Cybersicherheit: Neues Gesetz weitet Pflichten auf zehntausende Unternehmen aus

Eigentlich sollte die europaweite Cybersicherheits-Richtlinie NIS-2 bereits seit Oktober 2024 durch sämtliche Mitgliedsstaaten umgesetzt sein. Mit einiger Verspätung legte die Bundesregierung jetzt ihren Gesetzesentwurf zur hiesigen Umsetzung vor. Statt den zuvor betroffenen knapp 4.500 Einrichtungen, die zur kritischen Infrastruktur zählen, sollen jetzt allerdings auch Unternehmen, die als „wichtig“ oder „besonders wichtig“ kategorisiert sind, verpflichtet werden. Insgesamt soll das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig 29.500 Unternehmen und Einrichtungen betreuen.

Wann tritt das neue Gesetz in Kraft?

Zunächst muss der jetzt vorgelegte Regierungsentwurf noch den Bundesrat und Bundestag passieren. Sollte es dabei zu keinen wesentlichen Änderungen kommen, ist eine Verabschiedung noch im Herbst durchaus realistisch und so von der Regierung geplant. Unternehmen sollten sich also zeitnah mit der Frage auseinandersetzen, ob sie schon bald nicht nur unter strengere Sicherheitsvorgaben, sondern auch eine geänderte Haftung fallen.

Die bereits zuvor streng regulierten Einrichtungen der sogenannten kritischen Infrastrukturen gehen mit dem neuen Entwurf in die Gruppe der „besonders wichtigen Einrichtungen” über. Zu ihnen zählen Unternehmen mit mehr als 250 Beschäftigten oder einem Jahresumsatz von mehr als 50 Millionen Euro sowie Einrichtungen aus den Bereichen Energie, Wasser, Infrastruktur, Gesundheit, Finanzverwaltung, Telekommunikation und öffentliche Verwaltung.

Neu hinzugekommen sind jetzt die „wichtigen Einrichtungen“. Zu diesen zählen Unternehmen mit mehr als 50 Beschäftigen und einem Jahresumsatz von mehr als 10 Millionen Euro beziehungsweise Unternehmen aus den Sektoren Post, Abfallwirtschaft, IT-Dienste, Hersteller kritischer Produkte wie Medikamente, Lebensmittelproduzenten sowie Betreiber digitaler Dienste wie Marktplätze oder Suchmaschinen.

Fällt mein Unternehmen unter die NIS-2-Vorgaben?

Die Neuerung, dass künftig auch bestimmte digitale Dienste betroffen sind, bringt auch für Online-Shops Unsicherheiten mit sich. Betroffene Einrichtungen müssen sich unter anderem beim BSI registrieren, Sicherheitsvorfälle direkt melden, erweiterte Risiko-Managements und Sicherheitsvorkehrungen etablieren und Schulungen durchführen. Zudem werden Geschäftsführer:innen durch das Gesetz in die Haftung genommen: Kommt es zu einem Cybervorfall, müssen sie sich für entstandene Schäden schließlich verantworten.

Eine Orientierungshilfe dazu, ob diese Anforderungen auf das eigene Unternehmen zutreffen, wird durch das BSI zur Verfügung gestellt. Mit deren NIS-2-Betroffenheitsprüfung können Unternehmen schnell und anonym überprüfen, ob die kommende Gesetzesänderung für sie von Relevanz ist.

Bitkom übt Kritik am Gesetzesentwurf

Grundsätzlich ist das Interesse der Politik an Cybersicherheit zwar absolut begrüßenswert und aus EU-Sicht schlicht überfällig, dennoch gibt es auch Kritik am neuen Gesetzesentwurf. Denn obwohl die Zahl der Betroffenen mehr als versechsfacht wurde, hält sich eine wichtige Eichrichtung aus der Verpflichtung raus.

Wie Bitkom-Präsident Dr. Ralf Wintergerst ausführt: „Die Bundesverwaltung nimmt sich weiterhin selbst von den strengeren Cybersicherheitsvorgaben aus. Gerade der Bund und die öffentliche Verwaltung sollten und müssen Vorreiter bei der Cybersicherheit sein, wir können uns angesichts der Bedrohungslage keine Sicherheitslücken leisten.“

Artikelbild: http://www.depositphotos.com