Beitrag teilen
HOME
/
blog
/
Das BSI und die NIS2: Welche Rolle spielt das BSI bei der Implementierung der NIS2 Richtlinie?

Das BSI und die NIS2: Welche Rolle spielt das BSI bei der Implementierung der NIS2 Richtlinie?

Anne Hillmer

Information Security Expert

January 12, 2024

7 min

Anne ist eine Expertin auf dem Gebiet der Informationssicherheit mit umfangreicher Arbeitserfahrung im Bundesamt für Sicherheit in der Informationstechnik (BSI). Als ISO/IEC 27001 Lead Implementer und Data Protection Officer verfügt sie über profunde Kenntnisse in der Gestaltung und Umsetzung sicherer IT-Systeme und ist zudem zertifiziert als IT-Security Officer (TÜV) für Informationssicherheit.

Key Takeaways

Das BSI spielt eine zentrale Rolle in der deutschen Cybersicherheit und wurde gegründet, um die Informationssicherheit in Deutschland zu gewährleisten.

Mit der NIS2 Richtlinie erhält das BSI erweiterte Befugnisse und Verantwortungsbereiche, um die IT-Sicherheit zu stärken und den Schutz kritischer Infrastrukturen (KRITIS) zu gewährleisten.

Die Umsetzung der NIS2 Richtlinie stellt Unternehmen vor Herausforderungen, einschließlich hoher Kosten und strenger Meldefristen für IT-Sicherheitsvorfälle.

Das BSI könnte in der Lage sein, bei Verstößen gegen die NIS2 Richtlinie in privaten Unternehmen einzugreifen und das Recht haben, Führungskräfte temporär abzusetzen.

Im Herbst 2023 hat das Bundesamt für Sicherheit und Informationstechnik seinen jährlichen Bericht zur Lage der IT-Sicherheit in Deutschland veröffentlicht, der herausstellt, dass die Gefahr im Cyberspace neue Höhen erreicht hat.

Das BSI beobachtet darin eine Verschiebung in den Zielobjekten von Ransomware-Angriffen. Es sind nicht mehr nur große zahlungskräftige Unternehmen im Fokus, sondern vermehrt auch kleine und mittlere Unternehmen.  

Um die digitale Sicherheit in Deutschland zu gewährleisten, hat das BSI durch eine Reihe von Gesetzen größere Befugnisse erhalten, etwa durch das IT-Sicherheitsgesetz oder die Umsetzung der NIS2 Richtlinie.

Diese Gesetze und Richtlinien verfolgen einen kooperativen Ansatz bei der Bekämpfung der Gefahren durch Cyberkriminalität, der davon ausgeht, dass diese nur durch die Zusammenarbeit der EU-Staaten und der Wirtschaft bewältigt werden kann.

„Unsere oberste Priorität ist es, Deutschland sicher und digital aufzustellen. Das gelingt nur mit koordinierter Zusammenarbeit aller Kommunen, den Ländern und im Bund sowie in ganz Europa! Dabei gilt es, auch in den Austausch mit Wirtschaft, Wissenschaft und Gesellschaft zu treten. Wir verstehen Cybersicherheit als Gemeinschaftsaufgabe, die auf Transparenz als Grundlage für Vertrauen beruht!“ – Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik

Das BSI: Herzstück der deutschen Cybersicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde am 1. Januar 1991 auf Basis des „Gesetzes über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik“ gegründet. Sein Auftrag ist es, die Informationssicherheit in Deutschland zu gewährleisten, es nimmt damit die Schlüsselrolle in der deutschen Cybersicherheit ein.

Das BSI fungiert auch als zentrale Meldestelle für IT-Sicherheitsvorfälle in der Bundesverwaltung und unterstützt bei der Bewältigung von IT-Krisen von nationaler Bedeutung. Darüber hinaus dient es als kompetenter Ansprechpartner und Berater für Wirtschaft, Wissenschaft, Gesellschaft und die Bürgerinnen und Bürger in allen Fragen der Informationssicherheit.

Um Unternehmen effektiver zu unterstützen, hat das BSI zudem Mobile Incident Response Teams (MIRTs) etabliert. Diese spezialisierten Taskforces setzen sich aus Cybersicherheitsexperten des BSI zusammen und stehen zur Verfügung, um auf Wunsch der Betreiber kritischer Infrastrukturen schwerwiegende Cyberangriffe vor Ort zu untersuchen und bei ihrer Bewältigung zu helfen.  

Die MIRTs sind darauf ausgerichtet, schnell und effizient auf derartige Vorfälle zu reagieren und den Schutz kritischer Infrastrukturen zu gewährleisten, etwa falls ein Cyberangriff die IT eines Kraftwerks zum Ziel hat und so eine erhebliche Gefährdung der Bevölkerung besteht.

