Die Rolle des BSI bei der Umsetzung der NIS2-Richtlinie

Bereits das IT-Sicherheitsgesetz 2.0 von 2021 definierte das Bundesamt für Sicherheit und Informationstechnik (BSI) als zentrales Kompetenzzentrum für die Informationssicherheit in der Bundesrepublik. Auch bei der Umsetzung der europäischen NIS2-Richtlinie in Deutschland spielt das BSI eine Schlüsselrolle. Die Richtlinie soll kritische Infrastrukturen und digitale Dienste innerhalb der EU besser schützen und widerstandsfähiger machen.  

Unternehmen und Behörden müssen deshalb gemäß NIS2 unter Aufsicht des BSI bestimmte Anforderungen an die Cybersicherheit erfüllen. Der kooperative Ansatz setzt auf die Zusammenarbeit von Wirtschaft und EU-Staaten, um Cyberkriminalität zu bekämpfen. Erfahren Sie hier, wie das BSI die Einhaltung von NIS2 überwacht und Verstöße ahndet. 

Was ist das BSI?

Seit dem 1. Januar 1991 befasst sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der IT- und Cybersicherheit in Deutschland. Das BSI ist dem Bundesinnenministerium unterstellt und soll den sicheren Einsatz von Informations- und Kommunikationstechnik ermöglichen und fördern. Dementsprechend fungiert das BSI auch als Ansprechpartner und Berater für Informationssicherheit – egal ob für die Wirtschaft, Wissenschaft oder Bürgerinnen und Bürger.  

Wenn es in der Bundesverwaltung zu Vorfällen in der IT-Sicherheit kommt, dient das BSI als zentrale Meldestelle. Außerdem schützt es kritische Infrastrukturen (KRITIS) unter anderem über Mobile Incident Response Teams (MIRTs) und unterstützt bei der Bewältigung von IT-Krisen von nationaler Bedeutung.  

Die beiden IT-Sicherheitsgesetze von 2015 und 2021 haben die Kompetenzen des BSI gestärkt und erweitert, zuletzt nach dem IT-Sicherheitsgesetz 2.0 in folgenden Punkten: 

  1. Detektion von Sicherheitslücken und Abwehr von Cyberangriffen
  2. Regelungen und Zertifizierung für die Cybersicherheit in Mobilfunknetzen 
  3. Digitaler Verbraucherschutz (DVS) und Information der Verbraucher über eine unabhängige und neutrale Beratung sowie Warnungen auf Bundesebene 
  4. Unterstützung der IT-Sicherheit in kritischen Infrastrukturen und Unternehmen 

Darüber hinaus wird das BSI nach § 9a Absatz 1 die Nationale Behörde für Cybersicherheitszertifizierung nach EU-Cybersecurity Act (CSA).  

Welche Rolle spielt das BSI bei der Umsetzung der NIS2-Richtlinie?

In diesem Sinne übernimmt das BSI auch im Zuge von NIS2 besondere Aufgaben und Befugnisse. Es überwacht beispielsweise die Einhaltung der Richtlinie, bewertet das Cyberrisiko für KRITIS-Organisationen, soll deren IT-Sicherheit verbessern und berät Unternehmen. Das BSI ist auch dafür verantwortlich, zwischen Behörden, Wirtschaft und Sanktionen zu koordinieren.  

Damit die Aufgaben des BSI unter NIS2 konkretisiert werden können, steht noch die Verabschiedung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes aus. Im Juli 2024 wurde das Gesetz vom Kabinett beschlossen, bis März 2025 soll es alle Instanzen der Gesetzgebung durchlaufen haben und in Kraft treten.  

Die aktuelle Fassung sieht eine weitere Ausweitung der Kompetenzen vor, damit das BSI die von NIS2 geforderten Aufsichtsmaßnahmen erfüllen kann. Diverse Artikel befassen sich dabei direkt mit dem BSI:  

  1. Artikel 1: Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz –BSIG) 
  2. Artikel 8: Änderung der BSI-Zertifizierungs- und Anerkennungsverordnung 
  3. Artikel 9: Änderung der BSI IT-Sicherheitskennzeichenverordnung 
  4. Artikel 30: Weitere Änderung des BSI-Gesetzes 

Insgesamt wird das BSI die Rahmenbedingungen und Mindestanforderungen für bestimmte Anforderungen nach NIS2 sowie Bildungsmaßnahmen festlegen und überwachen – beispielsweise für die strikte Meldepflicht bei IT-Sicherheitsvorfällen.  

