Auf dem Weg #1: Neue Vorgaben für die Cybersicherheit
Die Bundesregierung verschärft die Cybersicherheits-Regeln für Unternehmen: Risikoanalysen, Notfallpläne und schnelle Meldepflichten bei Angriffen werden Pflicht. Betroffen sind rund 29.500 Firmen aus kritischen Branchen wie Energie, Gesundheit und Transport.
Was tun bei einem Cyberangriff – und welche Maßnahmen sollten Unternehmen bereits im Vorfeld ergreifen? Genau hierfür hat die Bundesregierung nun neue Regelungen zur Stärkung der Cybersicherheit in der Wirtschaft beschlossen.
Rund 29.500 Unternehmen von neuen Cybersicherheits-Regeln betroffen
Von den Änderungen betroffen sind rund 29.500 Unternehmen in Deutschland, unter anderem aus den Bereichen Energie, Gesundheit, Transport und digitale Dienste. Mit dem neuen IT-Sicherheitsgesetz setzt die Bundesregierung die europäischen Vorgaben um. Der Bundestag muss dem Gesetz noch zustimmen.
Pflicht zu Risikoanalysen und Notfallplänen
Die betroffenen Unternehmen sollen künftig verbindlich Schutzmaßnahmen etablieren. Dazu gehören Risikoanalysen, Notfallpläne, Backup-Konzepte sowie Verschlüsselungslösungen. Der Umfang der zu ergreifenden Maßnahmen richtet sich nach der jeweiligen Bedeutung der Einrichtung.
Meldepflicht bei Cyberangriffen
Kommt es zu einem Cyberangriff, müssen die Unternehmen diesen innerhalb von 24 Stunden melden, nach 72 Stunden einen Zwischenbericht vorlegen und innerhalb eines Monats einen Abschlussbericht einreichen.
Bußgelder bei Verstößen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn erhält erweiterte Aufsichtsbefugnisse. Bei schwerwiegenden Verstößen gegen die neuen Vorgaben kann die Behörde künftig Bußgelder verhängen.
Kritis-Dachgesetz / Ausblick
Parallel zur Umsetzung der NIS-2-Richtlinie arbeitet das Bundesinnenministerium zudem an einem sogenannten Kritis-Dachgesetz. Ziel ist es, den physischen Schutz kritischer Infrastrukturen – etwa der Strom- und Wasserversorgung sowie des Gesundheitssystems – weiter zu stärken.
