Bundesamt für Sicherheit in der Informationstechnik

Gesetzesentwurf zur NIS-Richtlinie

Mehr Aufgaben und Befugnisse für das BSI

Paragraph-Zeichen, umgeben von den EU-Sternen, schwebt über EU-Landkarte in blau. Quelle: ©bluedesign / Fotolia.com

Das Bundeskabinett hat Ende Januar den Gesetzesentwurf zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) beschlossen. Die NIS-Richtlinie, die im August 2016 in Kraft getreten ist, definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der europäischen Union. Damit wurde ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cyber-Sicherheit, eine stärkere Zusammenarbeit der Mitgliedstaaten der Europäischen Union sowie Mindestsicherheitsanforderungen an und Meldepflichten für Kritische Infrastrukturen, sowie für bestimmte Dienste wie Cloud-Services und Online-Marktplätze geschaffen. Das BSI erhält vor diesem Hintergrund neue Aufgaben und Befugnisse – eine wichtige Voraussetzung, um die Cyber-Sicherheit in Deutschland weiter zu verbessern.

Umsetzung bis Mai 2018 gefordert

Die NIS-Richtlinie ist ein wichtiger Schritt für mehr Cyber-Sicherheit in Europa. Die Bundesregierung hat nun die Grundlage dafür geschaffen, die europäischen Vorgaben rechtzeitig und zeitnah auch in nationales Recht umzusetzen. Für diese Umsetzung haben die Mitgliedstaaten bis Mai 2018 Zeit. Dabei war die Ausgangsposition hierfür denkbar gut: In Deutschland existiert seit Juli 2015 mit dem IT-Sicherheitsgesetz bereits ein einheitlicher Rechtsrahmen für die Zusammenarbeit von Staat und Unternehmen für mehr Cyber-Sicherheit bei den Kritischen Infrastrukturen (KRITIS). Es schreibt KRITIS-Betreibern vor, IT-Sicherheit nach dem "Stand der Technik" umzusetzen und erhebliche IT-Sicherheitsvorfälle an das BSI zu melden. Der Gesetzesentwurf zur Umsetzung der NIS-Richtlinie erweitert nun die Aufsichts- und Durchsetzungsbefugnisse des BSI gegenüber KRITIS-Betreibern. Gleichzeitig wird die Zusammenarbeit zwischen den Bundesländern und dem BSI gestärkt. Das BSI hat so die Möglichkeit, Länder in Zukunft noch umfassender zu unterstützen und ihnen seine technische Expertise zur Verfügung zu stellen.

Mehr Befugnisse für das BSI

Trotz stärkerer Befugnisse wird sich das BSI dafür einsetzen, dass der im IT-Sicherheitsgesetz verankerte, mit dem UP KRITIS seit 10 Jahren gelebte kooperative Ansatz auch bei der Umsetzung der NIS-Richtlinie weiterverfolgt wird, da die Herausforderungen nur von Staat und Wirtschaft gemeinsam angenommen werden können. Damit wird das BSI seiner Vorreiterrolle in Europa auf dem Gebiet der Cyber-Sicherheit gerecht. Gleichzeitig ergänzt der Gesetzesentwurf das IT-Sicherheitsgesetz sinnvoll. Denn künftig sollen auch Anbieter von digitalen Diensten Mindestanforderungen und Meldepflichten unterliegen. Davon betroffen sind sowohl Online-Marktplätze und -Suchmaschinen als auch Anbieter von Cloud-Computing-Diensten. Das Bundesinnenministerium geht davon aus, dass hierzulande zwischen 500 und 1.500 Unternehmen von der Neuregelung betroffen sind. Das BSI wird künftig als Kontrollinstanz prüfen, ob sie die neuen Auflagen einhalten.

"Die neue NIS-Richtlinie ist ein wichtiger Schritt für mehr Cyber-Sicherheit in Deutschland. Denn mit dem Gesetzesentwurf wird der nächste Schritt nach dem IT-Sicherheitsgesetz unternommen, um einen höheren Schutz für Staat, Wirtschaft und Bevölkerung vor Cyber-Angriffen zu gewährleisten", kommentiert Arne Schönbohm, Präsident des BSI. "Der Gesetzesentwurf muss bis Mai 2018 in nationales Recht umgesetzt werden."

Wie das BSI Unternehmen unterstützt

Die mit dem Internet vernetzten Kritischen Infrastrukturen sind ein Ziel von Cyber-Angriffen. Neben den aus Sicht der Bevölkerung zu vermeidenden Versorgungsausfällen sind allein durch die Ausfallzeiten bei Attacken Schäden in Millionenhöhe nicht auszuschließen. Um Unternehmen künftig noch wirksamer zu unterstützen, richtet das BSI derzeit Mobile Incident Response Teams (MIRTs) ein. Diese Spezial-Taskforces bestehen aus Cyber-Sicherheitsexperten des BSI, die besonders schwerwiegende Cyber-Attacken auf Wunsch der Betreiber vor Ort untersuchen und bei deren Bewältigung helfen. Ein Beispiel wäre ein Cyber-Angriff, der wichtige IT-Steuerungen eines Kraftwerks lahmlegt. Aber auch eine Attacke auf eine Chemieanlage, bei der von einer großen Gefährdung der Bevölkerung auszugehen ist, könnte den Einsatz eines MIRT rechtfertigen.