Illustration Absmeier foto freepik

Mit dem Regierungsentwurf des Gesetzes zur Umsetzung der NIS2-Richtlinie wird das deutsche IT-Sicherheitsrecht umfassend modernisiert und der angespannten Bedrohungslage im Cyberraum Rechnung getragen. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) fällt dabei eine Schlüsselrolle zu.

Der Gesetzesentwurf sieht unter anderem vor, das BSI-Gesetz (BSIG) zu novellieren und den Kreis der regulierten Organisationen um die Kategorien »wichtige Einrichtungen« und »besonders wichtige Einrichtungen« zu erweitern. Bislang waren ca. 4.500 Einrichtungen vom BSIG erfasst: Betreiber kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse. Mit der Erweiterung wird das BSI künftig rund 29.500 Einrichtungen beaufsichtigen, für die neue gesetzliche Pflichten in der IT-Sicherheit greifen.

So müssen sich besonders wichtige und wichtige Einrichtungen etwa registrieren, erhebliche Sicherheitsvorfälle melden sowie technische und organisatorische Risikomanagement-Maßnahmen implementieren. Dazu zählen unter anderem Risikoanalysen, Konzepte zur Bewältigung von Sicherheitsvorfällen, Sicherheit der Lieferkette, Schulungen und Sensibilisierungsmaßnahmen, Multi-Faktor-Authentifizierung und sichere Kommunikation. Zudem macht die NIS2-Richtlinie Cybersicherheit zur Chefinnen- und Chefsache: Geschäftsführungen betroffener Einrichtungen sind dazu verpflichtet, die Risikomanagementmaßnahmen umzusetzen, ihre Umsetzung zu überwachen und sich zu Fragen der Bewertung und des Managements von Cyberrisiken schulen zu lassen.

Von Einrichtungen der Bundesverwaltung verlangt der Gesetzesentwurf, Mindestanforderungen der Informationssicherheit zu erfüllen, die sich u.a. aus dem IT-Grundschutz-Kompendium des BSI und Mindeststandards für die Sicherheit in der Informationstechnik des Bundes ergeben.

BSI-Präsidentin Claudia Plattner: »Mit dem heutigen Regierungsentwurf geht Deutschland einen wichtigen Schritt in Richtung einer resilienten Cybernation. Um Wohlstand und Stabilität weiterhin sichern zu können, müssen Wirtschaft und Staat sich besser gegen Cybergefahren wappnen. Die Wirtschaft braucht dabei Planungssicherheit: Unternehmen müssen schnell und rechtssicher feststellen können, ob sie von der NIS2-Richtline betroffen sind. Das BSI unterstützt sie dabei mit Beratungsangeboten schon heute und wird die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten. Für den Cyberschutz des Staates ist der Regierungsentwurf ebenfalls ein wichtiger Meilenstein: Dass Einrichtungen der Bundesverwaltung BSI-Standards wie den IT-Grundschutz umsetzen, ist dafür wesentliche Voraussetzung. Der stetig wachsenden Bedrohungslage im Cyberraum muss besonders in der Bundesverwaltung zudem eine wirkungsvolle Antwort in Form einer robusten IT-Governance-Struktur entgegengesetzt werden. Diese Struktur sollte sich über alle Ressorts, Behörden und Institutionen der Bundesverwaltung erstrecken und dem Ziel dienen, IT-Sicherheit gemeinsam zu organisieren und kontinuierlich zu verbessern.«

Um Einrichtungen zu informieren, die potenziell von neuen gesetzlichen Pflichten betroffen sind, erstellt das BSI fortlaufend Unterstützungsangebote und umfangreiche Informationen – einschließlich einer auf der BSI-Webseite unter www.bsi.bund.de/dok/nis-2 veröffentlichten interaktiven NIS2-Betroffenheitsprüfung.

