Kabinett beschließt strengere Regeln für Cybersicherheit

Das Bundeskabinett hat strengere Regeln für den Schutz kritischer Anlagen und wichtiger Unternehmen vor Cyberangriffen auf den Weg gebracht. Danach müssen künftig rund 29.500 Unternehmen unter anderem aus den Bereichen Energie, Transport und Verkehr Sicherheitsmaßnahmen gegen Cyberangriffe umsetzen.

Das sind deutlich mehr als bisher. "Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind", sagte Bundesinnenministerin Nancy Faeser (SPD). Im BSI-Gesetz sollen die Kategorien "wichtige Einrichtungen" und "besonders wichtige Einrichtungen" geschaffen werden. Bislang beschränkt sich der Anwendungsbereich auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Als besonders wichtige Einrichtung gelten unter anderem Großunternehmen der Sektoren Energie, Transport und Verkehr, Trinkwasser, Abwasser und Telekommunikation.

Zudem soll der Instrumentenkasten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert werden – auch was die Möglichkeit betrifft, Bußgelder zu verhängen. Im Gesetzentwurf heißt es beispielsweise, während eines erheblichen Sicherheitsvorfalls könne das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern kritischer Anlagen die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen.

Sicherheitsanforderungen und Meldepflichten

BSI-Präsidentin Claudia Plattner betonte jedoch, das BSI wolle die betroffenen Unternehmen generell "bestmöglich unterstützen und die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten". Zu den Anforderungen an die Unternehmen zählen laut Innenministerium unter anderem Risikoanalysekonzepte, ein Backup-Management, Maßnahmen zur Aufrechterhaltung des Betriebs sowie Konzepte zum Einsatz von Verschlüsselung.

Schon jetzt müssen Unternehmen Cybersicherheitsvorfälle an das BSI melden. Künftig soll es ein dreistufiges Meldesystem geben: Eine erste Meldung binnen 24 Stunden, ein Update innerhalb von 72 Stunden sowie einen Abschlussbericht, der binnen eines Monats übermittelt werden muss. Damit Unternehmen prüfen können, ob sie von der geplanten Änderung, die noch vom Bundestag gebilligt werden muss, betroffen sind, hat das BSI einen Fragenkatalog dazu veröffentlicht. Mit dem geplanten Gesetz wird die europäische NIS-2-Richtlinie umgesetzt.

Was noch aussteht, ist das im Koalitionsvertrag von SPD, Grünen und FDP vereinbarte "Kritis-Dachgesetz". Es soll Vorgaben für einen besseren physischen Schutz wichtiger Einrichtungen beinhalten. Hierzu hatte das Innenministerium bereits im Dezember 2022 Eckpunkte vorgelegt, im Juli 2023 wurde ein Entwurf veröffentlicht.

Redaktion beck-aktuell, hs, 24. Juli 2024 (ergänzt durch Material der dpa).

Weiterführende Links

Aus der Datenbank beck-online

Falk/Dolle, Herausforderungen bei der effizienten Umsetzung von NIS-2 , WPg 2024, 337

Kipker/Dittrich, Rolle der Kritischen Infrastrukturen nach dem neuen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, MMR 2023, 481

Tilmann Dittrich/Dennis-Kenji Kipker, KRITIS-Dachgesetz kommt: Umfassender Überblick über den neuen RefE, MMR-Aktuell 2023, 458516

Eisenmenger, Ein neuer Rechtsrahmen für Kritische Infrastrukturen (KRITIS) – unter Berücksichtigung der EU-Resilienz-Richtlinie, NVwZ 2023, 1203

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.