Das BSI und NIS2: Die Aufgaben und Befugnisse des BSI im Kontext der NIS2 Richtlinie

Das BSI hat im Zusammenhang mit der NIS2 Richtlinie erweiterte Aufgaben und Befugnisse. Diese wurden durch das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) von 2015 und das „IT-Sicherheitsgesetz 2.0“ von 2021 gestärkt.  

Zu den Befugnissen des BSI in Bezug auf die NIS2 Richtlinie gehören Überwachung der Richtlinien, Risikobewertung bei KRITIS-Organisationen, Beratung von Unternehmen, Koordination zwischen Behörden und Wirtschaft und Sanktionen.

Das BSI ist verantwortlich für die Verbesserung der IT-Sicherheit und den Schutz kritischer Infrastrukturen (KRITIS), also von Einrichtungen und Systemen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die öffentliche Sicherheit, Gesundheit, Versorgung oder das wirtschaftliche und soziale Leben hätte. Dazu gehören etwa Unternehmen aus den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen und Telekommunikation und Weltraum.

Das BSI hat die Befugnis, Mindestsicherheitsstandards für KRITIS-Betreiber festzulegen und erhebliche IT-Sicherheitsvorfälle zu überwachen und zu melden.  

Es wird zudem an wesentlichen Digitalisierungsvorhaben der Bundesverwaltung beteiligt, um sicherzustellen, dass angemessene Sicherheitsmaßnahmen implementiert werden. Somit fördert das BSI die Zusammenarbeit zwischen Staat und Wirtschaft und trägt dazu bei, die Cybersicherheit in Deutschland voranzutreiben.

Das BSI und NIS2: Welche Aufgaben soll das BSI übernehmen?

Um die Umsetzung der NIS2 Richtlinie in Deutschland zu gewährleisten, müssen Unternehmen und Gesetzgeber noch eine Reihe von Schritten und Maßnahmen durchlaufen.

 

Zunächst ist bis Oktober 2024 die Verabschiedung eines entsprechenden Gesetzes notwendig, des NIS2 Umsetzungsgesetzes, um die Bestimmungen der NIS2 Richtlinie in das nationale Rechtssystem zu integrieren. Dieses Gesetz wird die rechtlichen Grundlagen für die Umsetzung der Richtlinie in Deutschland schaffen.

Die Umsetzung der NIS2 Richtlinie erfordert wahrscheinlich Anpassungen an bestehenden Gesetzen, insbesondere am IT-Sicherheitsgesetz. Dies kann beinhalten, die Befugnisse des BSI zu erweitern, um die neuen Anforderungen der Richtlinie zu erfüllen.

Unternehmen sind voraussichtlich dazu verpflichtet, sich selbst beim BSI als Betreiber kritischer Infrastrukturen und anderer digitale Dienstleister, die als „wesentlich“ oder „wichtig“ für die Gesellschaft angesehen werden, zu identifizieren. Das BSI wird hierbei Mindestsicherheitsanforderungen für die betroffenen Unternehmen festlegen müssen, um sicherzustellen, dass sie angemessene Sicherheitsvorkehrungen treffen.

Die NIS2 Richtlinie fordert zudem die Einführung einer strikten Meldepflicht für erhebliche IT-Sicherheitsvorfälle. Das BSI wird die Rahmenbedingungen für die Meldung solcher Vorfälle festlegen und überwachen.

Außerdem ist geplant, dass das BSI Schulungsmaßnahmen und Sensibilisierungskampagnen implementiert, um die betroffenen Unternehmen über ihre Verpflichtungen im Rahmen der NIS2 Richtlinie zu informieren.

Das BSI und NIS2: Überwachung als zentraler Aspekt der NIS2 Umsetzung

Eine der wichtigsten Aufgaben, die dem BSI im Rahmen der Umsetzung von der NIS2 Richtlinie zukommt, ist die Überwachung und Durchsetzung der von der NIS2 geforderten Maßnahmen. Das BSI wird durch das geplante Umsetzungsgesetz ermächtigt, die Vorgaben der NIS2 Richtlinie in Deutschland durchzusetzen. Es wird somit die Einhaltung der Richtlinie überwachen und bei Verstößen auch entsprechende Maßnahmen ergreifen.  

Dies beinhaltet die Aufsicht über rund 29,000 Unternehmen, die nun Mindestanforderungen für die Cybersicherheit erfüllen und Cybervorfälle melden müssen, im Gegensatz zu den derzeit beaufsichtigten 4,500 Unternehmen. Das BSI spielt somit eine Schlüsselrolle bei der Gewährleistung der Cybersicherheit in Deutschland, insbesondere in Bezug auf kritische Infrastrukturen.

