Ziel des Gesetzes ist es, dass für das Gemeinwesen wichtige Unternehmen strengere Maßnahmen vor allem auf der Ebene der IT- und Cybersicherheit etablieren. In Deutschland sind davon knapp 30.000 Unternehmen und die Behörden der Bundesverwaltung betroffen. Die NIS2-Richtlinie sieht neben strengeren Sicherheitsanforderungen umfangreichere Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Insgesamt soll in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden. Dass das Gesetz auch für Behörden der Bundesverwaltung gilt, war ursprünglich nicht vorgesehen. Das sorgte für erhebliche Kritik an dem Entwurf. Die parlamentarischen Beratungen haben nun zu einer Nachjustierung geführt und den Geltungsbereich entsprechend erweitert.

Dreistufiges Melderegime

Entsprechend der unionsrechtlichen Vorgaben soll der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert werden. Der Entwurf sieht neue Einrichtungskategorien vor, zudem ein dreistufiges Melderegime anstelle einer einstufigen Meldepflicht bei Sicherheitsvorfällen. Das heißt, nach einem Cyberangriff hat das Unternehmen 24 Stunden Zeit für die erste Meldung, nach 72 Stunden muss es über den aktuellen Zwischenstand informieren und zudem innerhalb eines Monats einen Abschlussbericht vorlegen. Das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll im Hinblick auf Aufsichtsmaßnahmen erweitert werden. Darüber hinaus soll in der Bundesverwaltung ein zentraler Koordinator, der sogenannte CISO Bund, für Maßnahmen zur Informationssicherheit in deren Einrichtungen etabliert werden. Dieser soll auch die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützen.

Umgang mit Spionagesoftware

Betroffen sind in erster Linie Unternehmen aus den Segmenten Energie, Gesundheit, Transport und digitale Dienste. Sie trifft die Verpflichtung, bestimmte Schutzmaßnahmen einzuführen, sofern es diese noch nicht gibt. Dazu zählen Risikoanalysen, Notfallpläne, Backup-Konzepte und Verschlüsselungslösungen. Der Umfang der zu treffenden Maßnahmen richtet sich nach der Bedeutung der jeweiligen Einrichtung. Ein vieldiskutiertes Phänomen war im Gesetzgebungsprozess, wie mit Hard- und Software sowie Cloud-Diensten umzugehen ist, die ein erhöhtes Sabotage- oder Spionagerisiko aufweisen. Künftig kann das Bundesinnenministerium in Abstimmung mit dem jeweils betroffenen Ministerium aussprechen kann, wenn die öffentliche Sicherheit und Ordnung der Bundesrepublik durch den Einsatz beeinträchtigt werden kann.   

Copyright Bild: Mike Hindle on Unsplash