Überwachung und Durchsetzung 

Die Überwachung und Durchsetzung der von NIS2 geforderten Maßnahmen zählt zu den wichtigsten Aufgaben des BSI für die Umsetzung der Richtlinie. Das bedeutet, dass das BSI die Einhaltung von NIS2 kontrolliert und sie bei Missachtung über Sanktionen durchsetzt. 

Das bedeutet de facto, dass das BSI nach NIS2 künftig die Aufsicht über etwa 29.000 Unternehmen übernimmt. Sie alle müssen die geforderten Mindestanforderungen für die Cybersicherheit erfüllen und Cybervorfälle melden. Derzeit überwacht das BSI rund 4.500 KRITIS-Organisationen. Mit NIS2 nimmt das BSI demnach eine Schlüsselrolle für die Cybersicherheit von Unternehmen in Deutschland ein.  

Wenn Sie sich nicht sicher sind, ob Ihr Unternehmen von NIS2 betroffen ist oder nicht und welche Maßnahmen für eine ausreichende Cybersicherheit erforderlich sind, helfen Ihnen unsere NIS2-Checkliste und NIS2-Eigenbewertung weiter.  

Bußgelder bei Verstößen

Der Spitzensatz für Bußgelder, die das BSI nach NIS2-Umsetzungsgesetz verhängen kann, liegt bei:  

  1. Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für besonders wichtige Einrichtungen 
  2. Bis zu 7 Millionen Euro oder 1,4 % des weltweiten Jahresumsatzes für wichtige Einrichtungen 

Insgesamt ist der Bußgeldkatalog in fünf Stufen gestaffelt, die maximalen Beträge für Strafen liegen abhängig von der Art und Schwere des Verstoßes bei den übrigen vier Stufen zwischen 100.000 Euro und 2 Millionen Euro. Wie bei Sanktionen üblich sollen sie die Unternehmen dazu anregen, sich mit angemessenen Cybersicherheitsmaßnahmen an die NIS2-Richtline zu halten und Verstöße zu vermeiden.  

Welche Befugnisse hat das BSI bei der Umsetzung der NIS2-Richtlinie?

Abgesehen von Sanktionen in Form von Bußgeldern verleiht die Umsetzung der NIS2-Richtlinie dem BSI weitere Befugnisse für die Aufsicht und Durchsetzung. Unter bestimmten Umständen hat das Ministerium auch direkten Einfluss auf Unternehmen 

BSI kann Geschäftsführer abberufen

Das NIS2-Umsetzungsgesetz spricht dem BSI bei Verstößen auch das Recht zu, als letztes Mittel in den Betrieb besonders wichtiger Einrichtungen einzugreifen. Das Bundesamt soll kritische Anlagen besser schützen können, wenn diese den Anordnungen des BSI nach NIS2 trotz Fristsetzung nicht nachkommen. In diesem Fall kann das Bundesamt ihnen vorübergehend Genehmigungen entziehen oder der Geschäftsleitung ihre Tätigkeit untersagen 

Das BSI übernimmt also die Rolle einer Prüfbehörde, die Meldepflichten durchsetzen, Maßnahmen anordnen und verbindliche Anweisungen erlassen kann. Dadurch soll das Bundesamt bei schwerwiegenden Verstößen gegen die Cybersicherheit schneller einschreiten können.  

Kurze Meldefristen für KMU

Die NIS2-Richtlinie verlangt von wichtigen und besonders wichtigen Unternehmen und Organisationen nicht nur die Implementierung von angemessenen IT-Sicherheitsmaßnahmen. Sie müssen außerdem erhebliche IT-Sicherheitsvorfälle innerhalb von 24 Stunden melden. Dafür richten das BSI und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eine gemeinsame Meldestelle ein.  

Besonders für kleine und mittlere Unternehmen oder in Branchen mit begrenzten Ressourcen oder Fachkräftemangel kann das zur organisatorischen und personellen Herausforderung werden. Im Gegensatz zu großen kritischen ist es für kleinere Unternehmen oft schwierig, in so kurzer Zeit zu handeln.  

Zusammenfassung

Schon vor NIS2 war das BSI dafür zuständig, die Cybersicherheit in Deutschland zu gewährleisten und fungiert bereits als zentrale Meldestelle für IT-Sicherheitsvorfälle. Das NIS2-Umsetzungsgesetz wird dem BSI weitere Befugnisse zuschreiben. Es überwacht und berät künftig mehr Unternehmen und Organisationen der kritischen Infrastrukturen und kann sie bei Verstößen gegen die NIS2-Richtlinie sanktionieren.  

