Berlin – Für das Gemeinwesen wichtige Unternehmen müssen künftig mehr tun, um sich vor IT-Ausfällen und Cyberangriffen zu schützen. Das hat der Bundestag beschlossen. Es geht darum, die NIS-2-Richtlinie der Europäischen Union für Cybersicherheit der kritischen Infrastruktur in nationales Recht umzusetzen. Union, SPD und die AfD stimmten dafür. Die Grünen, die eigene Vorstellungen haben, votierten dagegen. Die Linksfraktion enthielt sich.
Für die schätzungsweise 29 850 betroffenen Unternehmen und die Behörden der Bundesverwaltung bedeutet das nicht nur, dass sie präventiv handeln müssen – etwa durch die Schulung von Mitarbeitern. Sie sind auch verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle relevanten IT-Sicherheitsvorfälle zu melden.
Am Gesetzentwurf der Bundesregierung hatte es reichlich Kritik von Sachverständigen, Wirtschaftsverbänden und aus der Opposition gegeben – auch weil die Regeln ursprünglich nicht für die Behörden der Bundesverwaltung gelten sollten. Die neuen Vorgaben betreffen Firmen aus den Bereichen Energie, Gesundheit, Transport oder digitale Dienste. Sie müssen künftig, sofern noch nicht vorhanden, bestimmte Schutzmaßnahmen etablieren, wie etwa Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen. DPA