Bundesrat stimmt NIS-2-Gesetz zu
Mit der Zustimmung des Bundesrats zum NIS2UmsuCG bekommt Deutschland noch vor Jahresende ein überarbeitetes IT-Sicherheitsgesetz – das neue BSI-Gesetz. Rund 29.000 Unternehmen müssen die neuen Vorgaben direkt anwenden. Die Geschäftsleitungen stehen stärker in der Verantwortung, sich aktiv um Cybersicherheit zu kümmern.
Das neue BSI-Gesetz (BSIG) erweitert den Kreis der betroffenen Unternehmen deutlich. Es unterscheidet zwischen "besonders wichtigen" und "wichtigen" Einrichtungen. Diese Einstufung hängt von der Größe des Unternehmens und seiner Branche ab. Zusätzlich gelten einige Firmen automatisch als besonders wichtig – zum Beispiel Betreiber kritischer Anlagen, Anbieter elektronischer Signaturen oder Firmen, die zentrale Internetdienste betreiben. Viele mittelständische Betriebe fallen nun erstmals unter die neuen Regeln, darunter IT-Dienstleister, Elektronik- und Maschinenhersteller sowie Forschungseinrichtungen. Wichtig zu wissen: Unternehmen werden nicht offiziell informiert und müssen selbst prüfen, ob sie betroffen sind.
Risikobewertung und Meldepflichten
Inhaltlich verlangt das Gesetz eine Reihe von Sicherheitsmaßnahmen. Unternehmen müssen Risiken regelmäßig bewerten, technische Schutzmaßnahmen umsetzen und alles sorgfältig dokumentieren. Außerdem gibt es neue Meldepflichten bei IT-Sicherheitsvorfällen: Eine erste Meldung muss innerhalb von 24 Stunden erfolgen, eine ausführlichere nach 72 Stunden und ein Abschlussbericht innerhalb eines Monats. Diese Fristen sollen sicherstellen, dass Behörden frühzeitig reagieren können.
Geschäftsleitung in der Verantwortung
Ein zentraler Punkt ist die persönliche Verantwortung der Geschäftsleitung. Wer Leitungsbefugnisse hat – nicht nur Geschäftsführer oder Vorstände, sondern zum Beispiel auch CFOs oder andere Verantwortliche – muss die Sicherheitsmaßnahmen genehmigen und deren Umsetzung kontrollieren. Sie müssen außerdem regelmäßig an Schulungen teilnehmen, um Risiken besser einschätzen zu können. Bei Pflichtverletzungen haften sie persönlich, wenn dadurch Schäden entstehen. Das Gesetz macht damit klar: Cybersicherheit ist keine Aufgabe, die man einfach vollständig delegieren kann.
Hohe Strafen bei Verstößen
Verstöße gegen die neuen Regeln können teuer werden. Die Bußgelder orientieren sich am weltweiten Jahresumsatz des Unternehmens und können bis zu 10 Millionen Euro oder zwei Prozent des Umsatzes erreichen. Auch kleinere Unternehmen sind nicht automatisch ausgenommen. Das BSI hat allerdings signalisiert, dass es nicht vom ersten Tag an strenge Kontrollen durchführen will, aber sehr wohl erwartet, dass Unternehmen sofort mit der Umsetzung beginnen. Für viele wird das zu einer dringenden organisatorischen Aufgabe.