Bundesinnenministerium bereitet Cybersicherheitsgesetz vor
Bei der Umsetzung der EU-Richtlinie für mehr Cybersicherheit sei jetzt Tempo gefordert, sagt die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Foto: Annette Riedl/dpa
Wer seine IT-Systeme nicht gut schützt, geht ein großes Risiko ein. Demnächst soll es für rund 29.000 Unternehmen und Einrichtungen dazu Vorgaben geben. Das entsprechende Gesetz kommt mit Verspätung.
Berlin. Nach etlichen Verzögerungen will die Bundesregierung die von der Europäischen Union beschlossenen Regeln für den Schutz wichtiger Anlagen und Unternehmen vor Cyberangriffen bis Anfang 2026 gesetzlich verankern. „Das Bundesinnenministerium treibt dieses Thema im Moment mit Hochdruck voran“, sagte die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, der Deutschen Presse-Agentur. „Ich habe die Hoffnung, dass wir es schaffen, dass es Anfang 2026 in Kraft treten kann.“ Zu dem Entwurf wurden laut Innenministerium Anfang Juli die Länder und betroffene Verbände angehört.
Schutz vor Erpressern und Sabotage
Mit der Umsetzung der europäischen NIS-2-Richtlinie soll mehr Cybersicherheit von Unternehmen und Institutionen geschaffen werden. Als wichtige Einrichtung im Sinne des Gesetzes gelten unter anderem größere Unternehmen der Sektoren Energie, Verkehr, Trinkwasser, Lebensmittelproduktion, Abwasser und Telekommunikation. Die Idee dahinter: Wenn sie nicht mehr arbeitsfähig wären - etwa weil ein Hacker ihre Daten verschlüsselt oder den Zugriff darauf blockiert hat - hätte das erhebliche Auswirkungen auf die Bevölkerung.
Bei Angriffen mit Ransomware werden Daten verschlüsselt, und die Hacker verlangen Geld für die Freigabe. (Symbolbild) Foto: Lino Mirgeler/dpa
Die Pflicht zur Umsetzung bestimmter Sicherheitsmaßnahmen zur Abwehr und Bewältigung von Cyberangriffen soll künftig schätzungsweise rund 29.000 Unternehmen betreffen und damit deutlich mehr als bisher. Aktuell betreut das BSI rund 4.500 Betreiber kritischer Infrastruktur, die bestimmte Standards in Sachen Cybersicherheit erfüllen müssen.
Seit ungefähr vier Monaten ist ein „NIS-2-Betroffenheitstest“ online. Damit kann jeder herausfinden, ob die geplanten strengeren Regeln für ihn gelten oder nicht. Der Test wurde laut BSI schon mehr als 200.000 Mal genutzt. Plattner hat dennoch den Eindruck: „Die Anforderungen, die auf die betroffenen Unternehmen und Einrichtungen zukommen, haben viele derjenigen, die es angeht, immer noch nicht richtig auf dem Schirm.“
Umsetzungsfrist lief im Oktober ab
Die Frist für die NIS-2-Richtlinie ist am 17. Oktober 2024 abgelaufen. Bis zu diesem Datum hätten alle EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen müssen. Deutschland und zahlreiche andere EU-Staaten haben die Frist nicht eingehalten. Die Ampel-Koalition hatte im Juli 2024 im Kabinett einen entsprechenden Gesetzentwurf beschlossen. Nach dem Auseinanderbrechen der Koalition von SPD, Grünen und FDP fand sich dafür jedoch keine Mehrheit mehr im Bundestag. „Dadurch, dass wir es in der letzten Legislaturperiode nicht mehr geschafft haben, ist da jetzt wirklich Tempo gefordert“, mahnt die BSI-Präsidentin.
