BSI digitalisiert IT-Grundschutz
Das Bundesamt für Sicherheit in der Informationstechnik hat auf der it-sa in Nürnberg eine grundlegende Modernisierung seines IT-Grundschutzes angekündigt. Unter der Bezeichnung "Grundschutz++" wird das seit 1994 etablierte Standardwerk vollständig digitalisiert und prozessorientiert neu aufgestellt. Kernstück der für Januar 2026 geplanten Überarbeitung ist die Umstellung auf ein maschinenlesbares JSON-Format, das eine automatisierte Verarbeitung der Sicherheitsrichtlinien ermöglichen soll.
Die technische Neuausrichtung sieht vor, dass künftig sämtliche Anforderungen an die Cybersicherheit als standardisierte Regeln erfasst werden. Dies ermögliche erstmals eine systematische Interpretation und Auswertung durch Computerprogramme. BSI-Präsidentin Claudia Plattner betonte dabei, dass der neue Grundschutz deutlich schlanker und automatisierbarer gestaltet wird. Um Unternehmen und Behörden ausreichend Anpassungszeit zu gewähren, ist eine mehrjährige Übergangsphase vorgesehen.
Neben den technischen Aspekten behält der neue IT-Grundschutz seinen ganzheitlichen Ansatz bei und umfasst weiterhin infrastrukturelle, organisatorische und personelle Sicherheitsaspekte. Diese Integration verschiedener Sicherheitsebenen soll durch die digitale Transformation des Regelwerks noch effizienter gestaltet werden. Erste Resonanzen aus der Fachöffentlichkeit auf der it-sa seien laut BSI bereits positiv ausgefallen.
JSON als Basis
Der neue IT-Grundschutz wird künftig sämtliche Cybersicherheitsanforderungen in einem Regelwerk mit standardisiertem Format abbilden. Die Nutzung von JSON als technische Basis ermöglicht nicht nur die direkte Integration in bestehende IT-Systeme, sondern schafft auch die Voraussetzungen für automatisierte Compliance-Prüfungen und dynamische Sicherheitsanalysen. BSI-Präsidentin Claudia Plattner unterstrich auf der Nürnberger Fachmesse die Bedeutung der Automatisierbarkeit für eine effizientere IT-Sicherheit.
Die technische Neuausrichtung des IT-Grundschutzes ist eng mit der NIS-2-Richtlinie der EU verzahnt. Das modernisierte Regelwerk soll insbesondere den rund 30.000 künftig betroffenen Unternehmen die Umsetzung der neuen Anforderungen erleichtern. Die Umstellung auf ein maschinenlesbares Format ermöglicht dabei eine flexible Anpassung an unterschiedliche Unternehmensgrößen und Sicherheitsanforderungen. Eine mehrjährige Übergangsphase ab Januar 2026 soll den Unternehmen ausreichend Zeit für die Migration geben.
Aktuelle Bedrohungen integriert
Neben der technischen Modernisierung umfasst "Grundschutz++" auch eine inhaltliche Überarbeitung. Das neue Regelwerk integriert aktuelle Bedrohungsszenarien und Sicherheitsanforderungen, wobei besonderes Augenmerk auf der Praxistauglichkeit liegt. Die JSON-basierte Struktur erlaubt dabei eine schnellere Aktualisierung und Anpassung der Sicherheitsrichtlinien an neue Cyberbedrohungen. Das BSI plant zudem, Schnittstellen für gängige Sicherheitsmanagement-Tools bereitzustellen, um die praktische Umsetzung in den Unternehmen zu erleichtern.
Das BSI reagiert mit diesen umfassenden Änderungen auf die zunehmende Digitalisierung der Wirtschaft und die damit einhergehenden Sicherheitsherausforderungen. Der neue Grundschutz soll Unternehmen und Behörden in die Lage versetzen, ihre IT-Sicherheitsmaßnahmen effizienter zu planen, umzusetzen und zu überwachen. Erste Pilotprojekte zur Erprobung des neuen Formats sind für das kommende Jahr geplant.