Berlin (Reuters) – Die Bundesregierung will Stromleitungen, Kraftwerke und die Bahn besser gegen Cyberattacken schützen.
Das Bundeskabinett beschloss am Mittwoch entsprechende Regelungen, die knapp 30.000 Unternehmen der kritischen Infrastruktur strengere Auflagen macht. Zu Diskussionen hatten nicht nur Hacker-Angriffe aus Russland, sondern auch der Einbau chinesischer Komponenten in Telekommunikations- sowie Wind- und Solaranlagen geführt. Das Gesetz sieht vor, dass alle betroffenen Unternehmen Risikoanalysen, Notfallpläne und Backup-Konzepte etablieren müssen. Aus der Wirtschaft wurde die Notwendigkeit des Gesetzes anerkannt. Die Umsetzung müsse aber praktikabel sein und dürfe den Ausbau erneuerbarer Energien nicht bremsen.
Mit dem sogenannten NIS-2-Gesetz (Network and Information Security) wird europäisches Recht in deutsches umgesetzt. Eigentlich wollte bereits die vorherige Ampel-Regierung dies auf den Weg bringen. Die EU-Richtlinie und damit das Gesetz nach Beschluss von Bundestag und Bundesrat soll noch vor Ende 2025 gelten. Parallel plant das Bundesinnenministerium ein sogenanntes KRITIS-Dachgesetz, das erstmals branchenübergreifende Mindeststandards für den physischen Schutz Kritischer Infrastrukturen festlegt – also für Bereiche wie Strom, Wasser, Gesundheit oder Ernährung.
Der Gesetzentwurf beziffert den volkswirtschaftlichen Nutzen auf 3,6 Milliarden Euro jährlich wegen abgewendeter Schäden. Innenminister Alexander Dobrindt sagte: “Mit dem neuen Gesetz schaffen wir ein deutlich höheres Sicherheitsniveau für unsere Wirtschaft und Verwaltung. Unternehmen und Behörden werden widerstandsfähiger gegen Cyberangriffe. Wir setzen dabei auf klare Regeln ohne unnötige Bürokratie.”
WIRTSCHAFT SETZT AUF NACHBESSERUNGEN IM BUNDESTAG
Wirtschaftsverbände lobten zwar die Stoßrichtung des Gesetzes. Der Verband der Chemischen Industrie (VCI) kritisiert aber beispielsweise, dass das Gesetz zwar Bundes-, nicht aber Länder- und Kommunalbehörden zu Cybersicherheit verpflichtet. VCI-Geschäftsführer Johann-Peter Nickel sieht hierin ein potenzielles Hindernis für ein einheitlich hohes Sicherheitsniveau, etwa bei digitalen Genehmigungsverfahren. Er fordert “zwingend Nachbesserungen”, klarere Definitionen von Rechtsbegriffen und eine einfachere Umsetzung in die Praxis. Da sei”noch sehr viel Luft nach oben”.
Der Bundesverband der Energiewirtschaft (BDEW) betonte die Bedeutung für den Einsatz kritischer Bauteile etwa in Wind- oder Solaranlagen. Zwar sei das Anliegen, unzuverlässige Hersteller auszuschließen, politisch berechtigt. Jedoch dürfe dies nicht durch übermäßige Bürokratie zu erheblichen Risiken für Betreiber kritischer Infrastrukturen und die Versorgungssicherheit führen. Der BDEW befürchtet, dass das aktuelle Prüfverfahren bei der erwarteten Vielzahl der Fälle zu Verzögerungen bei Netzausbau- und Energiewendeprojekten führen würde.
Statt bisher wenigen hundert Betreibern werden künftig rund 29.000 Unternehmen zu umfassenderer Cybersicherheit verpflichtet. Unterschieden wird dabei zwischen “besonders wichtigen Einrichtungen” (Groß-Unternehmen aus Energie, Verkehr, Bankwesen, Gesundheit) und “wichtigen Einrichtungen” wie mittelgroßen Firmen aus Bereichen wie Chemie. Kleinere Unternehmen aus Randgebieten sollen dagegen von Bürokratie entlastet werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält erweiterte Aufsichtsbefugnisse. Das bisherige einstufige Meldesystem bei Cyber-Angriffen wird durch ein dreistufiges ersetzt: Erstmeldung binnen 24 Stunden, Detailmeldung binnen 72 Stunden und Abschlussbericht nach einem Monat. Die Bußgelder bei Verstößen gegen Sicherheitsauflagen steigen. Für besonders wichtige Einrichtungen drohen bis zu zehn Millionen Euro oder auch zwei Prozent des weltweiten Vorjahresumsatzes, für wichtige Einrichtungen bis zu sieben Millionen Euro oder 1,4 Prozent des Umsatzes. Die Geschäftsführung kann auch persönlich für Verletzungen ihrer Pflichten bei der Umsetzung von Cybersicherheit haften.
(Bericht von: Markus Wacket; redigiert von hans Busemann; Bei Rückfragen wenden Sie sich an unsere Redaktion unter berlin.newsroom@thomsonreuters.com (für Politik und Konjunktur) oder frankfurt.newsroom@thomsonreuters.com (für Unternehmen und Märkte).)
