Cyber-Risiko im Visier: Neues Gesetz für 30.000 Unternehmen ab 2026!

Die Bundesregierung plant, 2025 EU-Cybersicherheitsvorschriften für Unternehmen umzusetzen, um kritische Infrastrukturen zu schützen.

Von: NAG Redaktion
Die Bundesregierung plant, 2025 EU-Cybersicherheitsvorschriften für Unternehmen umzusetzen, um kritische Infrastrukturen zu schützen.
Die Bundesregierung plant, 2025 EU-Cybersicherheitsvorschriften für Unternehmen umzusetzen, um kritische Infrastrukturen zu schützen.

Die Bundesregierung plant, einen entscheidenden Schritt zur Verbesserung der Cybersicherheit in Deutschland zu machen. Wie Radio Ennepe Ruhr berichtet, sollen die von der EU beschlossenen Regeln, die darauf abzielen, wichtige Anlagen und Unternehmen vor Cyberangriffen zu schützen, bis Anfang 2026 in nationales Recht umgesetzt werden. Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), äußert die Hoffnung, dass dieses Gesetz bereits Anfang 2026 in Kraft treten kann.

Doch was bedeutet das konkret? Die Umsetzung der europäischen NIS-2-Richtlinie, die seit dem 27. Dezember 2022 in Kraft ist, hat das Ziel, die Cybersicherheit von Unternehmen und Institutionen signifikant zu verbessern. Rund 29.000 Unternehmen, die als besonders wichtig einzustufen sind, werden von den neuen Regelungen betroffen sein. Diese Zahl stellt eine erhebliche Erhöhung dar, denn bislang wurden nur etwa 4.500 Betreiber kritischer Infrastruktur intensiv betreut. Ein „NIS-2-Betroffenheitstest“ wurde bereits online gestellt und hat mittlerweile über 200.000 Abfragen erfahren. Plattner warnt jedoch, dass viele Firmen die neuen Anforderungen noch nicht ernst genug nehmen.

Die Herausforderungen der Umsetzung

Ein großer Punkt ist, dass die Frist zur Umsetzung der NIS-2-Richtlinie eigentlich am 17. Oktober 2024 endete, doch diese wurde von Deutschland und einigen anderen EU-Staaten nicht eingehalten. Fehlende Mehrheiten im Bundestag nach dem Auseinanderbrechen der Ampel-Koalition haben den Verlauf der Gesetzgebung stark verzögert. Vorzeitige Wahlen verhinderten zudem, dass das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) abgeschlossen werden konnte. Die Notwendigkeit, das Tempo für die Umsetzung zu erhöhen, ist somit stark gegeben.

Laut BSI wird durch die NIS-2-Richtlinie die Rolle des BSI gestärkt. Es wird erwartet, dass das Gesetz im Jahr 2025 in Kraft tritt und damit nicht nur EU-Mindeststandards für die Cybersicherheit in die deutsche Gesetzgebung überführt, sondern auch die Zusammenarbeit zwischen Staat und Wirtschaft verbessert. Die Sicherheitsanforderungen werden für Betreiber kritischer Anlagen deutlich angehoben.

Umfang der neuen Regelungen

Zu den betroffenen Sektoren zählen Energie, Verkehr, Telekommunikation, Trinkwasser, Lebensmittelproduktion und Abwasserentsorgung. Die Einführung neuer Kategorien von Einrichtungen fördert die Anpassung an moderne Herausforderungen im Cyberspace. Betreiber kritischer Anlagen müssen alle drei Jahre Nachweise für die Einhaltung der Sicherheitsmaßnahmen erbringen. Des Weiteren müssen sicherheitsrelevante Vorfälle innerhalb von 24 Stunden gemeldet werden, wobei die Sanktionen für Verstöße gegen diese Regelungen von 100.000 bis zu 20 Millionen Euro reichen können, abhängig vom weltweiten Umsatz.

Diese weitreichenden Regelungen sind nötig, um die Funktionsfähigkeit der kritischen Infrastruktur in Deutschland langfristig zu sichern. Wenn alles nach Plan läuft, könnte das NIS-2-UmsG dann wirklich zu einem besseren Schutz vor Cyberattacken führen, wodurch nicht zuletzt auch die Sicherheit der Bevölkerung erheblich gesteigert werden könnte, wie OpenKritis zeigt.

Die Bundesregierung steht vor einer der grundlegendsten Herausforderungen, um die Cybersicherheit in Deutschland endlich auf den neuesten Stand zu bringen. Es wird spannend sein zu beobachten, wie sich die Bürokratie im kommenden Jahr verhält und ob die geplanten Maßnahmen tatsächlich fristgerecht umgesetzt werden können.

Von: NAG Redaktion