BSI soll mehr Befugnisse erhalten – und Geschäftsführer absetzen dürfen

Das Bundesinnenministerium hat einen Gesetzesentwurf zur Umsetzung der EU-Netzwerk- und Informationssicherheitsrichtlinie (NIS2) zur Stellungnahme an andere Ressorts und die Bundesregierung weitergegeben. Das „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ soll für einen besseren Schutz kritischer Anlagen und wichtiger Unternehmen sorgen. Vor allem soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr Befugnisse erhalten, wie Heise berichtet.

Die Zahl der Unternehmen, die gewisse Mindestanforderungen für Cybersicherheit und Meldepflichten bei Angriffen erfüllen müssen, soll von aktuell etwa 4.500 auf 29.000 steigen. Besonders wichtige Einrichtungen im Sinne des Gesetzes seien etwa Großunternehmen in den Bereichen Energie, Logistik, Finanz- und Versicherungswesen, Trinkwasser und Abwasser, Telekommunikation sowie Betreiber kritischer Anlagen. Unabhängig von der Größe fallen auch sogenannte Vertrauensdiensteanbieter – etwa solche für digitale Signaturen oder Top-Level-Domains – darunter.

Milliardenkosten für Unternehmen

Auf Bundesebene soll die Rolle eines Chief Information Security Officer (CISO) geschaffen werden, der die IT-Sicherheit überwachen und bei IT-sicherheitsrelevanten Vorhaben Mitspracherecht haben soll. Vor allem aber kommt auf die Unternehmen einiges zu. Das BSI soll bei besonders wichtigen Einrichtungen oder Unternehmen weitreichende Eingriffsmöglichkeiten erhalten.

Die Behörde soll verbindliche Anweisungen erlassen, Maßnahmen anordnen und sogar in die Unternehmensführung eingreifen können. So ist vorgesehen, dass das BSI bei Nichtbefolgung von Anweisungen oder kritischen Problemen der Geschäftsführung vorübergehend die Leitungsaufgaben entziehen kann. „Würde also der Chef eines Mobilfunkanbieters dauerhaft Hardware in seine Netze einbauen lassen, deren Einbau zuvor untersagt wurde, oder ein großer Softwareanbieter als struktureller Schadsoftwareverbreiter auffallen, könnte das BSI direkt eingreifen“, so Heise.

Für die Unternehmen dürfte das neue Gesetz – es muss bis spätestens Oktober 2024 in Kraft treten – teuer werden. Laut Prognose des Innenministeriums werden der Privatwirtschaft einmalig Kosten in Höhe von 1,37 Milliarden Euro entstehen, etwa für die Einführung und Anpassung digitaler Prozessabläufe. Danach sei mit jährlichen Kosten von rund 1,65 Milliarden Euro zu rechnen.