Das Bundeskabinett hat den Regierungsentwurf zur Umsetzung der europäischen NIS-2-Richtlinie beschlossen. Damit soll das deutsche IT-Sicherheitsrecht fit gemacht werden für die wachsenden Bedrohungen im Cyberraum. Eine Schlüsselrolle übernimmt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Entwurf sieht vor, das BSI-Gesetz (BSIG) zu überarbeiten und den Kreis der regulierten Organisationen deutlich zu erweitern: Neben Betreibern Kritischer Infrastrukturen und Anbietern digitaler Dienste fallen künftig auch zahlreiche „wichtige“ und „besonders wichtige Einrichtungen“ unter das Gesetz – insgesamt rund 29.500 Einrichtungen statt bisher etwa 4.500.
Cybersicherheit wird zur Chefsache
Diese müssen sich registrieren, Sicherheitsvorfälle melden und wirksame Maßnahmen zum Risikomanagement einführen: Risikoanalysen, Notfallpläne, Lieferkettensicherheit, Schulungen und Multi-Faktor-Authentifizierung gehören dazu. Cybersicherheit wird zur Chefsache – die Unternehmensleitung muss die Maßnahmen umsetzen, überwachen und sich selbst zu Cyberrisiken weiterbilden.
Anfang Juni war der neue Referentenentwurf bekannt geworden, nun folgte der Kabinettsbeschluss. BSI-Präsidentin Claudia Plattner sieht Deutschland damit „auf dem Weg zu einer resilienten Cybernation“ und betont die Bedeutung verbindlicher IT-Sicherheitsstandards – gerade auch für den Schutz der staatlichen Strukturen.
Inkrafttreten bis Anfang 2026
Mit einem Inkrafttreten des Gesetzes wird Ende 2025 beziehungsweise Anfang 2026 gerechnet. Bis dahin gibt es jedoch noch Diskussionsbedarf: Bitkom-Präsident Ralf Wintergerst sieht im vorliegenden Regierungsentwurf noch „dringenden Änderungsbedarf“. Dazu gehört etwa, dass sich die Bundesverwaltung selbst von den strengeren Cybersicherheitsvorgaben ausnimmt. „Gerade der Bund und die öffentliche Verwaltung sollten und müssen Vorreiter bei der Cybersicherheit sein, wir können uns angesichts der Bedrohungslage keine Sicherheitslücken leisten“, betont Wintergerst.