BSI-Chefin: Cyberschutzverpflichtung für Unternehmen ab 2026

Berlin – Die Bundesregierung will eine EU-Richtlinie für den verpflichtenden Schutz wichtiger Anlagen und Unternehmen vor Cyberangriffen in Deutschland bis Anfang 2026 gesetzlich verankern.

„Das Bundesinnenministerium (BMI) treibt dieses Thema im Moment mit Hochdruck voran“, sagt die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner. „Ich habe die Hoffnung, dass wir es schaffen, dass es Anfang 2026 in Kraft treten kann.“

Zu dem Entwurf, der unter anderem die Pflicht zur Risikoanalyse und zur Meldung von Sicherheitsvorfällen bestimmt, wurden laut Innenministerium Anfang Juli die Länder und betroffene Verbände angehört. „Wichtig ist, dass die Unternehmen und Institutionen den Startschuss hören“, sagte die BSI-Chefin.

Mit der Umsetzung der europäischen NIS-2-Richtlinie soll mehr Cybersicherheit von Unternehmen und Institutionen geschaffen werden. Die Idee dahinter: Wenn sie nicht mehr arbeitsfähig wären – etwa weil ein Hacker ihre Daten verschlüsselt oder den Zugriff darauf blockiert hat – hätte das erhebliche Auswirkungen auf die Bevölkerung.

Die Pflicht zur Umsetzung bestimmter Sicherheitsmaßnahmen zur Abwehr und Bewältigung von Cyberangriffen soll künftig schätzungsweise rund 29.000 Unternehmen betreffen und damit deutlich mehr als bisher. Aktuell betreut das BSI rund 4.500 Betreiber kritischer Infrastruktur, die bestimmte Standards in Sachen Cybersicherheit erfüllen müssen. Seit ungefähr vier Monaten ist ein „NIS-2-Betroffenheitstest“ online.

Damit kann jeder herausfinden, ob die geplanten strengeren Regeln für ihn gelten oder nicht. Der Test wurde laut BSI schon mehr als 200.000 Mal genutzt. Plattner hat dennoch den Eindruck: „Die Anforderungen, die auf die betroffenen Unternehmen und Einrichtungen zukommen, haben viele derjenigen, die es angeht, immer noch nicht richtig auf dem Schirm.“

Die Frist für die NIS-2-Richtlinie ist am 17. Oktober 2024 abgelaufen. Bis zu diesem Datum hätten alle EU-Mitgliedstaaten die Richtlinie in nationales Recht umsetzen müssen. Deutschland und zahlreiche andere EU-Staaten haben die Frist nicht eingehalten.

Die Ampelkoalition hatte im Juli 2024 im Kabinett einen entsprechenden Gesetzentwurf beschlossen. Nach dem Auseinanderbrechen der Koalition von SPD, Grünen und FDP fand sich dafür jedoch keine Mehrheit mehr im Bundestag.

„Dadurch, dass wir es in der letzten Legislaturperiode nicht mehr geschafft haben, ist da jetzt wirklich Tempo gefordert“, mahnt die BSI-Präsidentin. Aus ihrer Sicht sei es daher besser, die Richtlinie rasch umzusetzen und später gegebenenfalls noch einmal nachzubessern.

Denn deutsche Unternehmen, Behörden, Forschungsinstitute und auch Einrichtungen in der Politik würden auf einem relativ hohen Niveau dauerhaft angegriffen und das Gesetz werde dafür sorgen, das Risiko zu reduzieren, dass diese Angriffe erfolgreich sind. Aktuell beobachtet das BSI nach eigenen Angaben viele Lieferkettenangriffe.

Dabei geht es etwa um Ingenieursbüros oder IT-Firmen, bei denen sich hinterher oft herausstellt, dass nicht der Dienstleister das eigentliche Angriffsziel war, sondern Firmen oder Institutionen, die ihre Kunden sind. „Das können auch Behörden oder Institutionen aus dem politischen Raum sein“, sagt Plattner.

Manchmal sei auch nicht ganz klar, ob es um eine rein kriminelle Operation geht oder womöglich auch ein staatlicher Akteur im Hintergrund eine Rolle spielt. In einigen Fällen sei beides relevant.

„Es gibt da unheilige Allianzen zwischen finanziell motivierten und politischen Akteuren“, berichtet die BSI-Präsidentin.

Ein Hackerangriff hatte in den vergangenen Tagen einen massiven IT-Ausfall verursacht und für Probleme in den deutschen Einrichtungen des Gesundheitskonzerns Ameos gesorgt. In Sachsen-Anhalt waren am Donnerstag mehrere Internetseiten von Ministerien kurzzeitig nicht aufrufbar. Grund sei ein Überlastungsangriff einer prorussischen Hackergruppe auf das Landesportal, hieß es.

Der Aufwand, den die einzelnen Unternehmen und Einrichtungen betreiben müssen, um die Verpflichtungen aus der NIS-2-Richtlinie zu erfüllen, ist nach Einschätzung von Plattner nicht pauschal zu beziffern. Wer eine gute IT-Abteilung habe und sich auch jetzt schon um Cybersicherheit kümmere, werde die Herausforderungen häufig auch „mit Bordmitteln“ bewältigen können.

Bei denjenigen, die sich noch nie um das Thema gekümmert hätten, werde dagegen „die Lernkurve deutlich steiler sein“. Die Leiterin der Bundesbehörde, die ihren Hauptsitz in Bonn hat, verspricht hier Unterstützung. „Wir bemühen uns, das mit unseren Informations- und Beratungsangeboten für die Unternehmen so schmerzfrei wie möglich zu machen.“

dpa