Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßt den Entwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes des Bundesministeriums des Innern zur Änderung des IT-Sicherheitsgesetzes. Das Gesetz, das die Anforderungen der NIS-2-Richtlinie der EU umsetzen soll, wird die IT-Sicherheit in Deutschland stärken.
Die NIS-2-Richtlinie der EU vom 14.12.2022 (2022/2555) regelt Maßnahmen zur Verbesserung des Cybersicherheitsniveaus in der Europäischen Union und ändert dazu bestehendes Unionsrecht. Wie die vorhergehende NIS-Richtlinie stellt sie die Basis zur Regulierung der Betreiber Kritischer Infrastrukturen dar. Sie ist als Richtlinie bis zum 17.10.2024 in nationales Recht umzusetzen.
Der Entwurf des "Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG)" verfolgt unter anderem die Ziele:
- Signifikante Ausweitung des Anwendungsbereichs des IT-Sicherheitsgesetzes durch Verpflichtung von "wichtigen Einrichtungen", "besonders wichtigen Einrichtungen" und Betreibern Kritischer Anlagen
- Erhöhung der Cyber-Resilienz
- Umsetzung eines verbesserten einheitlich hohen Cyber-Sicherheitsniveaus
- Verbesserung der Reaktionsfähigkeit durch Förderung des Austausches von Cybersicherheits-Informationen
- Schaffung von Grundlagen für cybersicherheitsrelevante Normen und Verfahren für mögliche Not- und Krisenfälle.
Der Entwurf sieht vor, dass ab 2024 zahlreiche Unternehmen in unterschiedlichsten Sektoren zum Teil bereits ab 50 Mitarbeitern oder 10 Mio. EURO Umsatz die gesetzlichen Maßnahmen zur IT-Sicherheit umsetzen müssen. Darüber hinaus sollen künftig auch Bundeseinrichtungen unter die Regelungen fallen.
TeleTrusT begrüßt die geplante Stärkung der IT-Sicherheit: "Die Ausweitung der gesetzlichen IT-Sicherheitsanforderungen ist überfällig. Angriffe auf IT-Systeme machen weder an Landesgrenzen halt, noch betreffen sie allein Betreiber Kritischer Infrastrukturen", sagt RA Karsten U. Bartels LL.M., stellvertretender TeleTrusT-Vorstandsvorsitzender.
Die Ausweitung des Einsatzes zertifizierter IT-Produkte wird ausdrücklich unterstützt. Zertifizierte und damit durch unabhängige Dritte geprüfte Produkte erhöhen das Sicherheitsniveau. Der Einsatz nachweislich hochwertiger IT-Sicherheits-Lösungen kann zusätzlich auch einen Beitrag leisten, geopolitische Abhängigkeiten zu reduzieren.
"Um die gesamte Wertschöpfung und kritische Dienstleistungen besser zu schützen, ist der Schulterschluss von Wirtschaft, Industrie und Politik erforderlich", sagt Dr. Holger Mühlbauer, Geschäftsführer von TeleTrusT.
Bis zur Verabschiedung des Gesetzes ist die konkrete Ausgestaltung noch zu diskutieren. TeleTrusT bietet an, konstruktive Sachbeiträge zu leisten und als kompetenter Partner Politik und Wirtschaft zu unterstützen.
Die NIS-2-Richtlinie der EU vom 14.12.2022 (2022/2555) regelt Maßnahmen zur Verbesserung des Cybersicherheitsniveaus in der Europäischen Union und ändert dazu bestehendes Unionsrecht. Wie die vorhergehende NIS-Richtlinie stellt sie die Basis zur Regulierung der Betreiber Kritischer Infrastrukturen dar. Sie ist als Richtlinie bis zum 17.10.2024 in nationales Recht umzusetzen.
Der Entwurf des "Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG)" verfolgt unter anderem die Ziele:
- Signifikante Ausweitung des Anwendungsbereichs des IT-Sicherheitsgesetzes durch Verpflichtung von "wichtigen Einrichtungen", "besonders wichtigen Einrichtungen" und Betreibern Kritischer Anlagen
- Erhöhung der Cyber-Resilienz
- Umsetzung eines verbesserten einheitlich hohen Cyber-Sicherheitsniveaus
- Verbesserung der Reaktionsfähigkeit durch Förderung des Austausches von Cybersicherheits-Informationen
- Schaffung von Grundlagen für cybersicherheitsrelevante Normen und Verfahren für mögliche Not- und Krisenfälle.
Der Entwurf sieht vor, dass ab 2024 zahlreiche Unternehmen in unterschiedlichsten Sektoren zum Teil bereits ab 50 Mitarbeitern oder 10 Mio. EURO Umsatz die gesetzlichen Maßnahmen zur IT-Sicherheit umsetzen müssen. Darüber hinaus sollen künftig auch Bundeseinrichtungen unter die Regelungen fallen.
TeleTrusT begrüßt die geplante Stärkung der IT-Sicherheit: "Die Ausweitung der gesetzlichen IT-Sicherheitsanforderungen ist überfällig. Angriffe auf IT-Systeme machen weder an Landesgrenzen halt, noch betreffen sie allein Betreiber Kritischer Infrastrukturen", sagt RA Karsten U. Bartels LL.M., stellvertretender TeleTrusT-Vorstandsvorsitzender.
Die Ausweitung des Einsatzes zertifizierter IT-Produkte wird ausdrücklich unterstützt. Zertifizierte und damit durch unabhängige Dritte geprüfte Produkte erhöhen das Sicherheitsniveau. Der Einsatz nachweislich hochwertiger IT-Sicherheits-Lösungen kann zusätzlich auch einen Beitrag leisten, geopolitische Abhängigkeiten zu reduzieren.
"Um die gesamte Wertschöpfung und kritische Dienstleistungen besser zu schützen, ist der Schulterschluss von Wirtschaft, Industrie und Politik erforderlich", sagt Dr. Holger Mühlbauer, Geschäftsführer von TeleTrusT.
Bis zur Verabschiedung des Gesetzes ist die konkrete Ausgestaltung noch zu diskutieren. TeleTrusT bietet an, konstruktive Sachbeiträge zu leisten und als kompetenter Partner Politik und Wirtschaft zu unterstützen.