Das BSI und NIS2: Höhere Bußgelder bei Verstößen

Entdeckt das BSI Verstöße gegen die NIS2 Richtlinie, so wird es wohl mit dem NIS2 Umsetzungsgesetz in der Lage sein, als Sanktion höhere Bußgelder gegen die Einrichtungen zu verhängen, die unter die NIS2 Richtlinie fallen.  

Für wesentliche Einrichtungen können das Bußgelder bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) sein.  

Wichtige Einrichtungen hingegen können mit Strafen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) rechnen.  

Diese Sanktionen sollen die Unternehmen dazu anregen, angemessene Cybersicherheitsmaßnahmen zu treffen und Verstöße ernst zu nehmen.

Das BSI und NIS2: Die Umsetzung der NIS2 Richtlinie als Herausforderung für die Geschäftsführung

Eine große Herausforderung, die auf die Geschäftsführung von Unternehmen im Rahmen der NIS2 Umsetzung zukommt, sind die Kosten, die sich aus der Richtlinie für betroffene Unternehmen ergeben.  

Die geschätzten Kosten für die zusätzlichen Anforderungen und Meldepflichten belaufen sich auf etwa 1,65 Milliarden Euro pro Jahr. Zusätzlich können Unternehmen in Deutschland mit einmaligen Kosten von etwa 1,37 Milliarden Euro rechnen, insbesondere für die Implementierung oder Anpassung digitaler Prozesse.

Das BSI und NIS2: Das BSI kann Geschäftsführer bei Verstößen gegen die NIS2 absetzen

Eine neue Kompetenz, die das NIS2 Umsetzungsgesetz dem BSI zusprechen soll, gäbe dem Bundesamt bei Verstößen sogar das Recht, in privaten Unternehmen durchzugreifen. Damit soll ein besserer Schutz der kritischen Anlagen gewährleistet werden.  

Dies betrifft insbesondere „wesentliche Einrichtungen“. Für diese besonders wichtigen Einrichtungen sieht der Entwurf vor, dass das BSI die temporäre Untersagung der Wahrnehmung von Leitungsaufgaben gegenüber Menschen durchsetzen kann, die als Geschäftsführung oder gesetzliche Vertreter in diesen Einrichtungen tätig sind, wenn sie den Anweisungen des BSI nicht nachkommen.  

Das BSI wird in diesem Kontext demnach die Rolle einer Prüfbehörde übernehmen und Maßnahmen anordnen sowie verbindliche Anweisungen erlassen können. Diese erweiterten Befugnisse ermöglichen es dem BSI, unmittelbar bei schwerwiegenden Verstößen gegen die Cybersicherheit einzuschreiten, beispielsweise wenn ein bedeutender Softwareanbieter in illegale Schadsoftwareverbreitung verwickelt ist.

Das BSI und NIS2: Kurze Meldefristen als Herausforderung für kleinere und mittelständische Unternehmen

Die Meldefrist beim BSI von 24 Stunden, die bei einem Cybervorfall in der NIS2 Richtlinie vorgesehen ist, stellt eine Herausforderung für kleinere Unternehmen dar.

Dies ist besonders in Branchen mit begrenzten Ressourcen und Fachkräftemangel problematisch. Die Umsetzung der NIS2 Richtlinie erfordert nicht nur die Implementierung von angemessenen IT-Sicherheitsmaßnahmen, sondern auch die Fähigkeit, erhebliche IT-Sicherheitsvorfälle auch innerhalb von 24 Stunden melden zu können.  

Dies stellt kleine und mittelständische Unternehmen vor erhebliche organisatorische und personelle Herausforderungen. Während es für große kritische Infrastrukturen möglich sein mag, in dieser kurzen Zeitspanne zu handeln, sind kleinere Unternehmen oft nicht in der Lage, solche Fristen einzuhalten.

„[…] wer einmal ein Unternehmen direkt nach einer Attacke erlebt hat, weiß, welches Chaos dann herrscht und wie knapp Ressourcen und Zeit sind. Auch hier sind die großen kritischen Infrastrukturen sicher in der Lage, schneller zu agieren und könnten ob ihrer hohen Bedeutung für die Gesellschaft auch zu schnelleren Reaktionen verpflichtet werden, aber doch bitte nicht kleine Mittelständler!“ – Timo Kob, Vorstand HiSolutions AG, am 07.02.2022 im Tagesspiegel

Um die Realitäten kleinerer Unternehmen zu berücksichtigen, könnte beispielsweise die Anpassung der Meldefristen an die Unternehmensgröße oder die Bereitstellung von Ressourcen und Schulungen für KMU erfolgen.  

Fazit: Das BSI und die NIS2 Richtlinie arbeiten gemeinsam an mehr Cybersicherheit

Das BSI hat die Gewährleistung der Cybersicherheit in Deutschland zum Ziel. Durch die Umsetzung der NIS2 Richtlinie erhält das BSI voraussichtlich erweiterte Befugnisse. Zudem verfolgt das BSI einen kooperativen Ansatz bei der Bekämpfung von Cyberkriminalität, indem es die Zusammenarbeit von Wirtschaft und Gesetzgeber fördert.

