NIS-2: Bundesregierung legt NIS-2-Umsetzungsgesetz vor

/in /von

Die Bundesregierung will die Widerstandskraft von Staat und Wirtschaft gegen Cyberangriffe deutlich erhöhen. Dazu hat sie einen Gesetzentwurf (21/1501 ) vorgelegt, mit dem die NIS-2-Richtlinie der EU und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung in deutsches Recht umgesetzt werden soll. Die Richtlinie setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Ziel ist nach Regierungsangaben die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen.

Entsprechend der unionsrechtlichen Vorgaben soll der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert werden. Zusätzlich sollen entsprechende Vorgaben für die Bundesverwaltung eingeführt werden. Der Entwurf sieht vor, dass der Anwendungsbereich ausgeweitet und neue Einrichtungskategorien eingeführt werden. Zudem soll die bislang einstufige Meldepflicht bei Sicherheitsvorfällen durch ein dreistufiges Melderegime ersetzt werden. Das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll im Hinblick auf Aufsichtsmaßnahmen erweitert werden. Darüber hinaus soll in der Bundesverwaltung ein zentraler Koordinator (CISO Bund) für Maßnahmen zur Informationssicherheit in deren Einrichtungen etabliert werden. Dieser soll auch die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützen.

Laut der Bundesregierung hat die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft identifiziert. Die Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe sei eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, heißt es weiter. Für das Informationssicherheitsmanagement in der
Bundesverwaltung haben sich „die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen“, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen, heißt es im Entwurf.

Für den Bundeshaushalt entstehen durch das Gesetz bei der Bundesverwaltung einmalige Ausgaben in Höhe von rund 59 Millionen Euro sowie bis zum Jahr 2029 laufende jährliche Ausgaben in Höhe von durchschnittlich rund 212 Millionen Euro. Der Wirtschaft sollen einmalig 2,2 Milliarden Euro sowie laufend 2,3 Milliarden Euro jährlich an Kosten entstehen. Mehrausgaben für Länder und Kommunen sind nicht vorgesehen. Mit dem vorgelegten Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie setzt die Bundesregierung ein klares Signal für mehr Cybersicherheit in Verwaltung und Wirtschaft.