Mit dem Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie unternimmt die Bundesregierung nun den zweiten Anlauf für eines der größten Modernisierungspakete im deutschen Cybersicherheitsrecht. Der Entwurf reagiert auf die steigende Bedrohungslage im Cyberraum und setzt die EU-Vorgaben aus der Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) in nationales Recht um.
Überarbeitung des BSI-Gesetzes
Herzstück ist eine umfassende Neufassung des BSI-Gesetzes (BSIG). Es definiert künftig nicht nur die Aufgaben und Befugnisse des Bundesamts für Sicherheit in der Informationstechnik, sondern legt auch verbindliche Sicherheitsanforderungen für alle unter NIS-2 fallenden Einrichtungen fest. Dazu gehören künftig nicht nur Betreiber Kritischer Infrastrukturen, sondern auch „wichtige“ und „besonders wichtige“ Einrichtungen aus zahlreichen Branchen.
Im neuen BSIG vorgesehen sind unter anderem:
- Mindestanforderungen aus Art. 21 Abs. 2 NIS-2, abgestuft nach Kategorie
- Dreistufige Meldepflicht bei Sicherheitsvorfällen
- Erweiterte Aufsichtsbefugnisse des BSI
- Einrichtung der zentralen Koordinatorrolle CISO Bund für die Informationssicherheit der Bundesverwaltung
Anpassung weiterer Gesetze
Die Umsetzung erfolgt nicht als eigenständiges „NIS-2-Gesetz“, sondern als Querschnittspaket, das neben dem BSI-Gesetzt mehr als 25 bestehende Gesetze und Verordnungen ändert – darunter:
- Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG)
- BSI-Kritisverordnung
- Hinweisgeberschutzgesetz
- Telekommunikationsgesetz
- Energiewirtschaftsgesetz
- E-Government-Gesetz
- sowie weitere sektorale Gesetzte und Vorschriften
Konsequenzen für Unternehmen
Der Kreis der regulierten Organisationen wächst von rund 4.500 auf etwa 29.500 Einrichtungen. Für viele bedeutet das erstmals:
- Umsetzung verbindlicher Cybersicherheitsanforderungen
- Einführung eines dreistufigen Meldesystems für IT-Sicherheitsvorfälle
- Aufbau oder Erweiterung eines ISMS nach gesetzlichen Vorgaben
Aufwand und Nutzen
Die Bundesregierung kalkuliert für die Wirtschaft mit einmaligen Umsetzungskosten von rund 2,2 Mrd. € und einem jährlichen Erfüllungsaufwand von 2,3 Mrd. €. Der potenziell vermeidbare Schaden durch höhere Sicherheitsstandards wird auf mindestens 3,6 Mrd. € pro Jahr geschätzt.
Was jetzt zu tun ist
- Prüfen, ob das Unternehmen in den Sektoren der Anlage A oder B des zukünftigen BSI-Gesetzes aufgeführt ist und als „wichtig“ oder „besonders wichtig“ eingestuft wird.
- Prüfen, ob das Unternehmen die Schwellwerte von mindestens 10 Millionen Euro Jahresumsatz und 50 Beschäftigten überschreitet.
Auch wer nicht direkt unter NIS-2 fällt, kann indirekt betroffen sein – etwa als Teil der Lieferkette regulierter Unternehmen, die künftig ihre Partner stärker absichern müssen.
Stärken Sie Ihre Cybersicherheit
Ob direkt von NIS-2 betroffen, indirekt über die Lieferkette oder aktuell noch außerhalb des Geltungsbereichs – Cybersicherheit geht alle an. Jede Maßnahme zur Stärkung Ihrer Resilienz hilft, Risiken zu senken und handlungsfähig zu bleiben.
Verschaffen Sie sich einen Überblick und erfassen Sie den aktuellen Stand der IT- und Informationssicherheit.
- Planen Sie Maßnahmen, setzen Sie Prioritäten und definieren Sie realistische Ziele.
- Setzen Sie Schritte um und gehen Sie erste Verbesserungen an, auch wenn sie klein erscheinen.
- Verbessern Sie kontinuierlich, indem Sie Fortschritte regelmäßig prüfen und anpassen
Jetzt aktiv werden
Die Umsetzung von NIS-2 wird tief in bestehende Gesetze eingreifen und die Sicherheitskultur in Verwaltung und Wirtschaft nachhaltig verändern. Sie ist eine direkte Reaktion auf die wachsende und komplexer werdende Bedrohungslage im Cyberraum, die Unternehmen und Behörden gleichermaßen betrifft. Wer jetzt mit der Umsetzung beginnt, verschafft sich einen Vorsprung, reduziert Risiken und gewinnt nicht nur in Sachen Compliance, sondern stärkt auch dauerhaft seine Cyber-Resilienz. Jetzt aktiv werden und die nötigen Schritte einleiten.