Im Koalitionsvertrag setzt die zukünftige Bundesregierung, getragen von CDU/CSU und SPD, Schwerpunkte auch im Bereich der Cybersicherheit. Im Fokus stehen die nationale Umsetzung bestehender EU-Vorgaben wie des Cyber Resilience Act (CRA) und der NIS-2-Richtlinie, der Ausbau des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie Maßnahmen zur Stärkung digitaler Souveränität. Für Unternehmen bedeutet das: Die politischen Weichen werden gestellt.
Cyber Resilience Act
Der CRA enthält erstmals unmittelbar geltende Anforderungen an die Cybersicherheit digitaler Produkte und Software über den gesamten Lebenszyklus hinweg. Die Bundesregierung kündigt an, Unternehmen bei der Umsetzung zu unterstützen, insbesondere kleinere Anbieter. Die Einhaltung der Vorgaben bleibt jedoch verpflichtend, auch für solche Unternehmen, die bislang nicht im Anwendungsbereich vergleichbarer EU-Regelungen lagen. Der Koalitionsvertrag betont, dass die Umsetzung des CRA national politisch begleitet und priorisiert wird.
Erfahren Sie hier mehr von SKW Schwarz zum Cyber Resilience Act:
Vorschlag der EU-Kommission für einen 'Cyber Resilience Act'
NIS-2 und BSI-Reform
Die Umsetzung der NIS-2-Richtlinie ist gesetzlich zwingend und zeitlich dringlich. Sie muss durch ein nationales Umsetzungsgesetz erfolgen, nach EU-Vorgabe bereits bis spätestens Oktober 2024. Der Koalitionsvertrag stellt klar, dass das BSI-Gesetz zu diesem Zweck novelliert wird. Die Richtlinie erweitert den Kreis der verpflichteten Unternehmen erheblich, unter anderem auf Teile der Industrie, der Logistik, der Energie- und Abfallwirtschaft sowie digitale Dienste.
Künftig gelten dort verbindliche Anforderungen an IT-Sicherheitsmaßnahmen, Meldepflichten und Governance-Strukturen. Das Bundesamt für Sicherheit in der Informationstechnik soll im Zuge dessen zur zentralen Aufsichtsbehörde für Cybersicherheit mit erweiterten Zuständigkeiten ausgebaut werden. Unternehmen, die bislang nicht erfasst waren, müssen prüfen, ob sie künftig unter die neuen Pflichten fallen und entsprechende Vorkehrungen treffen.
Erfahren Sie hier mehr von SKW Schwarz zur NIS-2 Richtlinie:
NIS2-Tool: Betroffenheit von neuen Anforderungen an IT-Sicherheit
Digitale Souveränität
Ergänzend kündigt die Koalition Maßnahmen zur Stärkung digitaler Souveränität an. Vorgesehen ist unter anderem, sicherheitspolitisch nicht vertrauenswürdige Anbieter in sensiblen Bereichen künftig auf gesetzlicher Grundlage ausschließen zu können. Parallel sollen europäische IT-Infrastrukturen und Open-Source-Lösungen gezielt gestärkt werden. Unternehmen sollten vor diesem Hintergrund die technologische Resilienz ihrer Lieferketten analysieren, nicht nur technisch, sondern auch mit Blick auf regulatorische und geopolitische Risiken.
Bemerkenswert ist in diesem Zusammenhang, dass eine zwischenzeitlich von den Koalitionsparteien veröffentlichte Fassung des Koalitionsvertrags nicht mehr die Formulierung „Komponenten aus vertrauenswürdigen Staaten“ verwendet, sondern schlicht „vertrauenswürdige Komponenten“. Damit würde die inhaltliche Bewertung von Sicherheit und Integrität der Technik stärker in den Vordergrund treten, während der geografische Ursprung an Bedeutung verliert.
Erfahren Sie hier mehr von SKW Schwarz zur digitalen Souveränität in der EU:
Digital Decade Update – Was steht als Nächstes auf der Agenda der Digitalregulierung der EU?
Nationale Cybersicherheitsstrategie
Darüber hinaus soll die nationale Cybersicherheitsstrategie weiterentwickelt werden. Ziel ist eine klarere Aufgabenverteilung zwischen den zuständigen Stellen, eine bessere Verzahnung bestehender Instrumente und eine Stärkung strategischer Sicherheitsziele auf Bundesebene. Dies dürfte auch Auswirkungen auf das Verhältnis zwischen staatlicher Aufsicht und betroffenen Unternehmen haben.
Die neue Bundesregierung setzt im Bereich der IT-Sicherheit auf die Durchsetzung bestehender europäischer Rechtsakte und die Reform nationaler Strukturen. Für Unternehmen ergeben sich daraus nicht nur neue formelle Pflichten, sondern auch strukturelle Anforderungen an Organisation, Prozesse und Technologieeinsatz. Die kommenden Monate sollten genutzt werden, um bestehende Systeme zu prüfen, Verantwortlichkeiten zu klären und die eigene IT-Compliance auf die künftigen gesetzlichen Anforderungen auszurichten.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
