Die Rolle des BSI bei der Umsetzung der NIS2-Richtlinie
Die Umsetzung der NIS-2-Richtlinie bringt für viele betroffene Unternehmen eine Vielzahl von Neuerungen und Herausforderungen mit sich. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist maßgeblich an der Umsetzung beteiligt und somit mitverantwortlich für einen reibungslosen Ablauf.
NIS-2-Richtlinie
Ziel der NIS-2-Richtlinie der EU ist es, die Informationssicherheit in sensiblen Anlagen durch Mindeststandards zu erhöhen. Dazu werden Anforderungen an den Betrieb bestimmter Einrichtungen gestellt. Trotz Ablauf der Umsetzungsfrist im Oktober 2024 wurde die NIS-2-Richtlinie bisher nicht in nationales Recht überführt. Durch das Ampel-Aus und die damit verbundenen Neuwahlen wird sich die Umsetzung weiter verzögern.
Das BSI als „zentraler Akteur“
In seinem Lagebericht von 2024
(https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.html)
bezeichnet sich das BSI als „zentralen Akteur“ bei der Umsetzung der NIS-2-Richtlinie. Einige Anforderungen sind in Deutschland bereits jetzt umgesetzt. Zum einen enthält die Richtlinie die Verpflichtung zur Einrichtung einer zentralen Stelle (CSIRT - Computer Security Incident Response Team), deren Aufgabe es ist, Sicherheitsrisiken zu identifizieren. Die Ermittlung solcher Schwachstellen gehört bereits zu den Aufgaben des BSI. Darüber hinaus wirkt das BSI auf die Einführung eines verbindlichen Informationssicherheitsmanagementsystems (ISMS) für die Bundesverwaltung hin. Ein solches ISMS nach dem IT-Grundschutz beinhaltet die von der NIS-2-Richtlinie geforderten Maßnahmen zum Risikomanagement.
Neue Aufgabenfelder für das BSI
Mit der Umsetzung der Richtlinie entstehen für das BSI auch neue Handlungsfelder. So obliegt ihm die Überwachung der Umsetzung und Implementierung der Richtlinie in das deutsche Rechtssystem. Durch neue von der Richtlinie betroffene Betriebe erweitert sich der Kreis der vom BSI zu beaufsichtigenden Unternehmen. Während sich für die bereits unter „KRITIS“ erfassten „Kritischen Anlagen“ voraussichtlich keine wesentlichen Änderungen ergeben, entstehen Registrierungs-, Nachweis- und Meldepflichten für die neu aufgenommenen „wichtigen“ und „besonders wichtigen“ Einrichtungen. Dabei handelt es sich um circa 29.000 zusätzliche Unternehmen.
Ausblick
Eine enge Zusammenarbeit zwischen Unternehmen und BSI wäre zur Verbesserung der Cybersicherheit in Unternehmen sachdienlich. Damit das BSI seiner gestiegenen Verantwortung gerecht werden kann, wäre eine Anhebung der finanziellen und personellen Mittel wünschenswert. Das käme letztendlich auch den Unternehmen zugute, die auf die Unterstützung des BSI angewiesen sind.
Kontaktieren Sie uns:



Handelsblatt / Best Lawyers "Beste Anwälte 2026"