Der Referentenentwurf zur Umsetzung der NIS-2-Richtlinie (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) verfolgt das Ziel, die Cybersicherheit in Deutschland zu stärken und den europäischen Anforderungen der NIS-2-Richtlinie gerecht zu werden. Hier eine Zusammenfassung der wichtigsten Inhalte des Entwurfs auf zwei DIN-A4-Seiten:
A. Problem und Ziel
- Die Digitalisierung und Vernetzung von Wirtschaft und Infrastrukturen haben zu einer höheren Anfälligkeit gegenüber Cyberangriffen geführt.
- Der russische Angriffskrieg auf die Ukraine hat die IT-Sicherheitslage verschärft, insbesondere durch Ransomware-Angriffe, Schwachstellenausnutzungen und Angriffe auf Lieferketten.
- Ziel ist es, die Resilienz der deutschen Wirtschaft und Verwaltung zu erhöhen, um diese Gefahren besser abwehren zu können.
- Mit der NIS-2-Richtlinie soll ein europaweit einheitlicher Cybersicherheitsstandard eingeführt werden, der auch für besonders wichtige Einrichtungen und Unternehmen gilt.
B. Lösung und Nutzen
- Erweiterter Anwendungsbereich: Der Anwendungsbereich wird auf weitere Unternehmen ausgeweitet, darunter Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste.
- Einführung eines dreistufigen Meldesystems: Unternehmen müssen Vorfälle in drei Stufen melden, um einen besseren Überblick über die Bedrohungslage zu erhalten.
- Mindestsicherheitsanforderungen: Ein Mindestkatalog an Sicherheitsanforderungen, wie in Artikel 21 der NIS-2-Richtlinie definiert, wird in das BSI-Gesetz übernommen.
- Erweiterte Aufsichtsmaßnahmen: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält zusätzliche Befugnisse zur Überwachung und Durchsetzung der Sicherheitsanforderungen.
- Informationssicherheitsmanagement: Für die Bundesverwaltung werden neue Anforderungen an das Informationssicherheitsmanagement gesetzlich verankert.
C. Wichtige Neuerungen
- Erweiterte Einbeziehung von Unternehmen: Nicht nur kritische Infrastrukturen, sondern auch Unternehmen, die wichtige Dienste erbringen, werden verpflichtet, höhere Sicherheitsstandards einzuhalten.
- Dreistufiges Meldewesen: Statt einer einfachen Meldepflicht müssen Unternehmen Vorfälle in einem gestaffelten System melden, was eine frühere Reaktion auf Bedrohungen ermöglicht.
- Erweiterte Befugnisse des BSI: Das BSI erhält umfangreiche Aufsichts- und Eingriffsbefugnisse, um die Einhaltung der Sicherheitsanforderungen zu gewährleisten.
- Verbindliche Risikomanagementmaßnahmen: Besonders wichtige Einrichtungen müssen strengere Maßnahmen zum Risikomanagement umsetzen und regelmäßig nachweisen.
- CISO für die Bundesverwaltung: Es wird ein zentraler Koordinator für die Informationssicherheit in der Bundesverwaltung eingeführt, der die Umsetzung der Maßnahmen überwacht.
D. Haushaltsauswirkungen
- Die Umsetzung der NIS-2-Richtlinie führt zu erheblichen Kosten: Einmalige Ausgaben in Höhe von ca. 131,2 Millionen Euro sowie jährliche Mehrausgaben von etwa 1,46 Milliarden Euro bis 2028.
E. Erfüllungsaufwand
- Für die Wirtschaft entsteht ein jährlicher Erfüllungsaufwand von rund 2,32 Milliarden Euro. Dies umfasst vor allem die Einführung und Anpassung digitaler Prozessabläufe.
- Für die Bundesverwaltung beläuft sich der jährliche Erfüllungsaufwand auf mindestens 365 Millionen Euro.
F. Fazit
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz stellt eine notwendige Weiterentwicklung der deutschen Cybersicherheitsarchitektur dar. Durch die Ausweitung der Sicherheitsanforderungen auf eine größere Zahl von Unternehmen und die Stärkung des BSI wird das Gesetz dazu beitragen, die Cybersicherheit in Deutschland deutlich zu verbessern und Angriffe besser abwehren zu können.
Vorteile der NIS-2-Umsetzung:
- Verbesserung der Cybersicherheitsstandards für eine breitere Gruppe von Unternehmen und öffentlichen Einrichtungen.
- Stärkere Überwachung durch das BSI, um Sicherheitslücken frühzeitig zu identifizieren und zu schließen.
- Einführung eines klaren und gestaffelten Meldesystems für Sicherheitsvorfälle.
- Förderung der Resilienz kritischer Infrastrukturen gegenüber Bedrohungen.
- Schaffung eines zentralen Ansprechpartners für Cybersicherheit in der Bundesverwaltung.
Der Gesetzgebungsprozess ist ein strukturierter und sorgfältiger Ablauf, bei dem mehrere Akteure beteiligt sind. Die Grafik „Umsetzungsstand“ bietet einen klaren Überblick über den Status eines Gesetzes und ermöglicht es, den Fortschritt leicht nachzuvollziehen.
- Referentenentwurf:
– Erster Schritt im Gesetzgebungsprozess.
– Wird vom zuständigen Ministerium unter Einbeziehung von Verbänden, Organisationen und Experten erstellt.
– Der Entwurf wird innerhalb der Regierung abgestimmt. - Länder- und Verbändebeteiligung:
– Bundesländer, Verbände und Organisationen geben Stellungnahmen zum Entwurf ab.
– Diese Stellungnahmen können Verbesserungsvorschläge und Kritikpunkte enthalten. - Kabinettbeschluss (Regierungsentwurf):
– Die Stellungnahmen werden geprüft und der Entwurf ggf. angepasst.
– Nach Zustimmung des Bundeskabinetts wird der Entwurf als Regierungsentwurf bezeichnet. - Stellungnahme im Bundesrat:
– Der Bundesrat, bestehend aus Vertretern der Bundesländer, prüft den Regierungsentwurf und kann eine Stellungnahme abgeben.
– Diese wird zusammen mit dem Entwurf an den Bundestag weitergeleitet. - Lesungen im Bundestag:
– Der Entwurf wird im Bundestag in der Regel in drei Lesungen behandelt.
– Nach den Beratungen in den Ausschüssen erfolgt die Schlussabstimmung. - Abschluss des Gesetzes:
– Nach erfolgreicher Abstimmung im Bundestag und Zustimmung im Bundesrat tritt das Gesetz nach der Unterschrift des Bundespräsidenten in Kraft.