Die Bundesagentur für Arbeit investiert 2025 fast eine Milliarde Euro in die Digitalisierung. Sie setzt verstärkt auf KI und Automatisierung, im Fokus ist aber auch die Cybersicherheit.
Von Okan Bellikli
Ob die Gesetze zum analogen und digitalen Schutz kritischer Infrastruktur trotz Ampel-Aus noch in dieser Legislatur umgesetzt werden können, ist derzeit fraglich. Eine Möglichkeit könnte sein, umstrittene Fragen vorerst auszuklammern.
Von Wilhelmine Stenglin
Bei einer öffentlichen Anhörung zur Umsetzung der EU-Richtlinie NIS-2 im Deutschen Bundestag kritisierten Experten die Ausnahmen für bestimmte Ministerien und Bundesbehörden von den neuen Anforderungen für die Cybersicherheit.
Von Wilhelmine Stenglin
Die Kommission legt fest, wie die Cybersicherheitsrichtlinie NIS2 durchgeführt werden soll. Doch die Länder sind bei der Umsetzung im Verzug.
Von Corinna Visser
Der Bundestag befasst sich heute mit dem Gesetzentwurf der Bundesregierung für die Umsetzung der EU-Cybersicherheitsrichtlinie NIS-2. Änderungswünsche kommen von der Opposition, ebenso wie von Cybersicherheits-Experten und Abgeordneten der Ampel.
Von Wilhelmine Stenglin
Der Bundesrat muss dem Umsetzungsgesetz der EU-Cybersicherheitsrichtlinie NIS-2 nicht zustimmen, damit es in Kraft treten kann. Aber die Interessen der Länder dürften trotzdem Einfluss haben. Heute stimmt der Bundesrat über seine Position ab.
Von Wilhelmine Stenglin
Die wachsende Gefahr chinesischer Cyberangriffe auf deutsche Einrichtungen sorgt das Bundesamt für Verfassungsschutz. In einer ausführlichen Analyse geleakter Datensätze beschreibt die Behörde jetzt die enge Verknüpfung der chinesischen Regierung mit privaten Hackerfirmen und hofft hierzulande auf deutlich größere Wachsamkeit.
Von Wilhelmine Stenglin
Die EU-Kommission weist Kritik zurück, wonach sie die Sicherheitslücken bei Microsoft begünstigt habe. Sie selbst sei von der Microsoft-Panne nicht betroffen gewesen.
Von Corinna Visser
Bis Mitte Oktober muss die Bundesregierung die Cybersicherheitsrichtlinie NIS2 der EU in nationales Recht umsetzen. Dazu hat das Kabinett jetzt seinen Entwurf vorgelegt. Industrieverbände und Parlamentarier sehen Nachbesserungsbedarf.
Von Wilhelmine Stenglin
Die sich verschärfende digitale Abhängigkeit Europas von Technologien aus den USA und China macht ein Umdenken in der europäischen Digitalpolitik erforderlich. BITMi-Präsident Oliver Grün, erklärt die notwendigen Schritte und welche Rolle der IT-Mittelstand dabei spielt.
Von Experts Table.Briefings
Die NIS2-Richtlinie, die Nachfolgeregelung der ersten EU-Richtlinie zu Netz- und Informationssicherheit (NIS), soll den hohen Anforderungen begegnen, die durch die zunehmende Digitalisierung und die wachsende Bedrohung durch Cyberangriffe an die Sicherheit kritischer Infrastrukturen in Europa gestellt werden. Lesen Sie hier alles über die zentralen Aspekte der NIS2, ihre Anforderungen und die Umsetzung in Deutschland von der Table.Briefings-Redaktion.
Die
NIS2
-Richtlinie ist ein Rechtsrahmen der Europäischen Union, der die Cybersicherheit von Unternehmen und Organisationen in den Mitgliedstaaten verbessern soll. Sie trat am 27. Dezember 2022 in Kraft und musste bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden. Ziel der Richtlinie ist es, die Widerstandsfähigkeit kritischer Infrastrukturen zu stärken und europaweit einheitliche Sicherheitsstandards zu schaffen.Im Vergleich zur Vorgängerregelung erweitert die
NIS2-Richtlinie
den Anwendungsbereich deutlich. So fallen nun mehr Unternehmen und Branchen unter die Regelungen, und die Anforderungen an Cybersicherheitsmaßnahmen wurden verschärft.
Zu den zentralen Fragen im Zusammenhang mit der
NIS2
-Richtlinie gehört die Bestimmung der betroffenen Einrichtungen. Die Richtlinie differenziert dabei zwischen wesentlichen und wichtigen Einrichtungen.
Wesentliche Einrichtungen: Dazu zählen beispielsweise Betreiber kritischer Infrastrukturen wie Energieversorger, Gesundheitsdienstleister, Finanzinstitutionen und Verkehrsbetriebe.
Wichtige Einrichtungen: Hierunter fallen u. a. Anbieter digitaler Dienstleistungen, Chemieunternehmen, Lebensmittelproduzenten und Unternehmen im Bereich des Abfallmanagements.
Ein entscheidender Punkt ist, dass die Größe eines Unternehmens ausschlaggebend sein kann. Unternehmen, die mehr als 50 Mitarbeiter oder einen Jahresumsatz von über 10 Millionen Euro haben, müssen die
NIS2
und ihre
Anforderungen
umsetzen. Kleinere Unternehmen sind nur dann betroffen, wenn sie in einer kritischen Branche tätig sind. Darüber hinaus rücken Lieferketten und Drittanbieter ebenfalls in den Fokus. Unternehmen müssen sicherstellen, dass auch ihre Dienstleister angemessene Sicherheitsmaßnahmen implementiert haben. Die Bedeutung einer durchgängigen Sicherheitsstrategie entlang der gesamten Wertschöpfungskette wird damit unterstrichen.
