Im Herbst 2023 hat das Bundesamt für Sicherheit und Informationstechnik seinen jährlichen Bericht zur Lage der IT-Sicherheit in Deutschland veröffentlicht, der herausstellt, dass die Gefahr im Cyberspace neue Höhen erreicht hat.
Das BSI beobachtet darin eine Verschiebung in den Zielobjekten von Ransomware-Angriffen. Es sind nicht mehr nur große zahlungskräftige Unternehmen im Fokus, sondern vermehrt auch kleine und mittlere Unternehmen.
Um die digitale Sicherheit in Deutschland zu gewährleisten, hat das BSI durch eine Reihe von Gesetzen größere Befugnisse erhalten, etwa durch das IT-Sicherheitsgesetz oder die Umsetzung der NIS2 Richtlinie.
Diese Gesetze und Richtlinien verfolgen einen kooperativen Ansatz bei der Bekämpfung der Gefahren durch Cyberkriminalität, der davon ausgeht, dass diese nur durch die Zusammenarbeit der EU-Staaten und der Wirtschaft bewältigt werden kann.
„Unsere oberste Priorität ist es, Deutschland sicher und digital aufzustellen. Das gelingt nur mit koordinierter Zusammenarbeit aller Kommunen, den Ländern und im Bund sowie in ganz Europa! Dabei gilt es, auch in den Austausch mit Wirtschaft, Wissenschaft und Gesellschaft zu treten. Wir verstehen Cybersicherheit als Gemeinschaftsaufgabe, die auf Transparenz als Grundlage für Vertrauen beruht!“ – Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik
Das BSI: Herzstück der deutschen Cybersicherheit
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde am 1. Januar 1991 auf Basis des „Gesetzes über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik“ gegründet. Sein Auftrag ist es, die Informationssicherheit in Deutschland zu gewährleisten, es nimmt damit die Schlüsselrolle in der deutschen Cybersicherheit ein.
Das BSI fungiert auch als zentrale Meldestelle für IT-Sicherheitsvorfälle in der Bundesverwaltung und unterstützt bei der Bewältigung von IT-Krisen von nationaler Bedeutung. Darüber hinaus dient es als kompetenter Ansprechpartner und Berater für Wirtschaft, Wissenschaft, Gesellschaft und die Bürgerinnen und Bürger in allen Fragen der Informationssicherheit.
Um Unternehmen effektiver zu unterstützen, hat das BSI zudem Mobile Incident Response Teams (MIRTs) etabliert. Diese spezialisierten Taskforces setzen sich aus Cybersicherheitsexperten des BSI zusammen und stehen zur Verfügung, um auf Wunsch der Betreiber kritischer Infrastrukturen schwerwiegende Cyberangriffe vor Ort zu untersuchen und bei ihrer Bewältigung zu helfen.
Die MIRTs sind darauf ausgerichtet, schnell und effizient auf derartige Vorfälle zu reagieren und den Schutz kritischer Infrastrukturen zu gewährleisten, etwa falls ein Cyberangriff die IT eines Kraftwerks zum Ziel hat und so eine erhebliche Gefährdung der Bevölkerung besteht.
Das BSI und NIS2: Die Aufgaben und Befugnisse des BSI im Kontext der NIS2 Richtlinie
Das BSI hat im Zusammenhang mit der NIS2 Richtlinie erweiterte Aufgaben und Befugnisse. Diese wurden durch das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz) von 2015 und das „IT-Sicherheitsgesetz 2.0“ von 2021 gestärkt.
Zu den Befugnissen des BSI in Bezug auf die NIS2 Richtlinie gehören Überwachung der Richtlinien, Risikobewertung bei KRITIS-Organisationen, Beratung von Unternehmen, Koordination zwischen Behörden und Wirtschaft und Sanktionen.
Das BSI ist verantwortlich für die Verbesserung der IT-Sicherheit und den Schutz kritischer Infrastrukturen (KRITIS), also von Einrichtungen und Systemen, deren Ausfall oder Beeinträchtigung erhebliche Auswirkungen auf die öffentliche Sicherheit, Gesundheit, Versorgung oder das wirtschaftliche und soziale Leben hätte. Dazu gehören etwa Unternehmen aus den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen und Telekommunikation und Weltraum.
