IT-Sicherheit: BSI soll CEOs entmachten dürfen

Das Umsetzungsgesetz zur NIS2-Richtlinie soll dem Bundesamt für Sicherheit in der Informationstechnik Durchgriffsrechte sogar in privaten Firmen geben.

In Pocket speichern vorlesen Druckansicht 75 Kommentare lesen
Scan,Fingerprint,Biometric,Identity,And,Approval.,Concept,Of,The,Future

(Bild: Superstar/Shutterstock.com)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Deutlichen Mehraufwand für viele Unternehmen und öffentliche Stellen, deutlich schärfere Sanktionen und Eingriffsbefugnisse für das BSI. Das soll das "NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" bringen. Damit will das Bundesinnenministerium die Gesellschaft besser gegen Gefahren aus dem Cyberraum schützen. Der jetzt in die Ressortabstimmung gegebene Gesetzesvorschlag soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit neuen Kompetenzen ausstatten und dafür das BSI-Gesetz komplett umbauen.

Mit der Novelle soll die überarbeitete EU-Netzwerk- und Informationssicherheitsrichtlinie (NIS2) umgesetzt werden. Das deutsche Gesetz wäre das digitale Gegenstück zum ebenfalls aktuell geplanten Gesetz zum Schutz Kritischer Infrastrukturen vulgo KRITIS-Dachgesetz.

Das "NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz" fasst nicht weniger als 145 Seiten. In erster Linie überträgt es Europarecht in deutsches Recht. Schließlich verpflichtet die 2022 verabschiedete NIS2-Richtlinie der Europäischen Union deren Mitgliedsstaaten zu einer deutlichen Ausweitung der IT-Sicherheits-Verpflichtungen. Der wohl größte Unterschied zum jetzigen Recht ist der Kreis der Verpflichteten: Mit dem Umsetzungsgesetz werden weitere Einrichtungen als Kritische Infrastruktur deklariert. Am Dienstag ist der deutsche Gesetzesentwurf in den Abstimmungsprozess zwischen den beteiligten Ministerien gegangen.

Künftig fallen unter das Gesetz laut BMI-Berechnung 29.000 Stellen, darunter Unternehmen und Bundeseinrichtungen. Mit Mehraufwand für die Privatwirtschaft über das jetzige Maß hinaus von zunächst 1,37 Milliarden Euro einmalig und dann jährlich etwa 1,65 Milliarden Euro schätzt das BMI. Drei Gruppen sind dabei Kern der Regelung: sogenannte besonders wichtige Einrichtungen, wichtige Einrichtungen und Bundesbehörden.

Als "besonders wichtig" gelten Einrichtungen in bestimmten Sektoren, die dabei festgelegte Schwellenwerte überschreiten, ab denen sie als kaum ersetzbar gelten. Größenunabhängig fallen auch Vertrauensdiensteanbieter, beispielsweise für qualifizierte digitale Signaturen, darunter, dazu Domain-Registries und DNS-Anbieter. Auch mittlere Anbieter von Telekommunikationsdiensten oder -netzen, Betreiber kritischer Anlagen sowie Behörden und andere Einrichtungen des Bundes unterliegen dem striktesten Regime gemäß NIS2.

Als "wichtige" Einrichtung gelten kleinere Anbieter – oder solche, die in bestimmten Bereichen tätig sind wie Abfall, Logistik oder Ernährung. Wer Waffen im Sinne des Teils B der Kriegswaffenliste wie Kampfpanzer, Mörser oder Laserwaffen herstellt, fällt ebenfalls in diese Kategorie, sofern er nicht bereits als besonders wichtig gilt.

Die Betreiber müssen sich um ihre IT-Sicherheit kümmern und sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Beim Betrieb Kritischer Anlagen reicht das bis hin zum IP-Adressbereich der Anlage und ihrem physischen Standort sowie Ansprechpartnern. Zudem werden auch Nachweis- und Meldepflichten überarbeitet; neu ist, dass bei Meldungen immer zugleich BSI und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeinsam informiert werden sollen.

Sogenannte Kritische Komponenten bleiben weiterhin ein schwieriges Thema für die Koalition. Im Referentenentwurf für das KRITIS-Dachgesetz werden sie gar nicht thematisiert und der weiteren Einigung mit anderen Ressorts überlassen – eine große Leerstelle. Die Bundesrepublik hat mit dem sogenannten IT-Sicherheitsgesetz 2.0 bereits einige über die alte NIS-Richtlinie hinausgehende Verpflichtungen für Betreiber Kritischer Infrastrukturen eingeführt. So kann das BMI den Betreibern von Mobilfunknetzen unter bestimmten Umständen den Einsatz nicht vertrauenswürdiger Komponenten untersagen. Geregelt ist das in Paragraf 9b des BSI-Gesetzes.

Auf dieser Grundlage hat Innenministerin Nancy Faeser jüngst alle 5G-Mobilfunkbetreiber dazu aufgefordert, zu benennen, welche Komponenten der chinesischen Anbieter Huawei und ZTE sie einsetzen. Paragraf 41 des Referentenentwurfs entspricht dem Paragraf 9b des derzeit geltenden BSI-Gesetzes. Das ist aber nicht in Stein gemeißelt. Hier wird nach Verabschiedung der Nationalen Sicherheitsstrategie und der Chinastrategie des Bundes noch einiger Diskussionsstoff zu bewältigen sein.

Neu vorgesehen ist bereits im aktuellen Entwurf die Rolle eines Chief Information Security Officer (CISO) auf Bundesebene – im Behördendeutsch "Amt des Koordinators für Informationssicherheit" genannt. Der soll sowohl für die Einhaltung der IT-Sicherheit quer durch die Ressortzuständigkeiten sorgen, als auch bei IT-sicherheitsrelevanten Vorhaben mitsprechen dürfen und dem Haushaltsausschuss und dem Innenausschuss des Bundestages berichten.

Was sich mit dem NIS2-Umsetzungsgesetz insgesamt ändert, ist der Strafrahmen: Für besonders schwere Verstößte sind "mindestens 2 Prozent des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens" vorgesehen.

Und nicht nur das: Das BSI soll künftig bei besonders wichtigen Einrichtungen auch Prüfbehörde werden, die Maßnahmen anordnen, verbindliche Anweisungen erlassen oder gar bei Nichtbefolgung der Geschäftsführung oder den Vertretern die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen kann. Würde also der Chef eines Mobilfunkanbieters dauerhaft Hardware in seine Netze einbauen lassen, deren Einbau zuvor untersagt wurde, oder ein großer Softwareanbieter als struktureller Schadsoftwareverbreiter auffallen, könnte das BSI direkt eingreifen.

Bei Bundesländer und Kommunen kann das geplante Bundesgesetz allerdings nichts bewirken. Ihnen kann der Bund aufgrund der deutschen Ausgestaltung von Föderalismus keine direkten Vorgaben machen. Ob die Bundesländer, von denen einige eigene Landes-IT-Sicherheitsgesetze haben, dem Weg des Bundes und der EU folgen werden, ist offen. Die Überarbeitung des Rechtsrahmens des Bundes muss, damit sie europarechtskonform stattfindet, Anfang Oktober 2024 in Kraft getreten sein.

(mack)