Besserer Schutz
BSI soll mehr Durchgriffsmöglichkeiten erhalten
von
dpa - 19.07.2023
Foto: Oliver Berg/dpa
Um einen besseren Schutz kritischer Anlagen und wichtiger Unternehmen vor Cyberangriffen zu erreichen, soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr Durchgriffsmöglichkeiten erhalten.
Das sieht ein Entwurf aus dem Bundesinnenministerium vor, der am Dienstag zur Stellungnahme an die anderen Ressorts der Bundesregierung versendet wurde.
Die zusätzlichen Kosten, die der Wirtschaft durch die darin geforderten Maßnahmen und Meldepflichten entstehen, werden auf jährlich rund 1,65 Milliarden Euro pro Jahr geschätzt. Hinzu kommt für die betreffenden Unternehmen laut Prognose des Ministeriums ein einmaliger Aufwand von insgesamt rund 1,37 Milliarden Euro, vor allem für die Einführung oder Anpassung digitaler Prozessabläufe.
Mit dem geplanten Gesetz wird eine EU-Richtlinie umgesetzt. Das BSI beaufsichtigt derzeit rund 4500 Unternehmen. Die europäische NIS-2-Richtlinie weitet den Kreis der Unternehmen, die Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen müssen, auf schätzungsweise rund 29 000 Unternehmen aus. Als besonders wichtige Einrichtung im Sinne des Gesetzes gelten unter anderem Großunternehmen der Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Trinkwasser, Abwasser und Telekommunikation, sowie Betreiber kritischer Anlagen. Unabhängig von der Größe zählen dazu auch "Top Level Domain Name Registries", also Stellen, die sich um die Registrierung von Internetadressen kümmern. Unter einer Top Level Domain versteht man die Adress-Endung, also etwa ".de" oder ".org".
Bei besonders wichtigen Einrichtungen kann das Bundesamt künftig sogar Menschen, "die als Geschäftsführung oder gesetzliche Vertreter für Leitungsaufgaben in der besonders wichtigen Einrichtung zuständig sind, die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen".
Von Bedeutung ist das geplante Gesetz auch im Zusammenhang mit der Diskussion über den Einbau kritischer Komponenten durch Unternehmen, bei denen eine Einflussnahme durch ausländische Regierungen nicht ausgeschlossen werden kann. Als wichtige Einrichtung im Sinne des Gesetzes gilt auch, wer bestimmte Kriegswaffen herstellt, etwa Raketen oder Kampfpanzer.
Am Montag hatte die Abstimmung der Bundesregierung zum Entwurf für ein sogenanntes KRITIS-Dachgesetz begonnen. Dieses sieht Maßnahmen zur Minimierung von Risiken und bestimmte Meldepflichten vor, um auch jenseits von Cyberangriffen den Schutz von wichtigen Anlagen wie etwa Flughäfen oder Bahnanlagen zu gewährleisten.
Die zusätzlichen Kosten, die der Wirtschaft durch die darin geforderten Maßnahmen und Meldepflichten entstehen, werden auf jährlich rund 1,65 Milliarden Euro pro Jahr geschätzt. Hinzu kommt für die betreffenden Unternehmen laut Prognose des Ministeriums ein einmaliger Aufwand von insgesamt rund 1,37 Milliarden Euro, vor allem für die Einführung oder Anpassung digitaler Prozessabläufe.
Mit dem geplanten Gesetz wird eine EU-Richtlinie umgesetzt. Das BSI beaufsichtigt derzeit rund 4500 Unternehmen. Die europäische NIS-2-Richtlinie weitet den Kreis der Unternehmen, die Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen müssen, auf schätzungsweise rund 29 000 Unternehmen aus. Als besonders wichtige Einrichtung im Sinne des Gesetzes gelten unter anderem Großunternehmen der Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Trinkwasser, Abwasser und Telekommunikation, sowie Betreiber kritischer Anlagen. Unabhängig von der Größe zählen dazu auch "Top Level Domain Name Registries", also Stellen, die sich um die Registrierung von Internetadressen kümmern. Unter einer Top Level Domain versteht man die Adress-Endung, also etwa ".de" oder ".org".
Bei besonders wichtigen Einrichtungen kann das Bundesamt künftig sogar Menschen, "die als Geschäftsführung oder gesetzliche Vertreter für Leitungsaufgaben in der besonders wichtigen Einrichtung zuständig sind, die Wahrnehmung der Leitungsaufgaben vorübergehend untersagen".
Von Bedeutung ist das geplante Gesetz auch im Zusammenhang mit der Diskussion über den Einbau kritischer Komponenten durch Unternehmen, bei denen eine Einflussnahme durch ausländische Regierungen nicht ausgeschlossen werden kann. Als wichtige Einrichtung im Sinne des Gesetzes gilt auch, wer bestimmte Kriegswaffen herstellt, etwa Raketen oder Kampfpanzer.
Am Montag hatte die Abstimmung der Bundesregierung zum Entwurf für ein sogenanntes KRITIS-Dachgesetz begonnen. Dieses sieht Maßnahmen zur Minimierung von Risiken und bestimmte Meldepflichten vor, um auch jenseits von Cyberangriffen den Schutz von wichtigen Anlagen wie etwa Flughäfen oder Bahnanlagen zu gewährleisten.