Das BSI hat die Befugnis, Mindestsicherheitsstandards für KRITIS-Betreiber festzulegen und erhebliche IT-Sicherheitsvorfälle zu überwachen und zu melden.
Es wird zudem an wesentlichen Digitalisierungsvorhaben der Bundesverwaltung beteiligt, um sicherzustellen, dass angemessene Sicherheitsmaßnahmen implementiert werden. Somit fördert das BSI die Zusammenarbeit zwischen Staat und Wirtschaft und trägt dazu bei, die Cybersicherheit in Deutschland voranzutreiben.
Das BSI und NIS2: Welche Aufgaben soll das BSI übernehmen?
Um die Umsetzung der NIS2 Richtlinie in Deutschland zu gewährleisten, müssen Unternehmen und Gesetzgeber noch eine Reihe von Schritten und Maßnahmen durchlaufen.
Zunächst ist bis Oktober 2024 die Verabschiedung eines entsprechenden Gesetzes notwendig, des NIS2 Umsetzungsgesetzes, um die Bestimmungen der NIS2 Richtlinie in das nationale Rechtssystem zu integrieren. Dieses Gesetz wird die rechtlichen Grundlagen für die Umsetzung der Richtlinie in Deutschland schaffen.
Die Umsetzung der NIS2 Richtlinie erfordert wahrscheinlich Anpassungen an bestehenden Gesetzen, insbesondere am IT-Sicherheitsgesetz. Dies kann beinhalten, die Befugnisse des BSI zu erweitern, um die neuen Anforderungen der Richtlinie zu erfüllen.
Unternehmen sind voraussichtlich dazu verpflichtet, sich selbst beim BSI als Betreiber kritischer Infrastrukturen und anderer digitale Dienstleister, die als „wesentlich“ oder „wichtig“ für die Gesellschaft angesehen werden, zu identifizieren. Das BSI wird hierbei Mindestsicherheitsanforderungen für die betroffenen Unternehmen festlegen müssen, um sicherzustellen, dass sie angemessene Sicherheitsvorkehrungen treffen.
Die NIS2 Richtlinie fordert zudem die Einführung einer strikten Meldepflicht für erhebliche IT-Sicherheitsvorfälle. Das BSI wird die Rahmenbedingungen für die Meldung solcher Vorfälle festlegen und überwachen.
Außerdem ist geplant, dass das BSI Schulungsmaßnahmen und Sensibilisierungskampagnen implementiert, um die betroffenen Unternehmen über ihre Verpflichtungen im Rahmen der NIS2 Richtlinie zu informieren.
Das BSI und NIS2: Überwachung als zentraler Aspekt der NIS2 Umsetzung
Eine der wichtigsten Aufgaben, die dem BSI im Rahmen der Umsetzung von der NIS2 Richtlinie zukommt, ist die Überwachung und Durchsetzung der von der NIS2 geforderten Maßnahmen. Das BSI wird durch das geplante Umsetzungsgesetz ermächtigt, die Vorgaben der NIS2 Richtlinie in Deutschland durchzusetzen. Es wird somit die Einhaltung der Richtlinie überwachen und bei Verstößen auch entsprechende Maßnahmen ergreifen.
Dies beinhaltet die Aufsicht über rund 29,000 Unternehmen, die nun Mindestanforderungen für die Cybersicherheit erfüllen und Cybervorfälle melden müssen, im Gegensatz zu den derzeit beaufsichtigten 4,500 Unternehmen. Das BSI spielt somit eine Schlüsselrolle bei der Gewährleistung der Cybersicherheit in Deutschland, insbesondere in Bezug auf kritische Infrastrukturen.
Das BSI und NIS2: Höhere Bußgelder bei Verstößen
Entdeckt das BSI Verstöße gegen die NIS2 Richtlinie, so wird es wohl mit dem NIS2 Umsetzungsgesetz in der Lage sein, als Sanktion höhere Bußgelder gegen die Einrichtungen zu verhängen, die unter die NIS2 Richtlinie fallen.
Für wesentliche Einrichtungen können das Bußgelder bis zu 10 Millionen Euro oder 2 % ihres weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) sein.
