Weltweit kam es in den vergangenen Wochen zu IT-Ausfällen in zahlreichen Branchen, darunter auch bei Betreibern kritischer Infrastrukturen in Deutschland. Grund für das tagelange Chaos war nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ein fehlerhaftes Update einer IT-Sicherheits-Lösung. Eigeninitiatives Handeln und ein Bewusstsein für Risiken seien jedoch nur eine Seite der Medaille, regulatorische Anforderungen die andere: Das gelte auch für die 2023 in Kraft getretene zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie). Den Gesetzentwurf zur Umsetzung in deutsches Recht hat das Bundeskabinett vor wenigen Tagen verabschiedet. Für die Wirtschaft spielt dabei insbesondere das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz des Bundes eine Rolle.
Mit den neuen Regelungen wird die Zahl der Unternehmen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben, deutlich zunehmen. Neben den faktisch durch das Gesetz verpflichteten Unternehmen werden auch viele weitere Betriebe unter Zugzwang stehen, wenn sie in bestimmte Lieferketten eingebunden sind. Die Umsetzung der EU-Richtlinie in nationales Recht verpflichtet Betriebe beispielsweise zur Einrichtung eines Risikomanagements oder zu Nachweispflichten zur internen IT-Sicherheit. Zudem müssen sie künftig „erhebliche Sicherheitsvorfälle“ innerhalb von 24 Stunden einer Meldestelle des BSI und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe bekanntgeben.
Weitere Information:
