Das Bundeskabinett hat beschlossen, den Schutz kritischer Anlagen und zentraler Unternehmen vor Cyberangriffen erheblich zu verschärfen. Mit dem neuen Gesetz wird die europäische NIS-2-Richtlinie in nationales Recht übertragen. Zu den besonders schützenswerten Einrichtungen zählen Großunternehmen aus den Sektoren Energie, Transport und Verkehr, Trinkwasser, Abwasser sowie Telekommunikation.
Von den neuen Vorschriften werden künftig etwa 29.500 Unternehmen betroffen sein – ein signifikanter Anstieg im Vergleich zur bisherigen Regelung. "Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind", erklärte Bundesinnenministerin Nancy Faeser (SPD).
Darüber hinaus wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit erweiterten Befugnissen ausgestattet, um etwa Bußgelder zu verhängen. Im Falle eines erheblichen Sicherheitsvorfalls kann das BSI zudem von den betroffenen Betreibern die Herausgabe relevanter Informationen, einschließlich personenbezogener Daten, verlangen. BSI-Präsidentin Claudia Plattner sicherte zu, dass ihr Amt die betroffenen Unternehmen "bestmöglich unterstützen" und die Umsetzung der gesetzlichen Vorgaben "so reibungslos wie möglich" gestalten werde.
Zu den neuen Anforderungen gehören unter anderem Risikoanalysekonzepte, ein Backup-Management, betriebliche Sicherungsmaßnahmen sowie Verschlüsselungskonzepte. Bereits jetzt müssen Unternehmen Cybersicherheitsvorfälle an das BSI melden. Künftig soll es ein gestuftes Meldesystem geben: Die erste Meldung binnen 24 Stunden, ein Update innerhalb von 72 Stunden und einen Abschlussbericht innerhalb eines Monats.
Damit Unternehmen prüfen können, ob sie von den geplanten Änderungen betroffen sind, hat das BSI einen Fragenkatalog veröffentlicht. Noch ausstehend ist das im Koalitionsvertrag vereinbarte "Kritis-Dachgesetz", das den physischen Schutz wichtiger Einrichtungen regeln soll. Hierzu wurden bereits im Dezember 2022 Eckpunkte vorgelegt.