Dabei steigt auch die Höhe der Bußgelder, die das BSI unter dem NIS2-Umsetzungsgesetz verhängen kann, damit sich Unternehmen möglichst an die Sicherheitsanforderungen halten. Außerdem kann das Bundesamt die Geschäftsleitung einer besonders wichtigen Einrichtung abbestellen, wenn diese geforderte Maßnahmen nicht umsetzt. Insgesamt verfolgt das BSI im Zuge von NIS2 aber einen kooperativen Ansatz bei der Bekämpfung von Cyberkriminalität und setzt darauf, dass Wirtschaft und Gesetzgeber zusammenarbeiten. 

FAQ zu BSI und NIS2

Wird es im Vergleich zwischen Deutschland und anderen Ländern große Unterschiede bei der Umsetzung von NIS2 geben?

Zwar haben einige EU-Staaten bereits Gesetze verabschiedet und in anderen befindet sich der Prozess noch im Anfangsstadium. Trotzdem lässt sich schon jetzt sagen, dass die einzelnen Mitgliedstaaten NIS2 in vielen Details anders umsetzen. Sie definieren beispielsweise Sektoren und Stellen unterschiedlich und legen auch die Pflichten auf verschiedene Weise aus. Beispielsweise gibt es Länder, die Audit-Verpflichtungen den Betreibern zuweisen, andere verpflichten Behörden oder erfüllen die Anforderung gar nicht.  

Gibt es eine Checkliste, mit der ich prüfen kann, ob mein Unternehmen betroffen ist?

Mit der NIS2-Checkliste und der NIS2-Eigenbewertung von Nexus können Sie bequem prüfen, ob Ihr Unternehmen von der Richtlinie betroffen ist und wie es um die Cybersicherheit Ihres Unternehmens steht.  

Auf welcher Grundlage baut Nexus seine lokale PKI-Infrastruktur auf?

Die Smart ID PKI von Nexus baut auf zertifikatsbasierte, kryptografisch sichere und fälschungssichere Identitäten. Diese ermöglichen eine starke Authentifizierung und sorgen für eine sichere Verschlüsselung und besseren Datenschutz. Das sorgt nicht nur für die nötige Datenintegrität für Ihr Unternehmen, sondern unterstützen auch die mit NIS2 erforderliche Compliance.  

 

Published 3 Oktober, 2024

Diese Website verwendet Cookies

Cookies sind kleine Textdateien, die Daten enthalten, welche auf Ihrem Gerät gespeichert werden. Für das Speichern bestimmter Arten von Cookies ist Ihre Einwilligung erforderlich. - Bei „“ verwenden wir folgende Arten von Cookies. Mehr darüber, welche Cookies wir verwenden und wie lange diese gespeichert werden, erfahren Sie, in unserer Cookie-Richtlinie.

Cookie-Einstellungen bearbeiten

Erforderliche Cookies

Erforderliche Cookies sind solche Cookies, die gespeichert werden müssen, damit die grundlegenden Funktionen der Website gewahrt bleiben. Grundlegende Funktionen sind zum Beispiel die Verwendung der Menüs und die Navigation auf der Seite.

Funktionale Cookies

Funktionale Cookies müssen für eine Website gespeichert werden, damit diese entsprechend Ihren Erwartungen funktioniert. Dazu gehört unter anderem die von Ihnen bevorzugte Sprache oder das Erkennen, ob Sie angemeldet sind oder nicht. Sie sorgen zudem für die Sicherheit der Website, erinnern sich an Anmeldedaten oder ermöglichen, dass Sie auf der Website die Produkte entsprechend Ihren Wünschen sortieren.

Statistik-Cookies

Damit wir Ihre Interaktion auf der Website messen können, speichern wir Statistik-Cookies. Diese anonymisieren die personenbezogenen Daten.

Cookies für das Ad-Tracking

Damit wir Ihnen einen besseren Service und eine bessere Wahrnehmung beim Besuch der Website ermöglichen können, speichern wir Cookies, die passende Werbung bereitstellen. Sie ermöglichen außerdem, Produkte und Serviceleistungen zu bewerben, kundenspezifische Angebote bereitzustellen und Empfehlungen auszusprechen, die sich an früher erworbenen Produkten orientieren.