Bundesregierung verabschiedet NIS2UmsuCG – Sicherheit gegen Cyberbedrohungen soll erhöht werden
In der Bundeskabinettsitzung am 24.7.2024 hat die Bundesregierung das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) in das nationale Recht überführt. Die wichtigsten Änderungen gegenüber dem letzten Referentenentwurf gibt es für Behörden und im Bereich der Energieversorgung.
Bundesregierung beschließt Änderung des IT-Sicherheitsrechts
Das Bundeskabinett hat den vorgelegten Entwurf für ein Gesetz zur Stärkung der Cybersicherheit beschlossen. Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) wird damit in das deutsche Recht überführt und tritt europaweit zum 18.10.2024 in Kraft.
Das IT-Sicherheitsrecht in Deutschland wird damit umfassend modernisiert und neu strukturiert. Zudem bringt die NIS-2-Richtlinie weitreichende Anforderungen für viele Unternehmen mit sich. Der Kreis der betroffenen Unternehmen wird stark erweitert und über die bisherigen KRITIS-Einrichtungen hinausgehen. Insbesondere werden auch viele mittelständische Unternehmen in den Geltungsbereich der NIS-2 fallen.
In mehreren Blogbeiträgen berichteten wir bereits (Blogbeitrag vom 23.4.2024 und Blogbeitrag vom 9.3.2024).
Änderungen gegenüber dem 4. Referentenentwurf
Im Vergleich zum 4. Referentenentwurf wurden insbesondere Anforderungen an Behörden angepasst. Änderungen zur Vermeidung von Doppelregulierungen gab es für Betreiber von Energieversorgungsnetzen und Energieanlagen. Diese Unternehmen sind nun fast vollständig über das Energiewirtschaftsgesetz (EnWG) reguliert. Daneben wurden Planstellen und Umsetzungskosten neu berechnet und fallen nun teilweise deutlich niedriger aus. Dem gegenüber wurden kaum Änderungen bei den wirtschaftsbezogenen Regelungen festgestellt.
Regelungen im Gesetzentwurf
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt folgende wesentliche Änderungen:
- Die Einführung der Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“ hat eine signifikante Ausweitung des Anwendungsbereichs zur Folge.
- Der Katalog der Mindestsicherheitsanforderungen der NIS-2-Richtlinie wird in das BSI-Gesetz übernommen und differenziert im Sinne der Verhältnismäßigkeit zwischen den Kategorien.
- Das bislang einstufige Meldeverfahren bei Cybersicherheitsvorfällen der erfassten Unternehmen an das BSI wird durch ein dreistufiges Meldesystem ersetzt.
- Die Instrumente des BSI zur Aufsicht und Durchsetzung werden u.a. durch neue Bußgeldrahmen ausgeweitet.
- Im Bund wird ein Chief Information Security Officer eingesetzt und wesentliche Anforderungen an das Informationssicherheitsmanagement werden gesetzlich verankert.
Wie können wir Sie unterstützen?
Im Rahmen von Blogbeiträgen informieren wir Sie über die NIS-2-Richtlinie. Die Durchführung einer Betroffenheitsanalyse bieten wir gerne im Zusammenspiel mit unseren Rechtsexpert:innen an. Sollte das der Fall sein, empfehlen wir, in einer gemeinsamen Gap-Analyse zu erarbeiten, wo Sie aktuell stehen und was Ihnen fehlt, um den Anforderungen gerecht zu werden. Weiterhin bieten wir eine gesamtheitliche Umsetzungsberatung und natürlich auch modulare Unterstützung für die Umsetzung an. Dies kann eine ISMS-Beratung oder die Begleitung der Einführung eines Business Continuity Management bedeuten, aber auch Penetrationstests oder die Aufschaltung eines Security Operation Center (SOC). Sprechen Sie uns gerne an.