Mehr Schutz vor Cyberattacken : Weniger attraktiv für Angreifer werden
Der Bundestag hat das Cybersicherheitsgesetz Nis2 beschlossen. Der Schutz kritischer IT-Systeme soll ausgeweitet werden. Der Opposition geht das nicht weit genug.
Bei der Cybersicherheit gibt es trotz einiger Fortschritte immer noch erhebliche Schwachstellen. Zu diesem Ergebnis kommt der Jahresbericht des Bundesamts für Sicherheit in der Informationstechnik (BSI), der am Dienstag von BSI-Präsidentin Claudia Plattner (links) und Innenminister Alexander Dobrindt (CSU) vorgestellt wurde.
Stabil unsicher - so könnte man das am Dienstag vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und Innenministerium vorgestellte Lagebild zur Cybersicherheit in Deutschland überschreiben. Trotz Abwehrerfolgen bleibe die Lage angespannt und erfordere mehr Handeln, hatte Innenminister Alexander Dobrindt (CSU) betont. Neben den USA und Japan stehe Deutschland im Zentrum der Cyberangriffe staatlicher Akteure. Egal ob Lösegeld-Erpressungen, Ransomware-Angriffe oder Datenleaks: Vor allem kleine und mittlere Unternehmen und politiknahe Institutionen machten es Angreifern zu leicht, so der Tenor des Lagebilds.
Mit der Umsetzung der europäischen NIS2-Richtlinie in nationales Recht, über deren Ausgestaltung bereits die Ampelkoalition gerungen hatte, soll der Schutz kritischer IT-Infrastrukturen nun deutlich ausgeweitet werden. Etwa 30.000 Unternehmen und die Bundesverwaltung sollen den erweiterten IT-Sicherheitsvorgaben unterliegen. Den im Innenausschuss geänderten Gesetzentwurf der Bundesregierung verabschiedete der Bundestag am Donnerstag mit den Stimmen der Koalition und der AfD gegen die der Grünen bei Enthaltung der Linksfraktion. Einen Antrag der Grünen für ein Kritis-Dachgesetz, das physische und digitale Sicherheit besser in Einklang bringen soll, überwies das Parlament zur Beratung an die Ausschüsse.
Das BSI erhält erweiterte Aufsichtsbefugnisse
Die Richtlinie sieht strengere Sicherheitsanforderungen, umfangreiche Meldepflichten bei Sicherheitsvorfällen und schärfere Sanktionen bei Verstößen vor. Nach breiter Kritik in der Anhörung wurden nun alle Einrichtungen der Bundesverwaltung, auch die nachgeordneten Behörden, gesetzlich zu einem hohen Sicherheitsniveau verpflichtet. Zudem kann das Innenministerium Betreibern den Einsatz unsicherer kritischer IT-Komponenten untersagen, wenn diese als Gefährdung der öffentlichen Sicherheit eingestuft werden. Mit dem "Chief Information Security Officer" (CISO Bund) wird im BSI zudem eine zentrale Stelle für IT-Sicherheitsprozesse eingerichtet, die die Umsetzung koordinieren und die Einhaltung überwachen soll.
Worum es geht
📑 Die EU hat Ende 2022 die zweite "Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau" beschlossen. Die Umsetzung der Richtlinie in Deutschland dauert bereits über zwei Jahre an.
🤝 Die NIS-2-Richtlinie soll gegenüber ihrer Vorgängerin von 2016 mehr Einrichtungen erfassen. Geplant sind auch konkretere Vorgaben sowie eine stärker harmonisierte Umsetzung in den EU-Mitgliedsstaaten. Zudem soll erreicht werden, dass die Cybersicherheitsbehörden mehr Ressourcen erhalten.
Redner der Koalition zeigten sich zufrieden mit den gefundenen Kompromissen. Marc Henrichmann (CDU) sprach von "einem großen Schritt in Richtung Cybersicherheit". Johannes Schätzl (SPD) betonte, die aktuelle Cybersicherheitslage und der Zeitdruck aufgrund des laufenden EU-Vertragsverletzungsverfahrens hätten dazu geführt, dass man schnell und gründlich geliefert habe.
Es sei allerhöchste Zeit, das Gesetz zum Abschluss zu bringen, sagte Steffen Janich (AfD). Der Entwurf finde einen angemessenen Ausgleich zwischen dem Erfordernis von Sicherheitsstandards und dem Schutz kleinerer Unternehmen vor Bürokratie. So begrüße er, dass Unternehmen mit weniger als 250 Mitarbeitern und weniger als 50 Millionen Euro Jahresumsatz ausgenommen seien.
Grüne und Linke fordern Nachbesserungen
Konstantin von Notz (Grüne) kritisierte die vorgesehenen Regelungen als unzureichend. Die Bundesregierung werde der europarechtlichen Vorgaben zur Unabhängigkeit des CISO Bund nicht gerecht und versäume es, das BSI unabhängiger zu machen. Zudem fehle im Entwurf ein transparentes Schwachstellen-Management.
Auch Die Linke äußerte deutliche Kritik: Nis2 sorge in der jetzigen Fassung "bestenfalls per Zufall für IT-Sicherheit", sagte Jan Köstering. Es sei nicht nachvollziehbar, dass die Kommunen nicht in den Wirkungskreis des Gesetzes aufgenommen wurden. Dies führe zu Sicherheitsrisiken.
Mehr zum Schutz physischer und digitaler Infrastrukturen
Die Regierung will die Abwehrfähigkeit der kritischen Infrastruktur stärken. Doch es gibt Kritik an der fehlenden Abstimmung mit Regeln bei der Cybersicherheit.
Die Umsetzung der NIS-2-Richtlinie soll die Cybersicherheit stärken. Am dazu vorgelegten Gesetzentwurf muss auch aus Sicht der Koalition noch nachgearbeitet werden.
Cyberattacken und Sabotage: Immer öfter ist kritische Infrastruktur Ziel hybrider Angriffe. Doch wie lassen sich Seekabel, Pipelines und digitale Netze schützen?