Wichtige Einrichtungen hingegen können mit Strafen bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) rechnen.
Diese Sanktionen sollen die Unternehmen dazu anregen, angemessene Cybersicherheitsmaßnahmen zu treffen und Verstöße ernst zu nehmen.
Das BSI und NIS2: Die Umsetzung der NIS2 Richtlinie als Herausforderung für die Geschäftsführung
Eine große Herausforderung, die auf die Geschäftsführung von Unternehmen im Rahmen der NIS2 Umsetzung zukommt, sind die Kosten, die sich aus der Richtlinie für betroffene Unternehmen ergeben.
Die geschätzten Kosten für die zusätzlichen Anforderungen und Meldepflichten belaufen sich auf etwa 1,65 Milliarden Euro pro Jahr. Zusätzlich können Unternehmen in Deutschland mit einmaligen Kosten von etwa 1,37 Milliarden Euro rechnen, insbesondere für die Implementierung oder Anpassung digitaler Prozesse.
Das BSI und NIS2: Das BSI kann Geschäftsführer bei Verstößen gegen die NIS2 absetzen
Eine neue Kompetenz, die das NIS2 Umsetzungsgesetz dem BSI zusprechen soll, gäbe dem Bundesamt bei Verstößen sogar das Recht, in privaten Unternehmen durchzugreifen. Damit soll ein besserer Schutz der kritischen Anlagen gewährleistet werden.
Dies betrifft insbesondere „wesentliche Einrichtungen“. Für diese besonders wichtigen Einrichtungen sieht der Entwurf vor, dass das BSI die temporäre Untersagung der Wahrnehmung von Leitungsaufgaben gegenüber Menschen durchsetzen kann, die als Geschäftsführung oder gesetzliche Vertreter in diesen Einrichtungen tätig sind, wenn sie den Anweisungen des BSI nicht nachkommen.
Das BSI wird in diesem Kontext demnach die Rolle einer Prüfbehörde übernehmen und Maßnahmen anordnen sowie verbindliche Anweisungen erlassen können. Diese erweiterten Befugnisse ermöglichen es dem BSI, unmittelbar bei schwerwiegenden Verstößen gegen die Cybersicherheit einzuschreiten, beispielsweise wenn ein bedeutender Softwareanbieter in illegale Schadsoftwareverbreitung verwickelt ist.
Das BSI und NIS2: Kurze Meldefristen als Herausforderung für kleinere und mittelständische Unternehmen
Die Meldefrist beim BSI von 24 Stunden, die bei einem Cybervorfall in der NIS2 Richtlinie vorgesehen ist, stellt eine Herausforderung für kleinere Unternehmen dar.
Dies ist besonders in Branchen mit begrenzten Ressourcen und Fachkräftemangel problematisch. Die Umsetzung der NIS2 Richtlinie erfordert nicht nur die Implementierung von angemessenen IT-Sicherheitsmaßnahmen, sondern auch die Fähigkeit, erhebliche IT-Sicherheitsvorfälle auch innerhalb von 24 Stunden melden zu können.
Dies stellt kleine und mittelständische Unternehmen vor erhebliche organisatorische und personelle Herausforderungen. Während es für große kritische Infrastrukturen möglich sein mag, in dieser kurzen Zeitspanne zu handeln, sind kleinere Unternehmen oft nicht in der Lage, solche Fristen einzuhalten.
„[…] wer einmal ein Unternehmen direkt nach einer Attacke erlebt hat, weiß, welches Chaos dann herrscht und wie knapp Ressourcen und Zeit sind. Auch hier sind die großen kritischen Infrastrukturen sicher in der Lage, schneller zu agieren und könnten ob ihrer hohen Bedeutung für die Gesellschaft auch zu schnelleren Reaktionen verpflichtet werden, aber doch bitte nicht kleine Mittelständler!“ – Timo Kob, Vorstand HiSolutions AG, am 07.02.2022 im Tagesspiegel
Um die Realitäten kleinerer Unternehmen zu berücksichtigen, könnte beispielsweise die Anpassung der Meldefristen an die Unternehmensgröße oder die Bereitstellung von Ressourcen und Schulungen für KMU erfolgen.
.svg)
.svg)
.svg)
.svg){kind=small}