Cyber-SicherheitNIS2-Umsetzungsgesetz in Kraft

Mit der Verkündung des Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung ist in der vergangenen Woche eine umfassende Modernisierung des Cyber-Sicherheits-Rechts in Kraft getreten. Die nationale Umsetzung der EU-Richtlinie erfolgt insbesondere im Rahmen einer Novellierung des BSI-Gesetzes (BSIG). Das Gesetz erhöht die Anforderungen an die Cyber-Sicherheit der Bundesverwaltung sowie bestimmter Unternehmen.

Unternehmen müssen selbstständig prüfen, ob sie von der NIS2-Richtlinie betroffen sind. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) werden es künftig rund 29.500 Einrichtungen sein, für die neue gesetzliche Pflichten in der IT-Sicherheit gelten und die durch das BSI beaufsichtigt werden. Bislang waren etwa 4.500 Organisationen durch das BSI-Gesetz reguliert – insbesondere Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste (DSP) und Unternehmen im besonderen öffentlichen Interesse (UBI). „Die Cyber-Sicherheits-Lage Deutschlands ist angespannt: Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im digitalen Raum verwundbar. Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird dazu führen, dass sich die Resilienz unseres Landes spürbar und messbar verbessert“, sagt BSI-Präsidentin Claudia Plattner.

Auch IT-Dienstleister der Bundesverwaltung betroffen

Mit Inkrafttreten des NIS2-Umsetzungsgesetzes wird der Anwendungsbereich des BSIG deutlich erweitert: Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Schwellenwerte mit Blick auf Mitarbeiter, Umsatz und Bilanz überschreiten, fallen künftig unter die neuen Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“. Diese müssen drei zentralen Pflichten nachkommen:

• Sie sind gesetzlich verpflichtet, sich als NIS2-Unternehmen zu registrieren,
• dem BSI erhebliche Sicherheitsvorfälle zu melden und
• Risikomanagementmaßnahmen zu implementieren und diese zu dokumentieren.

KRITIS gelten automatisch als besonders wichtige Einrichtungen. Einrichtungen der Bundesverwaltung, die unter das NIS2-Umsetzungsgesetz fallen, sind Bundesbehörden und öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung, außerdem bestimmte Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts. Von den Einrichtungen der Bundesverwaltung verlangt das NIS2-Umsetzungsgesetz unter anderem die Umsetzung von IT-Risikomanagementmaßnahmen auf IT-Grundschutz-Basis. Zusätzlich muss die Bundesverwaltung die BSI-Mindeststandards einhalten. Weitere Informationen zu den Pflichten, die das NIS2-Umsetzungsgesetz der Bundesverwaltung auferlegt, sind auf der Website des BSI abrufbar.

BSI-Meldeportal für NIS2

Das BSI sieht für Einrichtungen in Deutschland, die von der NIS2-Richtlinie betroffen sind, einen zweistufigen Registrierungsprozess vor: Zunächst muss eine Anmeldung beim digitalen Dienst Mein Unternehmenskonto (MUK) erfolgen. Weitere Informationen zur Registrierung bei MUK stellt das BSI bereit. Das BSI empfiehlt, den Account beim Unternehmenskonto bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim unter anderem für NIS2 neu entwickelten BSI-Portal zu registrieren. Das BSI-Portal soll am 6. Januar 2026 freigeschaltet werden. Es dient dann unter anderem als Meldestelle für erhebliche Sicherheitsvorfälle. Meldepflichtige Einrichtungen, die von NIS2 betroffen sind und vor Registrierung im BSI-Portal einen erheblichen Sicherheitsvorfall erleiden, melden diesen dem BSI über ein Online-Formular. KRITIS und Bundesbehörden sollen vorübergehend ihre bisherigen Meldewege nutzen.