Ausschuss macht Weg frei für NIS-2-Umsetzungsgesetz

Berlin: (hib/STO) Der Innenausschuss hat den Weg für einen Gesetzentwurf der Bundesregierung „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ frei gemacht. Mit den Stimmen der Koalitionsfraktionen sowie der AfD-Fraktion verabschiedete das Gremium die Vorlage (21/1501) am Mittwochvormittag in modifizierter Fassung. Dagegen stimmte die Fraktion Bündnis 90/Die Grünen, während die Fraktion Die Linke sich enthielt. Der Gesetzentwurf steht am Donnerstag zur abschließenden Beratung auf der Tagesordnung des Bundestagsplenums.

Die EU-Richtlinie setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Ziel ist nach Regierungsangaben die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“sicherzustellen.

Entsprechend der unionsrechtlichen Vorgaben soll der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert werden. Zusätzlich sollen entsprechende Vorgaben für die Bundesverwaltung eingeführt werden. Der Entwurf sieht vor, dass der Anwendungsbereich ausgeweitet und neue Einrichtungskategorien eingeführt werden. Zudem soll die bislang einstufige Meldepflicht bei Sicherheitsvorfällen durch ein dreistufiges Melderegime ersetzt werden. Das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll im Hinblick auf Aufsichtsmaßnahmen erweitert werden. Darüber hinaus soll in der Bundesverwaltung ein zentraler Koordinator (CISO Bund) für Maßnahmen zur Informationssicherheit in deren Einrichtungen etabliert werden. Dieser soll auch die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützen.

Laut Bundesregierung hat die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft identifiziert. Die Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe sei eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft. Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich „die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen“, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen, schreibt die Bundesregierung im Entwurf.

Mit den Stimmen der Koalition und der AfD-Fraktion nahm der Innenausschuss bei Enthaltung der Grünen und der Linken einen Änderungsantrag der CDU/CSU- und der SPD-Fraktion an, mit dem dem BSI ermöglicht werden soll, gegenüber bisher von der Regelung nicht erfassten Anbietern von öffentlich zugänglichen Telekommunikationsdiensten mit 100.000 oder weniger Kunden Anordnungen zur Abwehr erheblicher Gefahren auszusprechen. Die Erweiterung sei notwendig, „da andernfalls eine Vielzahl von Nutzern, denen über kleinere (etwa regionale) Anbieter Telekommunikationsdienstleistungen zur Verfügung gestellt werden, nicht entsprechend geschützt werden können“, heißt es dazu in der Begründung.

Des Weiteren ist unter anderem vorgesehen, dass das Bundesinnenministerium gegenüber dem Betreiber kritischer Anlagen den Einsatz von kritischen Komponenten eines Herstellers „im Benehmen mit den für den jeweiligen Sektor genannten Bundesministerien sowie dem Auswärtigen Amt untersagen oder Anordnungen erlassen“ kann, wenn der Einsatz die öffentlicher Ordnung oder Sicherheit der Bundesrepublik voraussichtlich beeinträchtigt.