Wer seine IT-Systeme nicht gut schützt, geht ein großes Risiko ein. Demnächst soll es für rund 29.000 Unternehmen und Einrichtungen dazu Vorgaben geben. Das entsprechende Gesetz kommt mit Verspätung.
Bundesinnenministerium bereitet Cybersicherheitsgesetz vor
Nach etlichen Verzögerungen will die Bundesregierung die von der Europäischen Union beschlossenen Regeln für den Schutz wichtiger Anlagen und Unternehmen vor Cyberangriffen bis Anfang 2026 gesetzlich verankern. «Das Bundesinnenministerium treibt dieses Thema im Moment mit Hochdruck voran», sagte die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, der Deutschen Presse-Agentur. «Ich habe die Hoffnung, dass wir es schaffen, dass es Anfang 2026 in Kraft treten kann.» Zu dem Entwurf wurden laut Innenministerium Anfang Juli die Länder und betroffene Verbände angehört.
Schutz vor Erpressern und Sabotage
Die europäische NIS-2-Richtlinie zielt darauf ab, die Cybersicherheit von Unternehmen und Institutionen zu verbessern. Zu den wichtigen Einrichtungen gemäß des Gesetzes gehören größere Unternehmen in den Bereichen Energie, Verkehr, Trinkwasser, Lebensmittelproduktion, Abwasser und Telekommunikation. Der Gedanke dahinter ist, dass ein Ausfall dieser Unternehmen aufgrund von Datenverschlüsselung oder Blockierung des Zugriffs durch Hacker erhebliche Auswirkungen auf die Bevölkerung hätte.
Die Anzahl der Unternehmen, die bestimmte Sicherheitsmaßnahmen zur Abwehr und Bewältigung von Cyberangriffen umsetzen müssen, wird voraussichtlich auf rund 29.000 steigen, was eine deutliche Zunahme im Vergleich zu bisher darstellt. Derzeit überwacht das BSI etwa 4.500 Betreiber kritischer Infrastruktur, die bestimmte Cybersicherheitsstandards einhalten müssen.
Seit ungefähr vier Monaten ist ein «NIS-2-Betroffenheitstest» online. Damit kann jeder herausfinden, ob die geplanten strengeren Regeln für ihn gelten oder nicht. Der Test wurde laut BSI schon mehr als 200.000 Mal genutzt. Plattner hat dennoch den Eindruck: «Die Anforderungen, die auf die betroffenen Unternehmen und Einrichtungen zukommen, haben viele derjenigen, die es angeht, immer noch nicht richtig auf dem Schirm.»
Umsetzungsfrist lief im Oktober ab
Die Frist für die NIS-2-Richtlinie ist am 17. Oktober 2024 abgelaufen. Bis zu diesem Datum hätten alle EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen müssen. Deutschland und zahlreiche andere EU-Staaten haben die Frist nicht eingehalten. Die Ampel-Koalition hatte im Juli 2024 im Kabinett einen entsprechenden Gesetzentwurf beschlossen. Nach dem Auseinanderbrechen der Koalition von SPD, Grünen und FDP fand sich dafür jedoch keine Mehrheit mehr im Bundestag. «Dadurch, dass wir es in der letzten Legislaturperiode nicht mehr geschafft haben, ist da jetzt wirklich Tempo gefordert», mahnt die BSI-Präsidentin.