Entwurf zur Verbesserung der Cybersicherheit beraten
Der Bundestag hat sich am Freitag, 11. Oktober 2024, mit der Cybersicherheit befasst. Dazu lag den Abgeordneten ein Gesetzentwurf der Bundesregierung zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, 20/13184) zur Beratung vor. Die Vorlage wurde im Anschluss an die erste Lesung zur federführenden Beratung an den Innenausschuss überwiesen werden.
Gesetzentwurf der Bundesregierung
Mit dem „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ wird der mit dem IT-Sicherheitsgesetz von 2015 und dem „IT-Sicherheitsgesetz 2.0“ von 2021 geschaffene Ordnungsrahmen laut Vorlage entsprechend der EU-rechtlichen Vorgaben „auf den Bereich bestimmter Unternehmen erweitert“; zusätzlich werden den Angaben zufolge entsprechende Vorgaben für die Bundesverwaltung eingeführt.
Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, wie die Bundesregierung darlegt. Danach sollen wichtige und besonders wichtige Einrichtungen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden.
Harmonisierung von Vorgaben
Zu den im Gesetzentwurf vorgesehenen Änderungen zählt laut Vorlage die „Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht“. Daneben sollen dem Angaben zufolge wesentliche nationale Anforderungen an das Informationssicherheitsmanagement des Bundes gesetzlich verankert und die Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben harmonisiert werden.
Des Weiteren will die Bundesregierung mit dem Gesetzentwurf das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen ausweiten und den Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 der Richtlinie in das BSI-Gesetz übernehmen. Zudem soll unter anderem die bislang einstufige Meldepflicht bei Vorfällen durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt werden. Dabei will die Bundesregierung den bürokratischen Aufwand für die Einrichtungen „im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums“ minimieren. (sto/eis/11.10.2024)