybersicherheit verantwortlich und muss entsprechende Schulungen absolvieren.

Das Gesetz fordert regelmäßige Sicherheitsaudits und setzt empfindliche Bußgelder bei Verstößen fest. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht die Einhaltung und Durchsetzung der Regelungen.

Ein kontroverser Punkt ist die Prüfung kritischer Komponenten, die das Bundesinnenministerium genehmigen muss. Dies könnte Beschaffungsprozesse verzögern. Der Entwurf wird nun im Parlament diskutiert. Wirtschaftsverbände fordern längere Übergangsfristen, um den Unternehmen mehr Zeit für die Umstellung zu geben. Der Grünen-Fraktionsvize Konstantin von Notz betont, dass noch viel Arbeit vor den Fraktionen liegt, um das Gesetz kohärent mit anderen EU-Vorgaben und nationalen Regelungen abzustimmen.

Insgesamt zielt das NIS-2-Umsetzungsgesetz darauf ab, das Sicherheitsniveau in Deutschland zu erhöhen und das Risiko von Cyberangriffen zu senken. Die umfassenden Änderungen und neuen Anforderungen sollen sicherstellen, dass sowohl wichtige als auch besonders wichtige Einrichtungen besser gegen Cyberbedrohungen geschützt sind.