BSI: Cyberschutz-Verpflichtung für Firmen ab 2026

Die deutsche Cybersicherheitslandschaft steht vor einem bedeutenden Wandel. BSI-Präsidentin Claudia Plattner kündigte an, dass die Bundesregierung bis Anfang 2026 eine EU-Richtlinie für den verpflichtenden Schutz wichtiger Anlagen und Unternehmen vor Cyberangriffen gesetzlich verankern will. Dies markiert einen entscheidenden Schritt zur Stärkung der digitalen Resilienz in Deutschland.

Die Europäische Grundlage: NIS2-Richtlinie

Die Initiative für diese umfassende Cybersicherheitspflicht geht auf die NIS2-Richtlinie der Europäischen Union zurück, die am 16. Januar 2023 in Kraft trat. Diese Richtlinie zielt darauf ab, die Cybersicherheit kritischer Infrastrukturen in der EU zu vereinheitlichen und die Zusammenarbeit der Mitgliedstaaten bei der IT-Sicherheit zu stärken.

Die Umsetzung dieser Richtlinie in nationales Recht hätte bereits bis zum 17. Oktober 2024 erfolgen müssen. Deutschland und zahlreiche andere EU-Staaten haben diese Frist jedoch verfehlt, was zu einem Vertragsverletzungsverfahren der EU-Kommission geführt hat.

Claudia Plattner: Treibende Kraft der Umsetzung

Claudia Plattner, seit dem 1. Juli 2023 Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), ist die zentrale Figur in der Umsetzung der neuen Cybersicherheitsstrategie. Die 1973 in Mainz geborene Diplom-Mathematikerin verfügt über mehr als 20 Jahre Erfahrung in IT-Funktionen und war zuvor Generaldirektorin für Informationssysteme bei der Europäischen Zentralbank.

Plattner betont die Dringlichkeit der Umsetzung: "Das Bundesinnenministerium treibt dieses Thema im Moment mit Hochdruck voran. Ich habe die Hoffnung, dass wir es schaffen, dass es Anfang 2026 in Kraft treten kann". Sie mahnt zur Eile: "Dadurch, dass wir es in der letzten Legislaturperiode nicht mehr geschafft haben, ist da jetzt wirklich Tempo gefordert".

Erhebliche Ausweitung der Betroffenheit

Die neue Gesetzgebung wird eine dramatische Ausweitung der Cybersicherheitspflichten mit sich bringen. Während das BSI derzeit etwa 4.500 Betreiber kritischer Infrastruktur betreut, werden künftig schätzungsweise 29.000 Unternehmen und Einrichtungen von den neuen Verpflichtungen betroffen sein. Diese Unternehmen werden in zwei Kategorien eingeteilt:

Besonders wichtige Einrichtungen (Essential Entities)
umfassen unter anderem Unternehmen aus den Sektoren:

• Energie: Elektrizitätsunternehmen, Netzbetreiber, Erzeuger
• Verkehr: Luftfahrt, Schifffahrt, Schienenverkehr, Straßenverkehr
• Gesundheit: Gesundheitsdienstleister, Pharmazeutik, Medizingeräte
• Trinkwasser und Abwasser: Versorger und Entsorgungsunternehmen
• Digitale Infrastruktur: Internet-Knoten, DNS-Dienste, Cloud-Provider
• Finanzwesen: Banken, Finanzmarktakteure
• Öffentliche Verwaltung: Einrichtungen von Zentral- und Regionalregierungen

Wichtige Einrichtungen (Important Entities)
umfassen unter anderem Unternehmen aus den Sektoren:

• Post- und Kurierdienste:
• Abfallwirtschaft:
• Chemische Industrie
• Lebensmittel: Großhandel, Produktion, Verarbeitung
• Verschiedene Herstellungsbranchen: Medizinprodukte, Elektronik, Maschinenbau, Automobilindustrie
• Digitale Dienste: Online-Marktplätze, soziale Netzwerke

Umfassende Sicherheitsanforderungen

Die neuen Verpflichtungen gehen weit über bisherige Anforderungen hinaus. Zu den Mindestanforderungen gehören:

• Risikoanalyse: Regelmäßige Bewertung der Cybersicherheitsrisiken
• Meldung von Sicherheitsvorfällen: Zeitnahe Benachrichtigung der Behörden
• Risikomanagement: Strukturierte Bewältigung von Sicherheitsvorfällen
• Aufrechterhaltung des Betriebs: Backup-Management und Notfallwiederherstellung
• Sicherheit der Lieferkette: Überprüfung von Anbietern und Dienstleistern
• Sicherheitsmaßnahmen bei IT-Systemen: Schutz bei Entwicklung und Wartung
• Bewertung der Wirksamkeit: Regelmäßige Kontrolle der Sicherheitsmaßnahmen

Technische Mindestanforderungen

Die Richtlinie verlangt außerdem konkrete technische Schutzmaßnahmen:

• Zugriffskontrolle und Multi-Faktor-Authentifizierung
• Verschlüsselung sensibler Daten
• Automatisierte Angriffserkennung
• Physische Sicherheit von IT-Systemen
• Security Awareness Training für Mitarbeitende
• Business Continuity Planning

Drastische Erhöhung der Bußgelder

Die Nichteinhaltung der neuen Verpflichtungen kann zu erheblichen finanziellen Konsequenzen führen:

• Für besonders wichtige Einrichtungen:
  Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes


• Für wichtige Einrichtungen:
  Bußgelder bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes

Besonders bedeutsam ist die persönliche Haftung der Geschäftsführung. Die Führungsebene ist verpflichtet, Cybersicherheitsschulungen zu absolvieren und die Umsetzung der Maßnahmen zu überwachen.

Weitere Informationen zur NIS2-Richtlinie & unserem NIS2 Readiness Check finden Sie auf der Landingpage: https://enthus.de/aktuelles-events/themen/nis2-richtlinie

Sprechen Sie uns für weitere Details gerne auch direkt an oder wenden Sie sich formlos an hallo@enthus.de.