NIS2: Der Kabinettsbeschluss ist da – und lässt einige Fragen offen

Die Bundesregierung hat endlich geliefert: Der Kabinettsbeschluss zur Umsetzung der NIS2-Richtlinie ist verabschiedet worden. Ulrich Plate, Leiter der Kompetenzgruppe KRITIS bei eco – Verband der Internetwirtschaft e.V., begrüßt diesen Schritt: »Damit kehrt das Thema Cybersicherheit endlich auf die politische Bühne zurück – überfällig angesichts der sicherheitspolitischen Lage. Die EU-Richtlinie verlangt nicht weniger als eine strukturelle Modernisierung der Sicherheitsarchitektur kritischer Infrastrukturen.«

Doch der Kabinettsbeschluss sei nur der Auftakt, so Plate: »Die eigentliche Arbeit beginnt erst jetzt, im parlamentarischen Verfahren. Dort wird sich zeigen, ob die Bundesregierung wirklich bereit ist, bei Ausnahmen, Zuständigkeiten und Übergangsfristen für Klarheit zu sorgen. Denn auch nach der jüngsten Überarbeitung bleiben zentrale Fragen offen. So etwa bei den geplanten Ausnahmen für Unternehmen mit vermeintlich »vernachlässigbarer« kritischer Tätigkeit. Was politisch pragmatisch klingt, ist europarechtlich heikel. Sollte diese Regelung vor dem EuGH scheitern, drohen Vertragsverletzungsverfahren und ein Rückfall in die Unsicherheit, die NIS2 eigentlich beenden sollte.«

Harmonisierung oder europäischer Flickenteppich?

Die europäische Dimension verdiene mehr Aufmerksamkeit, mahnt Ulrich Plate. Während Deutschland noch abstimme, schafften andere Mitgliedstaaten bereits nationale Fakten; allerdings nicht immer im Geiste der Harmonisierung. So setze etwa Italien auf eigene Interpretationen, was das Risiko eines regulatorischen Flickenteppichs erhöhe. »Deutschland täte gut daran, hier nicht ebenfalls zum Alleingang anzusetzen«, sagt der KRITIS-Experte.

»Immerhin: Die Umsetzungsbasis nimmt Gestalt an. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereitet sich organisatorisch auf seine Aufgaben vor – unter anderem mit einem geplanten Melde- und Registrierungsportal, über das Unternehmen künftig ihre Betroffenheit anzeigen und Sicherheitsvorfälle melden sollen. Für Unternehmen bedeutet das: Jetzt ist der richtige Zeitpunkt, um aktiv zu werden. Dazu gehört nicht nur die Überprüfung bestehender Sicherheitsarchitekturen, sondern vor allem auch die Schärfung interner Risikoanalysen, die eine der zentralen Anforderungen von NIS 2 darstellt. Wer frühzeitig für Klarheit sorgt, stärkt nicht nur die eigene Compliance, sondern auch die betriebliche Resilienz«, so Ulrich Plate.

NIS2 führt zu höherer Cybersicherheit in der deutschen Wirtschaft

Ausnahmeregelungen schärfen oder streichen. Unternehmen sollten klare Vorgaben haben, wie Nachweise für die Umsetzung zu erbringen sind.

Das Bundeskabinett hat das nationale Umsetzungsgesetz der europäischen NIS2-Richtlinie beschlossen. Dazu sagt Marc Fliehe, Fachbereichsleiter Digitalisierung und Bildung beim TÜV-Verband:

»Deutschland ist Ziel hybrider Angriffe und Cyberattacken auf Unternehmen, kritische Infrastrukturen und politische Institutionen gehören zur Tagesordnung. Die Umsetzung der NIS2-Richtlinie in nationales Recht ist ein wichtiger Schritt, um die Cybersicherheit in der deutschen Wirtschaft zu verbessern. Das Gesetz ist längst überfällig und muss angesichts der Bedrohungslage im Cyberraum zügig beschlossen werden. Mit dem aktuellen Entwurf liegt eine solide Grundlage vor – jetzt braucht es den politischen Willen, offene Punkte im parlamentarischen Verfahren konstruktiv und schnell zu klären.«

Aus Sicht des TÜV-Verbands ist es nun Aufgabe des Bundestags, den Gesetzesentwurf an entscheidenden Stellen zu schärfen, um die Wirksamkeit in der Praxis zu erhöhen. Besonders relevant sind dabei folgende Punkte:

