Deutschland beschleunigt Cyber-Sicherheitsgesetzgebung: Zurück in die Zukunft mit der NIS-2-Richtlinie
Die deutsche Regierung plant die zügige Umsetzung einer EU-Richtlinie, um bedeutende Betriebe und Institutionen bis 2026 vor Cyberangriffen zu schützen. Claudia Plattner, die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), unterstreicht den derzeitigen Eifer des Bundesinnenministeriums, dieses Ziel zu erreichen. Ziel ist es, Anfang 2026 die Richtlinie NIS-2 in nationales Recht zu übertragen, die eine Verpflichtung zur Risikoanalyse und Meldung von Sicherheitsvorfällen beinhaltet.
Im Juli wurden bereits die betroffenen Bundesländer und Verbände konsultiert, wie das Innenministerium verlauten ließ. Plattner drängt darauf, die Dringlichkeit dieser Maßnahmen zu erkennen. Die Umsetzung der europäischen NIS-2-Richtlinie zielt darauf ab, die Cybersicherheit über Sektoren wie Energie, Verkehr, Wasser und Lebensmittelproduktion zu stärken. Sollte die Arbeitsfähigkeit dieser kritischen Infrastrukturen durch Hackerangriffe gefährdet werden, wären die Auswirkungen auf die Bevölkerung erheblich.
Rund 29.000 Unternehmen werden von den neuen Sicherheitsvorgaben betroffen sein, weit mehr als die bisher rund 4.500 Betreiber kritischer Infrastruktur. Doch noch immer hätten nicht alle Unternehmen diese Anforderungen vollständig auf dem Radar, betont Plattner. Die Frist für die nationale Umsetzung der NIS-2-Richtlinie ist bereits im Oktober 2024 abgelaufen. Obwohl der Gesetzentwurf im Juli 2024 beschlossen wurde, verhinderte das Ende der Regierungskoalition von SPD, Grünen und FDP eine rechtzeitige Verabschiedung.
Plattner fordert nun, die Gesetzesumsetzung energisch voranzutreiben, um im Nachhinein bei Bedarf Anpassungen vornehmen zu können. Das BSI warnt vor stetigen Hackerangriffen auf Unternehmen, Behörden und politische Institutionen. Besonders besorgniserregend sind sogenannte Lieferketten-Angriffe, bei denen IT-Firmen und Ingenieurbüros als indirektes Ziel dienen.
Plattner weist auf die komplexen Bedrohungsszenarien hin, in denen kriminelle und möglicherweise staatlich motivierte Akteure zusammenwirken. Zuletzt kam es zu einem massiven IT-Zusammenbruch beim Gesundheitskonzern Ameos, und in Sachsen-Anhalt führten prorussische Hacker zu kurzzeitigen Störungen auf Ministeriumswebsites.