 

Das BSI fungiert des Weiteren als zentrale Meldestelle für IT-Sicherheitsvorfälle, unterstützt bei der Bewältigung von IT-Krisen und berät Wirtschaft, Wissenschaft und die Bevölkerung.

 

Mit der Umsetzung der NIS2 Richtlinie soll das BSI über erweiterte Befugnisse verfügen, darunter die Überwachung und Beratung von kritischen Infrastrukturen und die Verhängung von Sanktionen gegen diese. So kann das BSI bei Verstößen höhere Bußgelder verhängen, um Unternehmen zur Einhaltung der Sicherheitsanforderungen anzuregen.

 

Diese neuen Befugnisse des BSI können Unternehmen vor große Herausforderungen stellen, besonders im Zusammenhang mit der temporären Absetzung der Unternehmensleitung. Trotz dieser Herausforderungen plant das BSI, weiterhin eine zentrale Rolle bei der Gewährleistung der Cybersicherheit in Deutschland zu spielen und seinen kooperativen Ansatz bei der Bekämpfung von Cyberbedrohungen fortzusetzen.  

„Es braucht einen intensiven Austausch von Informationen und koordiniertes Handeln, um Bedrohungen aus dem Cyberraum erfolgreich zu begegnen. Deshalb müssen Bund und Länder diesen Gefahren gemeinsam entgegen treten. Ein starker Partner ist dabei das BSI. Es warnt nicht nur vor möglichen Bedrohungen und Gefährdungen, sondern sorgt mit den anderen Sicherheitsbehörden für verlässliche Cybersicherheit.“ Nancy Faeser, Bundesministerin des Inneren und für Heimat

Die Zukunft der Cybersicherheit in Deutschland hängt somit zu einem großen Teil von der kontinuierlichen Anstrengung des BSI und seiner Zusammenarbeit mit anderen Akteuren in Staat, Wirtschaft und Gesellschaft ab.

Anne Hillmer

Anne ist eine Expertin auf dem Gebiet der Informationssicherheit mit umfangreicher Arbeitserfahrung im Bundesamt für Sicherheit in der Informationstechnik (BSI). Als ISO/IEC 27001 Lead Implementer und Data Protection Officer verfügt sie über profunde Kenntnisse in der Gestaltung und Umsetzung sicherer IT-Systeme und ist zudem zertifiziert als IT-Security Officer (TÜV) für Informationssicherheit.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

July 7, 2023
5 min
Für wen gilt NIS 2? Der Überblick mit Infografik!

Viele deutsche Unternehmen und Einrichtungen stehen vor den Auswirkungen der neuen NIS2-Richtlinie. Ab 2024 wird in der gesamten EU ein hohes Maß an Cybersicherheit für Betreiber kritischer Infrastrukturen (KRITIS) durchgesetzt. Allerdings besteht nach wie vor viel Unsicherheit darüber, welche Unternehmen tatsächlich von der NIS 2 betroffen sind und welche bereits Maßnahmen ergreifen sollten. In diesem Artikel erfahren Sie, für wen die neue EU-Richtlinie NIS2 gilt und wie SECJUR die betroffenen Unternehmen bei der Umsetzung unterstützt.

Lesen
June 7, 2023
5 min
Informationssicherheitsbeauftragter – das macht der ISB!

Ein Informationssicherheitsbeauftragter (ISB) ist zuständig für die allgemeine Informationssicherheit in einem Unternehmen oder einer Institution. Dabei ist zu beachten, dass es beim Informationssicherheitsbeauftragten keine fest geschriebene gesetzliche Definition gibt, wie es etwa bei einem Datenschutzbeauftragten der Fall ist. Vielmehr werden je nach Branche verschiedene Definitionen genutzt, beispielsweise im Finanzdienstleistungssektor. Woher weiß ein Unternehmen nun, ob es einen Informationssicherheitsbeauftragten braucht? Wir haben es in diesem Überblick zusammengefasst.

Lesen
June 6, 2023
4 min
Was sind sensible Daten nach DSGVO? Definition & Erklärung

Wie allgemein bekannt ist, stellt der Schutz von Daten in unserer Zeit der „Big Data“ eine große Herausforderung dar. Daten sind nicht gleich Daten. Manche sind ganz besonders schützenswert. Namentlich Daten, die zur Diskriminierung führen können. Daten, die über die Einstellung eines potenziellen neuen Mitarbeiters entscheiden können. Daten, die die Gesundheitsgeschichte eines Menschen umreißen. Gerade auf diese Daten sollte niemand unbefugt Zugriff haben. Doch genau solche Daten lagen über Jahre hinweg für jedermann offen im Internet.

Lesen
TO TOP