Neuer Anlauf für mehr Cybersicherheit: Bundesregierung beschließt IT-Sicherheitsgesetz

Die Bundesregierung hat einen wichtigen Schritt zur Abwehr digitaler Bedrohungen unternommen: Mit dem heute vom Kabinett verabschiedeten Gesetzentwurf will Bundesinnenminister Alexander Dobrindt die Cybersicherheit in Deutschland spürbar stärken.

Kern des Vorhabens ist die Umsetzung der EU-Richtlinie NIS-2 in nationales Recht – und damit eine grundlegende Modernisierung des IT-Sicherheitsgesetzes. Rund 29.500 Unternehmen sollen künftig aktiv zur Absicherung digitaler Infrastrukturen beitragen. Gleichzeitig wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) deutlich gestärkt: Es erhält erweiterte Befugnisse zur Beratung, Kontrolle und Durchsetzung von Sicherheitsstandards.

Mit dem neuen Gesetz will die Bundesregierung Deutschlands IT-Systeme widerstandsfähiger gegenüber wachsenden Bedrohungen im digitalen Raum machen – und damit Wirtschaft, Staat und Gesellschaft besser schützen.

Künftig sollen deutlich mehr Unternehmen eine aktive Rolle beim Schutz ihrer digitalen Infrastruktur übernehmen, quer durch zentrale Wirtschaftsbereiche. Auch die Bundesverwaltung wird besser abgesichert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält Aufsichtsinstrumente, um Unternehmen gezielter zu begleiten und die Einhaltung der Sicherheitsstandards zu überwachen.

Bundesinnenminister Alexander Dobrindt: „Mit dem neuen Gesetz schaffen wir ein deutlich höheres Sicherheitsniveau für unsere Wirtschaft und Verwaltung. Unternehmen und Behörden werden widerstandsfähiger gegen Cyberangriffe. Wir setzen dabei auf klare Regeln ohne unnötige Bürokratie.“

Was sieht das Gesetz vor?

• Mehr Unternehmen im Fokus:
  Neben Betreibern Kritischer Infrastrukturen rückt ein breiteres Spektrum in den Mittelpunkt, darunter sogenannte „wichtige“ und „besonders wichtige Einrichtungen“. Insgesamt betrifft das rund 29.500 Unternehmen. Zum Beispiel aus den Bereichen Energie, Gesundheit, Transport oder digitale Dienste.
• Verlässliche Standards für Cybersicherheit:
  Alle betroffenen Unternehmen sollen künftig zentrale Schutzmaßnahmen etablieren. Etwa Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen. Der Umfang richtet sich nach der Bedeutung der Einrichtung, ein ausgewogenes Verhältnis bleibt also gewahrt.
• Klarere Abläufe bei Sicherheitsvorfällen:
  Wenn es zu einem Cyberangriff kommt, greift ein gestuftes Meldeverfahren: Zunächst eine kurze Erstmeldung innerhalb von 24 Stunden, gefolgt von einem Zwischenstand nach 72 Stunden und einem Abschlussbericht innerhalb eines Monats.
• Stärkere Rolle für das BSI:
  Das Bundesamt für Sicherheit in der Informationstechnik erhält mehr Befugnisse zur Aufsicht und Durchsetzung. Bei schwerwiegenden Verstößen können künftig auch Bußgelder verhängt werden, die sich am Jahresumsatz orientieren.

Das BSI stellt bereits jetzt umfangreiche Informationen bereit, inklusive eines digitalen Tools zur Selbsteinschätzung. So können Unternehmen frühzeitig prüfen, welche Regelungen für sie relevant sind und wie sie sich bestmöglich aufstellen:

www.bsi.bund.de (https://www.bsi.bund.de/)

Parallel plant das Bundesinnenministerium ein sogenanntes KRITIS-Dachgesetz, das erstmals branchenübergreifende Mindeststandards für den physischen Schutz Kritischer Infrastrukturen festlegt – also für Bereiche wie Strom, Wasser, Gesundheit oder Ernährung.

Das Ziel: Unternehmen sollen ihre wichtigen Dienstleistungen auch im Ernstfall zuverlässig aufrechterhalten können, zum Wohl der gesamten Gesellschaft.

Den Gesetzentwurf zur Stärkung der Cybersicherheit finden Sie hier: www.bmi.bund.de/nis2 (https://www.bmi.bund.de/…)

---

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky