Quelle: Pixabay / Elchinator
IT:
Kabinett beschließt strengere Regeln für Cybersicherheit
Energieversorger, Verkehrsunternehmen und andere wichtige Einrichtungen sollen sich bestmöglich gegen Hackerangriffe schützen. Vorgaben macht ein Gesetzentwurf.
Das Bundeskabinett hat strengere Regeln für den Schutz kritischer Anlagen und wichtiger Unternehmen vor Cyberangriffen beschlossen.
Mit dem geplanten Gesetz wird die europäische NIS-2-Richtlinie umgesetzt. Als besonders wichtige Einrichtung im Sinne des
Gesetzes gelten unter anderem Großunternehmen der Sektoren Energie, Transport und Verkehr, Trinkwasser, Abwasser und Telekommunikation.
Die Pflicht zur Umsetzung bestimmter Sicherheitsmaßnahmen zur Abwehr und Bewältigung von Cyberangriffen soll künftig rund 29.500 Unternehmen betreffen und damit deutlich mehr als bisher. „Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind“, sagte Bundesinnenministerin Nancy Faeser (SPD).
Zudem soll der Instrumentenkasten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert werden − auch was die Möglichkeit betrifft, Bußgelder zu verhängen. Im Gesetzentwurf heißt es beispielsweise, während eines erheblichen Sicherheitsvorfalls könne das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern kritischer Anlagen die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen. BSI-Präsidentin Claudia Plattner betonte jedoch, das BSI wolle die betroffenen Unternehmen generell „bestmöglich unterstützen und die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten“.
Fragenkatalog zur Betroffenheit veröffentlicht
Zu den Anforderungen an die Unternehmen zählen laut Innenministerium unter anderem Risikoanalysekonzepte, ein Backup-Management, Maßnahmen zur Aufrechterhaltung des Betriebs sowie Konzepte zum Einsatz von Verschlüsselung.
Schon jetzt müssen Unternehmen Cybersicherheitsvorfälle an das BSI melden. Künftig soll es ein dreistufiges Meldesystem geben: Eine erste Meldung binnen 24 Stunden, ein Update innerhalb von 72 Stunden sowie einen Abschlussbericht, der binnen eines Monats übermittelt werden muss. Damit Unternehmen prüfen können, ob sie von der geplanten Änderung, die noch vom Bundestag gebilligt werden muss, betroffen sind, hat das BSI einen Fragenkatalog dazu veröffentlicht.
Was noch aussteht, ist das im Koalitionsvertrag von SPD, Grünen und FDP vereinbarte „Kritis-Dachgesetz“. Es soll Vorgaben für einen besseren physischen Schutz wichtiger Einrichtungen beinhalten. Hierzu hatte das Innenministerium bereits im Dezember 2022 Eckpunkte vorgelegt.
Verbände sehen Nachbesserungsbedarf
Der BDEW begrüßte die Verabschiedung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) als „wichtigen Schritt zur Stärkung der Cybersicherheit“ Allerdings seien die Regelungen, die sich auf das EnWG beziehen immer noch schwer verständlich − insbesondere für die Querverbundunternehmen, die sowohl die Energie- als auch die Wasserversorgung sicherstellen. „Hier sollte zwingend nachgebessert werden, um verständliche und stringente Regelungen für die Energie- und Wasserwirtschaft zu schaffen. Diese Harmonisierung muss auch im Hinblick auf eine maximale Verzahnung der NIS2-Umsetzung mit dem KRITIS-Dachgesetz im Blick behalten werden“, ließ sich die Vorsitzende der BDEW-Hauptgeschäftsführung, Kerstin Andreae, zitieren.
Weiterhin solle schnellstmöglich eine politische und unbürokratische Lösung für den Einsatz kritischer Komponenten gefunden werden. Als Blaupause hierfür könne die gerade gefundene politische Lösung im Sektor Telekommunikation dienen.
Auch Ingbert Liebing, VKU-Hauptgeschäftsführer kritisiert die vorgesehenen Verfahren zu den kritischen Komponenten, „die nun vom Bundesinnenministerium in einer Einzelfallprüfung auf Herz und Nieren geprüft werden. Hunderte Unternehmen, tausende Einzelfallprüfungen: Wir bezweifeln stark, dass ein solches Verfahren für das Bundesinnenministerium personell machbar ist, zumal sich reguläre Beschaffungsprozesse verzögern würden, defekte Komponenten könnten nicht mehr so schnell ausgetauscht werden.“
Auch die Einstufung der Unternehmen anhand von Mitarbeiterzahl und Umsatz − und nicht anhand der tatsächlichen Bedeutung für die Versorgungssicherheit − sieht der VKU nach wie vor kritisch: „Die strengen Regeln gelten dann für die Anlagensteuerung bis hin zur Office IT. Umsetzungskosten spielen offenbar keine Rolle, Umsetzungsfristen sind nicht vorgesehen. Das könnte in Summe eine toxische Kombination sein. Im schlimmsten Fall droht das Gesetz zum Bumerang für Cyber-Sicherheit werden, wenn nämlich Ressourcen für IT-Sicherheit über das gesamte Unternehmen allokiert werden müssen statt wie bisher zielgerichtet in die wirklich kritischen Bereiche fließt“, wiederholte Liebing seine bereits zuvor geäußerten Bedenken.