Die Anforderungen der
NIS2
-Richtlinie sind umfassend und betreffen verschiedene Bereiche der Cybersicherheit. Zu den zentralen Vorgaben gehören:
Risikomanagement: Unternehmen müssen ein effektives Risikomanagement für IT- und OT-Systeme implementieren. Dazu gehört die Identifizierung potenzieller Schwachstellen sowie die Entwicklung von Strategien zur Risikominderung.
Vorfallmeldung: Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Bereitstellung wesentlicher Dienste haben, müssen innerhalb von 24 Stunden gemeldet werden. Ein detaillierter Bericht ist innerhalb von 72 Stunden nachzureichen.
Audits und Überprüfungen: Unternehmen sind verpflichtet, regelmäßige Audits durchzuführen, um die Wirksamkeit ihrer Sicherheitsmaßnahmen zu überprüfen.
Sanktionen: Bei Verstoß gegen die Vorgaben drohen erhebliche Strafen. Die Höhe der Geldbußen kann bis zu 2 % des weltweiten Jahresumsatzes betragen.
Sensibilisierung und Schulung: Unternehmen müssen ihre Mitarbeitenden regelmäßig zu Cybersicherheitsrisiken schulen, um ein hohes Bewusstsein für Sicherheitsfragen zu schaffen.
Berichtspflichten: Neben der Vorfallmeldung müssen Unternehmen jährliche Berichte zu ihren Sicherheitsmaßnahmen und potenziellen Risiken erstellen. Diese Berichte dienen als Grundlage für die Überprüfungen durch die zuständigen Behörden.
Das
NIS2-Umsetzungsgesetz
ist die nationale Umsetzung der EU-Richtlinie in deutsches Recht, ein entsprechender
Referentenentwurf
wurde bereits vorgelegt. Ziel ist es, die Anforderungen der
NIS2
in das deutsche IT-Sicherheitsgesetz zu integrieren und dabei die Besonderheiten des deutschen Marktes zu berücksichtigen. Der Entwurf sieht vor, dass die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Aufsichtsbehörden fungieren. Sie übernehmen die Aufgabe, die Einhaltung der Vorschriften zu überwachen und Unternehmen bei der Umsetzung zu unterstützen. Darüber hinaus soll das Umsetzungsgesetz klare Vorgaben für die Verantwortlichkeiten innerhalb der Unternehmen definieren. So wird beispielsweise erwartet, dass ein Chief Information Security Officer (CISO) benannt wird, der direkt an die Geschäftsleitung berichtet.
Die EU-Mitgliedstaaten waren verpflichtet, die
NIS2-Richtlinie
bis zum 18. Oktober 2024 in nationales Recht umzusetzen. Das Inkrafttreten des
NIS2
-Umsetzungsgesetzes war in
Deutschland
für denselben Zeitraum erwartet worden. Vor diesem Hintergrund sollten sich Unternehmen auf die zu erwartenden Änderungen einstellen und gegebenenfalls zeitnah die nötigen Anpassungen vornehmen. Ein früher Start in die Vorbereitung bietet Vorteile: Unternehmen können frühzeitig Lücken in ihrer Sicherheitsarchitektur identifizieren und gezielt schließen. Dadurch lassen sich nicht nur Compliance-Risiken minimieren, sondern auch die Resilienz gegenüber Cyberbedrohungen steigern.
Die Umsetzung der
NIS2-Anforderungen
stellt viele Unternehmen vor erhebliche Herausforderungen. Dazu gehören:
Komplexität der Anforderungen: Die Vielzahl der Vorgaben erfordert ein umfassendes Verständnis von Cybersicherheit und Risikomanagement.
Ressourcenbedarf: Die Umsetzung der Richtlinie kann erhebliche personelle und finanzielle Ressourcen binden.
Koordination innerhalb der Lieferkette: Unternehmen müssen sicherstellen, dass auch ihre Partner und Zulieferer die Sicherheitsstandards einhalten.
Technologischer Wandel: Die schnelle Entwicklung von Technologien kann es erschweren, Sicherheitsmaßnahmen auf dem neuesten Stand zu halten.
Die
NIS2-Richtlinie
ist von entscheidender Bedeutung für die Stärkung der Cybersicherheit in Europa. Sie erweitert den Anwendungsbereich, verschärft die Anforderungen und legt hohen Wert auf die Zusammenarbeit zwischen Unternehmen und Behörden. Zudem werden verstärkte Maßnahmen zur Risikobewertung und Vorfallserkennung gefordert, um Angriffe frühzeitig zu erkennen und abzuwehren. Für Unternehmen in Deutschland ist es von entscheidender Bedeutung, sich eingehend mit dem
NIS2-Umsetzungsgesetz
auseinanderzusetzen. Dadurch können sie regulatorische Risiken verringern und ihre Resilienz gegenüber Cyberbedrohungen langfristig stärken. Ein vorausschauender Ansatz bei der Umsetzung von Sicherheitsmaßnahmen kann sich langfristig positiv auf den Wettbewerb auswirken und das Vertrauen von Kunden und Partnern stärken.
