Das Bundeskabinett hat einen Gesetzesentwurf verabschiedet, der die IT-Sicherheitsstandards in der deutschen Wirtschaft deutlich verschärfen soll. Ziel ist es, Unternehmen besser vor Cyberangriffen zu schützen. Die geplanten Maßnahmen basieren auf der EU-weiten NIS2-Richtlinie und sollen nun vom Bundestag geprüft werden. Rund 30.000 Unternehmen in Deutschland müssen sich auf weitreichende Veränderungen einstellen, die hohe Investitionen erfordern. Die Regierung schätzt, dass die Wirtschaft durch die neuen Vorgaben jährlich Kosten von etwa 2,2 Milliarden Euro tragen wird. Der Bund fördert also die Investition in die IT-Sicherheit.
Neben technischer Aufrüstung fordert das Gesetz auch, die Schulung der Belegschaft in den betroffenen Unternehmen im Bereich IT-Sicherheit. Ein zentraler Punkt ist die verpflichtende Einführung einer Multi-Faktor-Authentifizierung, um die Zugangssicherheit zu erhöhen. Diese Maßnahmen sollen nicht nur den Schutz der Unternehmensdaten verbessern, sondern auch dazu beitragen, die Resilienz gegen wachsende Bedrohungen aus dem Cyberspace zu stärken.
Kosten und Risiken durch Cyberangriffe sehr hoch
Cyberangriffe stellen für die deutsche Wirtschaft eine zunehmende Gefahr dar. Laut dem Gesetzesentwurf verursachen solche Angriffe bereits jetzt Schäden in Höhe von über 200 Milliarden Euro jährlich. Ein Teil dieser Angriffe könnte durch bessere IT-Sicherheitsmaßnahmen verhindert werden. Auch die Bundesverwaltung ist von den neuen Vorgaben betroffen und muss ihren Schutz gegen Cyberbedrohungen erhöhen.
Die Einführung des Gesetzes ist jedoch nicht nur auf Unternehmen der kritischen Infrastruktur wie Energie- und Wasserversorger beschränkt. Auch mittelständische Betriebe aus verschiedenen Branchen, etwa dem Gesundheitswesen oder der Chemie, sind in die neuen Sicherheitsanforderungen einbezogen. Dabei gelten die Regeln für Firmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von über zehn Millionen Euro. Selbst IT-Zulieferer müssen sich an die neuen Standards halten.
Haftung und Sanktionen für Geschäftsführer
Eine zentrale Neuerung des Gesetzes betrifft die persönliche Haftung von Geschäftsführern. Sie sind künftig dafür verantwortlich, dass ihr Unternehmen ausreichende IT-Sicherheitsvorkehrungen trifft. Das bedeutet, dass sie nicht nur für die Entwicklung von Schutzkonzepten sorgen müssen, sondern auch die Sicherung von Daten gewährleisten. Bei Verstößen drohen den Geschäftsführern Sanktionen, die im Extremfall sogar ein Berufsverbot nach sich ziehen können. Unternehmen, die gegen die neuen Vorgaben verstoßen, drohen hohe Bußgelder, mit bis zu zwei Prozent des Jahresumsatzes, was bei großen Unternehmen schnell Millionenbeträge erreichen kann.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird als zentrale Kontrollbehörde eine stärkere Rolle übernehmen. Unternehmen sind verpflichtet, sich dort zu registrieren und Sicherheitsvorfälle umfassender zu melden. Bei Missachtung der Vorschriften wird das BSI künftig schneller und härter eingreifen können, um die Einhaltung der IT-Sicherheitsvorgaben zu garantieren. Trotz der klaren Zielsetzung stößt der Entwurf vom Bund mehr in IT-Sicherheit zu investieren auch auf Kritik. Insbesondere kleinere Unternehmen fürchten die hohen Kosten, die mit der Umsetzung der neuen IT-Sicherheitsstandards verbunden sind.