Gesetz für mehr IT-Sicherheit: Das kommt auf Unternehmen zu

Die Bundesregierung plant ein neues Gesetz für mehr IT-Sicherheit. Auf viele Unternehmen könnten damit neue Pflichten zukommen. Dabei soll zum Beispiel Personal besser geschult werden und Zugänge durch mehr Maßnahmen besser geschützt werden. Auf Unternehmen werden dafür voraussichtlich einige Kosten zukommen. Die Bundesregierung rechnet damit, dass auf die Wirtschaft Kosten von insgesamt 2,2 Milliarden Euro jährlich zukommen, wie die Tagesschau berichtet. 

Deutschland durch die EU im Zugzwang

Über die sogenannte NIS2-Richtlinie ist Deutschland durch die EU verpflichtet, nationale Vorschriften zu schaffen. Das Gesetz soll die Resilienz der Wirtschaft gegen Cybergefahren stärken, so Bundesinnenministerin Nancy Faeser von der SPD. Betroffen sind davon nicht nur Unternehmen. Auch die Bundesverwaltung wird verpflichtet, mehr IT-Maßnahmen zu ergreifen. 

Der Gesetzesentwurf wird begründet, mit der zugespitzten Lage der IT-Sicherheit in Deutschland. In den letzten Jahren soll es durch Cyberangriffe zu einem wirtschaftlichen Schaden in Höhe von über 200 Milliarden Euro gekommen sein. Ein Teil dieser Angriffe hätte mit besseren Maßnahmen verhindert werden können. 

Betroffen werden die Betreiber von kritischer Infrastruktur sein, wie etwa Wasser- oder Stromversorger, aber auch mittlere und größere Unternehmen aus den Branchen Gesundheitswesen, Chemie-Industrie und Betriebe, die IT zuliefern. Unternehmen sind dann betroffen, wenn sie mehr als fünfzig Mitarbeitende haben oder einen Jahresumsatz von über zehn Millionen Euro erwirtschaften. 

Strenge Sanktionen für Geschäftsführer

Der Entwurf sieht vor, dass die Geschäftsführung persönlich haften soll, wenn nicht für genug IT-Sicherheit gesorgt wird. Zu den Pflichten gehört, dass sie Konzepte gegen Cyberangriffe entwickeln lassen müssen und Daten ausreichend sichern lassen. Werden die Vorgaben missachtet, droht im schlimmsten Fall ein Verbot, das Unternehmen weiterzuführen. 

Zu den neuen Vorgaben soll es auch mehr Befugnisse für das Bundesamt für Sicherheit der Informationstechnik (BSI) geben. Unternehmen sind verpflichtet, sich beim BSI zu registrieren und müssen über Vorfälle umfangreich berichten. Durch das neue Gesetz soll das BSI bei Verstößen gegen die Vorgaben schneller eingreifen können und so auch die Möglichkeit haben, strengere Sanktionen zu verhängen. Hier plant der Bund hohe Bußgelder von bis zu zwei Prozent des Jahresumsatzes.

Kritik durch Unternehmerverbände

Gegen den neuen Gesetzesentwurf wird bereits Kritik laut. Neben dem Vorwurf einer intransparenten Entstehung wird auch der Inhalt kritisiert. Der Bremer Rechtswissenschaftler Dennis-Kenji Kipker kritisiert gegenüber der Tagesschau, dass es sich lediglich um einen „bestmöglichen Kompromiss“ handle. Das BSI sei zwar mit mehr Befugnissen und Aufgaben ausgestattet, sei aber nicht politisch unabhängig genug, sondern stark in die Struktur des Bundesinnenministeriums eingegliedert. Rechtsanwalt Karsten Bartels vom Bundesverband IT-Sicherheit kritisiert, dass der Entwurf zu unkonkret sei und die Umsetzung so für die betroffenen Unternehmen erschwert wird. „Wenn das Gesetz am Ende so verabschiedet wird, ist es direkt überarbeitungsbedürftig“, so Bartels.

Auch Unternehmerverbände äußern sich verhalten. „Das ist […] in wirtschaftlich herausfordernden Zeiten nicht immer leicht zu stemmen“, äußerte sich Paul Ruland vom Bundesverband für mittelständische Wirtschaft (BVMW). Auch der Deutsche Mittelstands-Bund (DMB) äußerte sich kritisch, die Änderungen seien überambitioniert und der Zeitplan sei kaum realistisch umsetzbar. Unternehmen seien gezwungen, massiv aufzurüsten in Systemen und Knowhow, was für viele sehr teuer werde. Im Interview mit Onlinehändler News räumte Lisa Fröhlich vom Cybersicherheitsunternehmen Link11 die positiven Aspekte der NIS2-Richtlinie ein: „Die fehlende Harmonisierung von EU-weit geltenden Sicherheitsstandards, gefährdete jahrelang die digitale Infrastruktur von Plattformen und Unternehmen.“ 

Auf der Webseite des BSI können Unternehmen bereits eine Betroffenheitsprüfung durchführen, um zu erfahren, ob die neuen Regeln für sie relevant sein werden. 

Artikelbild: http://www.depositphotos.com