Die Pflicht zur Umsetzung bestimmter Sicherheitsmaßnahmen zur Abwehr und Bewältigung von Cyberangriffen soll künftig rund 29.500 Unternehmen betreffen und damit deutlich mehr als bisher. „Mit unserem Gesetz erhöhen wir den Schutz vor Cyberangriffen, egal ob sie staatlich gelenkt oder kriminell motiviert sind“, sagte Bundesinnenministerin Nancy Faeser (SPD).
Zudem soll der Instrumentenkasten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert werden − auch was die Möglichkeit betrifft, Bußgelder zu verhängen. Im Gesetzentwurf heißt es beispielsweise, während eines erheblichen Sicherheitsvorfalls könne das Bundesamt im Einvernehmen mit der jeweils zuständigen Aufsichtsbehörde des Bundes von den betroffenen Betreibern kritischer Anlagen die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen. BSI-Präsidentin Claudia Plattner betonte jedoch, das BSI wolle die betroffenen Unternehmen generell „bestmöglich unterstützen und die Umsetzung der gesetzlichen Vorgaben so reibungslos wie möglich gestalten“.
Fragenkatalog zur Betroffenheit veröffentlicht
Zu den Anforderungen an die Unternehmen zählen laut Innenministerium unter anderem Risikoanalysekonzepte, ein Backup-Management, Maßnahmen zur Aufrechterhaltung des Betriebs sowie Konzepte zum Einsatz von Verschlüsselung.
Schon jetzt müssen Unternehmen Cybersicherheitsvorfälle an das BSI melden. Künftig soll es ein dreistufiges Meldesystem geben: Eine erste Meldung binnen 24 Stunden, ein Update innerhalb von 72 Stunden sowie einen Abschlussbericht, der binnen eines Monats übermittelt werden muss. Damit Unternehmen prüfen können, ob sie von der geplanten Änderung, die noch vom Bundestag gebilligt werden muss, betroffen sind, hat das BSI einen Fragenkatalog dazu veröffentlicht.
Was noch aussteht, ist das im Koalitionsvertrag von SPD, Grünen und FDP vereinbarte „Kritis-Dachgesetz“. Es soll Vorgaben für einen besseren physischen Schutz wichtiger Einrichtungen beinhalten. Hierzu hatte das Innenministerium bereits im Dezember 2022 Eckpunkte vorgelegt.
Verbände sehen Nachbesserungsbedarf
Der BDEW begrüßte die Verabschiedung des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) als „wichtigen Schritt zur Stärkung der Cybersicherheit“ Allerdings seien die Regelungen, die sich auf das EnWG beziehen immer noch schwer verständlich − insbesondere für die Querverbundunternehmen, die sowohl die Energie- als auch die Wasserversorgung sicherstellen. „Hier sollte zwingend nachgebessert werden, um verständliche und stringente Regelungen für die Energie- und Wasserwirtschaft zu schaffen. Diese Harmonisierung muss auch im Hinblick auf eine maximale Verzahnung der NIS2-Umsetzung mit dem KRITIS-Dachgesetz im Blick behalten werden“, ließ sich die Vorsitzende der BDEW-Hauptgeschäftsführung, Kerstin Andreae, zitieren.
Weiterhin solle schnellstmöglich eine politische und unbürokratische Lösung für den Einsatz kritischer Komponenten gefunden werden. Als Blaupause hierfür könne die gerade gefundene politische Lösung im Sektor Telekommunikation dienen.
Auch Ingbert Liebing, VKU-Hauptgeschäftsführer kritisiert die vorgesehenen Verfahren zu den kritischen Komponenten, „die nun vom Bundesinnenministerium in einer Einzelfallprüfung auf Herz und Nieren geprüft werden. Hunderte Unternehmen, tausende Einzelfallprüfungen: Wir bezweifeln stark, dass ein solches Verfahren für das Bundesinnenministerium personell machbar ist, zumal sich reguläre Beschaffungsprozesse verzögern würden, defekte Komponenten könnten nicht mehr so schnell ausgetauscht werden.“
Auch die Einstufung der Unternehmen anhand von Mitarbeiterzahl und Umsatz − und nicht anhand der tatsächlichen Bedeutung für die Versorgungssicherheit − sieht der VKU nach wie vor kritisch: „Die strengen Regeln gelten dann für die Anlagensteuerung bis hin zur Office IT. Umsetzungskosten spielen offenbar keine Rolle, Umsetzungsfristen sind nicht vorgesehen. Das könnte in Summe eine toxische Kombination sein. Im schlimmsten Fall droht das Gesetz zum Bumerang für Cyber-Sicherheit werden, wenn nämlich Ressourcen für IT-Sicherheit über das gesamte Unternehmen allokiert werden müssen statt wie bisher zielgerichtet in die wirklich kritischen Bereiche fließt“, wiederholte Liebing seine bereits zuvor geäußerten Bedenken.
dpa / Katia Meyer-Tien
© 2024 Energie & Management GmbH
Mittwoch, 24.07.2024, 18:03 Uhr
Mittwoch, 24.07.2024, 18:03 Uhr
teilen
teilen
teilen
teilen
Mehr zum Thema
Kooperation im Ostseeraum für die Energiewende