Ausnahmeregelungen klar definieren oder streichen

Aus Sicht des TÜV-Verbands wirft die neu eingeführte Ausnahme für »vernachlässigbare« Geschäftstätigkeiten erhebliche Fragen auf. Der Begriff ist unbestimmt und wird im Gesetz nicht näher definiert. Es bleibt unklar, nach welchen Kriterien eine Tätigkeit als vernachlässigbar gelten soll. »Ohne präzise Vorgaben besteht die Gefahr uneinheitlicher Auslegung und einer Rechtsunsicherheit für Unternehmen«, sagt Fliehe. Zudem könnte diese nationale Sonderregelung zu einem faktischen Ausschluss regulierungspflichtiger Tätigkeiten führen, die laut NIS2-Richtlinie eigentlich erfasst sein sollten. Der TÜV-Verband sieht daher die Gefahr, dass der deutsche Gesetzgeber mit dieser Öffnungsklausel vom europäischen Harmonisierungsziel abweicht und fordert eine eindeutige und EU-rechtskonforme Ausgestaltung dieser Ausnahme.

Nachweispflichten überarbeiten

In der NIS2-Richtlinie ist eine regelmäßige Nachweispflicht für »besonders wichtige Einrichtungen« vorgesehen, die aus Sicht des TÜV-Verbands im deutschen Gesetz nicht ausreichend umgesetzt ist. »In der Praxis läuft es auf stichprobenartige Einzelfallprüfungen hinaus, was nicht der Intention der Richtlinie entspricht und sicherheitstechnisch bedenklich ist«, sagt Fliehe. »Die Behörden müssen die Umsetzung der Sicherheitsmaßnahmen überprüfen und durchsetzen können.«

In diesem Zusammenhang sieht der TÜV-Verband auch die Verlängerung der Nachweisfristen für die Betreiber kritischer Infrastrukturen von zwei auf drei Jahre sehr negativ. Fliehe: »Die Betreiber kritischer Infrastrukturen sind regelmäßig gezielten Cyberangriffen ausgesetzt. Eine Verlängerung des Nachweiszyklus ist vor diesem Hintergrund mehr als kontraproduktiv.«

Vertrauen schaffen durch unabhängige Zertifizierungen

Nur bei Einbindung unabhängiger Dritter ist aus Sicht des TÜV-Verbands sichergestellt, dass das notwendige Vertrauen in die Umsetzung von Cybersicherheitsanforderungen geschaffen werden kann. Deshalb regt der TÜV-Verband an, Zertifizierungen durch akkreditierte und unabhängige Konformitätsbewertungsstellen verbindlich in dem Prozess der Nachweiserbringung (§ 39 BSIG-E) durch die Hersteller vorzusehen.

Absicherung der Lieferketten ausformulieren

Mit Blick auf die weitgefassten Formulierungen zur Absicherung der Lieferkette ist es erforderlich, den Unternehmen eine Handreichung und Orientierungshilfe zur Gestaltungstiefe der Maßnahmen zur Absicherung der Lieferkette an die Hand zu geben. In diesem Sinne ist beispielsweise die Forderung »Security by Design« recht vage und bedarf weiterer Detaillierungen. Eine Orientierungshilfe kann sowohl Mindestmaßnahmen aufzeigen als auch Interpretations- und Auslegungsspielräume reduzieren und leistet somit einen Beitrag zur Erhöhung der Klarheit und Handlungssicherheit der Verpflichteten.

Hintergrund

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) gilt für rund 30.000 Unternehmen in Deutschland. Es verpflichtet die Unternehmen unter anderem zur Durchführung und Einführung von Risikoanalysen und Sicherheitskonzepten, Maßnahmen zur Vorbeugung und Reaktion auf IT-Sicherheitsvorfälle, Zugangskontrollen, Verschlüsselung, Multi-Faktor-Authentifizierung, Mitarbeiterschulungen, Notfallplänen sowie Maßnahmen für die Absicherung der Lieferkette. Diese Anforderungen müssen »dem Stand der Technik« entsprechen und unterscheiden sich je nach Größe, Branche und Kritikalität des Unternehmens.

457 Artikel zu „NIS2“

News | TechTalk | IT-Security

TechTalk: NIS2 und DORA sind für Betreiber von Rechenzentren äußerst relevant

22. Juli 2025

Welche Relevanz haben Regularien wie NIS2 und DORA für Betreiber von Rechenzentren, und wie kommt da TÜV SÜD konkret ins Spiel? Darüber haben wir auf der Tech Show Frankfurt 2025 mit Richard Skalt gesprochen. Herausgekommen ist dieses Video.