NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
Berlin: (hib/STO) Die Bundesregierung hat einen Gesetzentwurf zur Umsetzung der sogenannten NIS-2-Richtlinie der EU vorgelegt, der zugleich der „Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (20/13184) dienen soll. Mit diesem „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ wird der mit dem IT-Sicheheitsgesetz von 2015 und dem „IT-Sicherheitsgesetz 2.0“ von 2021 geschaffene Ordnungsrahmen laut Vorlage entsprechend der unionsrechtlichen Vorgaben „auf den Bereich bestimmter Unternehmen erweitert“; zusätzlich werden den Angaben zufolge entsprechende Vorgaben für die Bundesverwaltung eingeführt.
Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, wie die Bundesregierung darlegt.Danach sollen wichtige und besonders wichtige Einrichtungen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden.
Zu den im Gesetzentwurf vorgesehenen Änderungen zählt laut Vorlage die „Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht“. Daneben sollen dem Angaben zufolge wesentliche nationale Anforderungen an das Informationssicherheitsmanagement des Bundes gesetzlich verankert und die Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben harmonisiert werden.
Des Weiteren will die Bundesregierung mit dem Gesetzentwurf das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen ausweiten und den Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 der Richtlinie in das BSI-Gesetz übernehmen. Zudem soll unter anderem die bislang einstufige Meldepflicht bei Vorfällen durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt werden. Dabei will die Bundesregierung den bürokratischen Aufwand für die Einrichtungen „im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums“ minimieren.