Berlin – Das Bundeskabinett hat einen neuen Gesetzesentwurf zur Verbesserung der IT-Sicherheit verabschiedet. Rund 30.000 Unternehmen in Deutschland werden davon betroffen sein und erhebliche Investitionen tätigen müssen.

Die wichtigsten Eckpunkte des Gesetzesentwurfs

Mit dem neuen Gesetz sollen Unternehmen verpflichtet werden, ihre IT-Sicherheit erheblich zu verbessern. Der Entwurf sieht unter anderem vor, dass das Personal besser geschult und Multi-Faktor-Authentifizierungen eingeführt werden müssen. Dies betrifft deutschlandweit knapp 30.000 Unternehmen, die jährlich insgesamt rund 2,2 Milliarden Euro investieren müssen.

Hintergrund der Gesetzesinitiative

Deutschland ist zur Einführung dieses Gesetzes durch die EU verpflichtet, die mit der NIS2-Richtlinie höhere IT-Sicherheitsstandards durchsetzen möchte. Bundesinnenministerin Nancy Faeser (SPD) betont die Notwendigkeit dieser Maßnahmen: „Wir stärken mit dem Gesetz die Resilienz der Wirtschaft gegen Cybergefahren.“ Die IT-Sicherheitslage hat sich in Deutschland und Europa zuletzt deutlich verschärft, und Cyberangriffe verursachten zuletzt wirtschaftliche Schäden von jährlich über 200 Milliarden Euro.

Wer ist betroffen?

Das Gesetz betrifft nicht nur Betreiber kritischer Infrastrukturen wie Wasser- und Stromversorger, sondern auch viele mittelständische Unternehmen in bestimmten Branchen, darunter das Gesundheitswesen und die Chemie-Industrie. Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz von über zehn Millionen Euro müssen ihre IT-Sicherheitsmaßnahmen verstärken. Auch IT-Zulieferer fallen unter die neuen Regelungen.

Haftung der Geschäftsführung

Ein zentraler Punkt des Gesetzesentwurfs ist die persönliche Haftung der Geschäftsführung für die IT-Sicherheit ihres Unternehmens. Geschäftsführer müssen Konzepte gegen Cyberangriffe entwickeln lassen und Daten ausreichend sichern. „Geschäftsleiter müssen über eigenes Know-how verfügen“, erklärt Dennis-Kenji Kipker von der Universität Bremen. Wer diese Anforderungen nicht erfüllt, riskiert im schlimmsten Fall ein Verbot, das Unternehmen weiterzuführen.

Mehr Befugnisse für das BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll mehr Befugnisse erhalten. Unternehmen müssen sich beim BSI registrieren und über IT-Vorfälle berichten. Bei Verstößen kann das BSI schnellere und strengere Sanktionen verhängen, darunter Bußgelder von bis zu zwei Prozent des Jahresumsatzes – das kann schnell mehrere Millionen Euro betragen.

Kritik am Gesetzentwurf

Trotz der potenziellen Vorteile gibt es auch deutliche Kritik. Der Entstehungsprozess des Gesetzes wurde als intransparent bezeichnet, und viele Arbeitsschritte wurden erst bekannt, nachdem sie durchgesickert waren. Rechtswissenschaftler Dennis-Kenji Kipker kritisiert zudem, dass das BSI zwar mehr Aufgaben und Befugnisse erhält, aber nicht politisch unabhängiger wird.

Ein weiterer Kritikpunkt betrifft die Unklarheit des Gesetzes. Rechtsanwalt Karsten Bartels vom Branchenverband IT-Sicherheit e.V. bemängelt, dass es unkonkret bleibt, welche zusätzlichen Maßnahmen Betreiber kritischer Infrastrukturen ergreifen müssen. Diese Unklarheit erschwert es den Unternehmen, die neuen Anforderungen umzusetzen.

Herausforderungen für den Mittelstand

Unternehmerverbände äußern sich ebenfalls zurückhaltend. Paul Ruland vom Bundesverband mittelständische Wirtschaft (BVMW) betont, dass es in wirtschaftlich schwierigen Zeiten nicht leicht ist, die geforderten Maßnahmen umzusetzen. Der Deutsche Mittelstands-Bund (DMB) sieht besonders bei kleinen und mittelständischen Unternehmen großen Nachholbedarf. Der politisch „überambitionierte und kaum realistisch umsetzbare Zeitplan“ wird kritisiert.

Fazit

Das neue IT-Sicherheitsgesetz wird eine erhebliche Herausforderung für viele Unternehmen darstellen, insbesondere in finanziell schwierigen Zeiten. Während die Ziele des Gesetzes – die Verbesserung der IT-Sicherheit und die Stärkung der Resilienz gegen Cybergefahren – wichtig und notwendig sind, bleibt abzuwarten, wie die Umsetzung in der Praxis gelingt. Unternehmer werden sich nun intensiv mit den neuen Anforderungen auseinandersetzen müssen, um rechtzeitig vorbereitet zu sein.