EU-Richtlinien zur Netzwerk- und Informationssicherheit
Nationale Umsetzung und Rolle des BSI
NIS-2-Richtlinie in Kraft getreten
Am 27.12.2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) im Amtsblatt L333 der Europäischen Union veröffentlicht. Die Mitgliedstaaten müssen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen. Die aktuelle NIS-2-Richtlinie stellt eine Weiterentwicklung der (ersten) NIS-Richtlinie aus dem Jahr 2016 dar („EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“).
Das nationale Gesetz zur Umsetzung der NIS-2-Richtlinie wird derzeit erarbeitet. Die Federführung dafür liegt beim Bundesministerium des Innern und für Heimat. Wir bitten um Verständnis, dass das BSI sich nicht zu Gesetzgebungsvorhaben äußert, deren Abstimmung innerhalb der Bundesregierung noch nicht abgeschlossen ist.
Historie der NIS-Richtlinie aus dem Jahr 2016
Das Gesetz zur Umsetzung NIS-Richtlinie wurde am 29.06.2017 verkündet. Es diente im Wesentlichen der Umsetzung der NIS-Richtlinie in deutsches Recht. Die NIS-Richtlinie definiert Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union. Mit der NIS-Richtlinie wurde ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cybersicherheit geschaffen. Insbesondere sieht die NIS-Richtlinie eine stärkere Zusammenarbeit der Mitgliedstaaten sowie Mindestsicherheitsanforderungen und Meldepflichten für Kritische Infrastrukturen (KRITIS) sowie für bestimmte Anbieter digitaler Dienste vor. Das BSI erhielt vor diesem Hintergrund neue Aufgaben und Befugnisse.
In Deutschland existierte mit dem IT-Sicherheitsgesetz (IT-SiG) bereits seit Juli 2015 ein einheitlicher Rechtsrahmen für die Zusammenarbeit von Staat und Unternehmen für mehr Cybersicherheit bei KRITIS. Das IT-SiG sieht vor, dass KRITIS-Betreiber sich beim BSI registrieren, ihre IT-Sicherheit nach dem "Stand der Technik" umsetzen und erhebliche IT-Sicherheitsvorfälle an das BSI melden.
NIS 2 erweitert die Befugnisse des BSI und stärkt gleichzeitig die Kooperation von Staat und Wirtschaft
Das BSI setzt sich dafür ein, dass der mit dem UP KRITIS gelebte kooperative Ansatz im Zuge der nationalen Umsetzung der NIS-2-Richtlinie intensiviert wird, da die erheblichen Herausforderungen im Bereich der IT-Sicherheit nur von Staat und Wirtschaft gemeinsam bewältigt werden können. Damit wird das BSI seiner Vorreiterrolle innerhalb der EU auf dem Gebiet der Cybersicherheit gerecht.
Das BSI unterstützt KRITIS-Betreiber aktiv, auch vor Ort
KRITIS sind ein attraktives Ziel für Cyberangriffe, die potenziell zu hohen wirtschaftlichen Schäden bis hin zu Versorgungsausfällen führen können. Um die Betreiber Kritischer Infrastrukturen noch wirksamer zu unterstützen, hat das BSI Mobile Incident Response Teams (MIRT) eingerichtet. Diese Spezial-Task-Forces bestehen aus Cybersicherheitsexpertinnen und -experten des BSI, die auf Wunsch der KRITIS-Betreiber besonders schwerwiegende Cyberangriffe vor Ort untersuchen und bei deren Bewältigung helfen.