Neue Vorgaben zur Cybersicherheit auf dem Weg

Weltweit kam es in den vergangenen Wochen zu IT-Ausfällen in zahlreichen Branchen, darunter auch bei Betreibern kritischer Infrastrukturen in Deutschland: So steckten Passagiere an Flughäfen fest, Krankenhäuser mussten Operationen verschieben, und Fernsehsender strahlten keine Bilder mehr aus. Grund für das tagelange Chaos war nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ein fehlerhaftes Update einer IT-Security-Lösung.

Zum wiederholten Male verdeutlichte dieser Vorfall, dass bereits kleine technische Probleme zu großen Auswirkungen in der Breite der Wirtschaft sorgen können. Angesichts dieser Ereignisse und der angespannten geopolitischen Lage werden sich Unternehmen verschiedenster Branchen der Bedeutung von Cybersicherheit immer stärker bewusst.

EU-Richtlinie aktuell in deutscher Umsetzung

Eine wichtige Rolle spielt in diesem Zusammenhang aktuell die 2023 in Kraft getretene zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie). Den Gesetzentwurf zur Umsetzung in deutsches Recht hat das Bundeskabinett am 24. Juli verabschiedet. Für die Wirtschaft spielt dabei insbesondere das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz des Bundes eine Rolle – die DIHK hat hierzu bereits im Mai in einem Positionspapier (PDF, 191 KB) Stellung bezogen.

Mit den neuen Regelungen wird die Zahl der Unternehmen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben, deutlich zunehmen. Dabei erfolgt eine Kategorisierung in "wichtige" und "besonders wichtige" Einrichtungen, die in den Fokus der Richtlinie rücken. Zu Letzteren zählen beispielsweise Betreiber kritischer Infrastrukturen aus den Sektoren Energie, Telekommunikation, Wasser, Ernährung oder Transport.

Deutschlandweit sollen nach den im Gesetzentwurf festgelegten Kriterien rund 29.500 Unternehmen unter die NIS-2-Richtlinie fallen – die genaue Kategorisierung erfolgt mittels Kennzahlen und Schwellenwerten zu Jahresumsatz und Mitarbeiterzahl.

Mehr Pflichten für Unternehmen

Die Umsetzung der EU-Richtlinie in nationales Recht verpflichtet Unternehmen beispielsweise zur Einrichtung eines Risikomanagements oder zu Nachweispflichten zur internen IT-Sicherheit. Zudem müssen sie künftig "erhebliche Sicherheitsvorfälle" innerhalb von 24 Stunden einer Meldestelle des BSI und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe bekanntgeben. Neu ist auch, dass künftig die Geschäftsleitung für Vorfälle haftet und zu Schulungen verpflichtet wird. Die Aufsicht für die Umsetzung wird beim BSI liegen, das bei Nichtbeachtung der Vorschriften hohe Strafen verhängen kann.

Eine Umsetzung der Richtlinie bis zum 18. Oktober 2024 – wie von der EU vorgesehen – ist nach Angaben des Bundesinnenministeriums allerdings sehr unwahrscheinlich. Schließlich muss das Gesetz noch den Bundestag passieren, wobei zahlreiche Diskussionen und Änderungen zu erwarten sind.

Funktionierende Sicherheitssysteme dringend nötig

Gleichzeitig ist es für die Wirtschaft wichtig, schnell Planungssicherheit über zum nationalen Umsetzungsgesetz zu erhalten. Eine bürokratiearme Umsetzung und breite Unterstützungsangebote für die Betriebe sollten dabei im Fokus stehen. Aus Sicht der Betriebe ist zudem von Bedeutung, dass die neuen Sicherheitsstandards auch für die öffentliche Verwaltung gelten – auf allen Ebenen. Denn ihr Funktionieren ist für die Wirtschaft essenziell und darf nicht durch Cybersicherheitsvorfälle beeinträchtigt werden.

Die Umsetzung der NIS-2-Richtlinie allein wird nicht ausreichen, um die Unternehmen in Deutschland vor Cyberangriffen zu schützen. Sicherheitsbehörden, europäische und nationale Institutionen und die Betriebe müssen zusammenarbeiten, um ein gesamtheitliches Sicherheitsniveau für die Wirtschaft zu gewährleisten.