Bundesamt für Sicherheit in der Informationstechnik

Gesetz zur Umsetzung der NIS-Richtlinie

Mehr Aufgaben und Befugnisse für das BSI

Paragraph-Zeichen, umgeben von den EU-Sternen, schwebt über EU-Landkarte in blau. Quelle: ©bluedesign / Fotolia.com

Das Gesetz zur Umsetzung der europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) wurde am 29.06.2017 verkündet. Es dient im Wesentlichen der Umsetzung der NIS-Richtlinie, die im August 2016 in Kraft getreten ist. Diese definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union. Mit der Richtlinie wurde ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit, eine stärkere Zusammenarbeit der Mitgliedstaaten der Europäischen Union sowie Mindestsicherheits- anforderungen an und Meldepflichten für Kritische Infrastrukturen, sowie für bestimmte Anbieter digitaler Dienste wie Cloud-Services und Online-Marktplätze geschaffen. Das BSI erhält vor diesem Hintergrund neue Aufgaben und Befugnisse – eine wichtige Voraussetzung, um die Cyber-Sicherheit in Deutschland weiter zu verbessern.

Umsetzung für digitale Dienste bis Mai 2018

Die ist ein wichtiger Schritt für mehr Cyber-Sicherheit in Europa. Die Richtlinie muss von den Mitgliedstaaten der europäischen Union in nationales Recht umgesetzt werden. Dafür haben sie bis Mai 2018 Zeit. Mit dem am 29.06.2017 verkündeten Umsetzungsgesetz hat der deutsche Gesetzgeber seine Hausaufgaben schon erledigt. Dabei war die Ausgangsposition hierfür denkbar gut: In Deutschland existiert seit Juli 2015 mit dem IT-Sicherheitsgesetz bereits ein einheitlicher Rechtsrahmen für die Zusammenarbeit von Staat und Unternehmen für mehr Cyber-Sicherheit bei den Kritischen Infrastrukturen (KRITIS). Dieser schreibt KRITIS-Betreibern vor, IT-Sicherheit nach dem "Stand der Technik" umzusetzen und erhebliche IT-Sicherheitsvorfälle an das BSI zu melden. Der Gesetzesentwurf zur Umsetzung der NIS-Richtlinie erweitert nun die Aufsichts- und Durchsetzungsbefugnisse des BSI gegenüber KRITIS-Betreibern.

Völlig neu zu schaffen waren in Deutschland damit nur noch Regelungen für Anbieter Digitaler Dienste. Anders als die ergänzten Regelungen für KRITIS-Betreiber finden diese jedoch erst ab dem 10.05.2018 Anwendung.

Über die reine Umsetzung der NIS-Richtlinie hinaus wird mit dem Umsetzungsgesetz die Zusammenarbeit zwischen den Bundesländern und dem BSI gestärkt. Das BSI hat so die Möglichkeit, Länder in Zukunft noch umfassender zu unterstützen und ihnen seine technische Expertise zur Verfügung zu stellen.

Mehr Befugnisse für das BSI

Trotz stärkerer Befugnisse wird sich das BSI dafür einsetzen, dass der im IT-Sicherheitsgesetz verankerte, mit dem UP seit 10 Jahren gelebte kooperative Ansatz auch bei der Umsetzung der weiterverfolgt wird, da die Herausforderungen nur von Staat und Wirtschaft gemeinsam angenommen werden können. Damit wird das BSI seiner Vorreiterrolle in Europa auf dem Gebiet der Cyber-Sicherheit gerecht. Gleichzeitig ergänzt der Gesetzesentwurf das IT-Sicherheitsgesetz sinnvoll. Denn künftig sollen auch Anbieter von digitalen Diensten Mindestanforderungen und Meldepflichten unterliegen. Davon betroffen sind sowohl Online-Marktplätze und -Suchmaschinen als auch Anbieter von Cloud-Computing-Diensten. Das Bundesinnenministerium geht davon aus, dass hierzulande zwischen 500 und 1.500 Unternehmen von der Neuregelung betroffen sind. Das BSI wird künftig als Kontrollinstanz prüfen, ob sie die neuen Auflagen einhalten.

"Die NIS-Richtlinie schafft einen einheitlichen Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für Cyber-Sicherheit. Wie wichtig das ist, haben zuletzt die Cyber-Angriffe mit Ransomware wie WannaCry oder Petya gezeigt, die im globalen Maßstab Schäden verursacht haben. Durch die neuen Befugnisse und Aufgaben wird die Rolle des BSI als nationale Cyber-Sicherheitsbehörde weiter gestärkt. Wir werden diese Befugnisse auch in Zukunft in guter und vertrauensvoller Zusammenarbeit mit unseren Partnern in Staat, Wirtschaft und Gesellschaft ausüben und dafür sorgen, dass das IT-Sicherheitsniveau Deutschland weiter steigt, als notwendige Voraussetzung für eine erfolgreiche Digitalisierung.", kommentiert Arne Schönbohm, Präsident des BSI.

Wie das BSI Unternehmen unterstützt

Die mit dem Internet vernetzten Kritischen Infrastrukturen sind ein Ziel von Cyber-Angriffen. Neben den aus Sicht der Bevölkerung zu vermeidenden Versorgungsausfällen sind allein durch die Ausfallzeiten bei Attacken Schäden in Millionenhöhe nicht auszuschließen. Um Unternehmen künftig noch wirksamer zu unterstützen, richtet das BSI derzeit Mobile Incident Response Teams (MIRTs) ein. Diese Spezial-Taskforces bestehen aus Cyber-Sicherheitsexperten des BSI, die besonders schwerwiegende Cyber-Attacken auf Wunsch der Betreiber vor Ort untersuchen und bei deren Bewältigung helfen. Ein Beispiel wäre ein Cyber-Angriff, der wichtige IT-Steuerungen eines Kraftwerks lahmlegt. Aber auch eine Attacke auf eine Chemieanlage, bei der von einer großen Gefährdung der Bevölkerung auszugehen ist, könnte den Einsatz eines MIRT rechtfertigen.