Die Länder wollen bei den geplanten strengeren Regelungen zum Schutz wichtiger Einrichtungen vor Cyberangriffen stärker einbezogen werden. Der Bundesrat schlug zudem mit Blick auf einen entsprechenden Gesetzentwurf der Bundesregierung Nachbesserungen beziehungsweise Klarstellungen vor – etwa zu den Verpflichtungen für wichtige Gesundheitseinrichtungen.
Mit dem Entwurf der Bundesregierung zur Umsetzung europäischer Vorgaben für die Cybersicherheit wird sich der federführende Innenausschuss des Bundestages voraussichtlich im Oktober beschäftigen. Die Übertragung der NIS-2-Richtlinie in deutsches Recht betrifft rund 29.500 Unternehmen in Deutschland – zum Beispiel aus den Bereichen Energie, Gesundheit, Transport oder digitale Dienste.
Risikoanalysen und Notfallpläne
Alle betroffenen Unternehmen müssten demnach Schutzmaßnahmen etablieren wie etwa Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen. Das Ausmaß der Vorkehrungen soll sich nach der Bedeutung der Einrichtung richten.
Wenn ein Unternehmen Opfer eines Cyberangriffs wird, soll es dies künftig binnen 24 Stunden melden müssen, nach 72 Stunden einen Zwischenstand liefern und innerhalb eines Monats einen Abschlussbericht vorlegen.
Bußgelder bei schwerwiegenden Verstößen
Das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) bekommt mehr Aufsichtsbefugnisse. Bei schwerwiegenden Verstößen soll es Bußgelder verhängen können.
Besonders häufig sind sogenannte Ransomware-Attacken, bei denen Angreifer Daten oder ganze IT-Systeme verschlüsseln, um Unternehmen zu erpressen. Die kriminellen Hacker fordern von ihren Opfern ein Lösegeld. Zudem hat zuletzt die Zahl der Cyberattacken, bei denen die betroffenen Unternehmen ausländische staatliche Akteure – vor allem aus Russland und China – als Täter oder Auftraggeber vermuten, zugenommen.
Unvermeidbarer Aufwand
Hessens Innenminister, Roman Poseck (CDU) sagte, auch der Cyberangriff auf einen Dienstleister vor einigen Tagen, der zu erheblichen Störungen am Berliner Flughafen geführt hat, zeige, «wie verletzlich unsere Infrastruktur ist». Deshalb sei es gut, dass die Umsetzung der NIS-2-Richtlinie nun auf dem Weg sei. Für die Wirtschaft sei dies zwar mit zusätzlichem Aufwand verbunden. Gleichwohl sei die Cybersicherheit von so überragender Bedeutung, dass dies unvermeidbar sei.
Eigentlich hätte die Richtlinie bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Es gibt bereits ein Vertragsverletzungsverfahren gegen Deutschland und weitere EU-Mitgliedstaaten, die dies bislang nicht getan haben. (dpa)
