Cybersicherheit: 11.500 Unternehmen haben Pflicht erfüllt
Ein seit Dezember geltendes Gesetz verpflichtet schätzungsweise mehr als 29.000 Unternehmen in Deutschland, sich gegen Cyberangriffe und andere gravierende IT-Vorfälle zu schützen. Aber tun sie das?
Bonn (dpa) - Schätzungsweise mehrere Tausend für das Gemeinwesen wichtige Unternehmen und Institutionen in Deutschland haben sich nicht innerhalb des gesetzlich vorgegebenen Zeitrahmens beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert. Bis zum Ablauf der Registrierungsfrist am Freitag sind nach Angaben einer Sprecherin der Behörde rund 11.500 Unternehmen und Institutionen der Verpflichtung nachgekommen, sich gemäß der NIS-2-Richtlinie über das BSI-Portal zu registrieren.
Für mehr Widerstandsfähigkeit
Die neuen Vorgaben dürften nach Schätzung der Bundesregierung fast 30.000 Firmen in Deutschland betreffen. Die Registrierungspflicht ist Teil der NIS-2-Richtlinie der Europäischen Union für Cybersicherheit der kritischen Infrastruktur. Dabei geht es darum, dass für die Versorgung der Bevölkerung wichtige Unternehmen und Bundesbehörden mehr machen müssen, um sich vor IT-Ausfällen und Cyberangriffen zu schützen.
Dazu gehören unter anderem Schulungen von Mitarbeitern, aber auch die Registrierung beim BSI. Außerdem müssen der Cybersecurity-Behörde in Bonn erfolgreiche Hackerangriffe und andere Vorfälle gemeldet werden, die die Cybersicherheit betreffen. Davor schrecken Unternehmen manchmal zurück, weil sie einen Reputationsschaden befürchten.
Welche Auswirkungen IT-Sicherheitsvorfälle für die Bevölkerung haben können, hat sich etwa gezeigt, als im vergangenen Herbst ein Flughafen-Dienstleister Opfer eines Cyberangriffs wurde. Betroffen waren mehrere Flughäfen in Europa. Der Hackerangriff legte am Flughafen Berlin-Brandenburg (BER) elektronische Systeme lahm, die für die Passagier- und Gepäckabfertigung genutzt werden.
Zahlreiche Registrierungen vergangene Woche
Allein in der letzten Woche vor Ablauf der Frist seien mehr als 4.000 Registrierungen neu hinzugekommen, teilte die BSI-Sprecherin auf Anfrage der Deutschen Presse-Agentur mit. Bei der Bonner Behörde ist man daher noch optimistisch, was die generelle Bereitschaft zur Erfüllung der neuen Regelungen angeht. «Die signifikante Steigerung der Registrierungen in den letzten Tagen lässt darauf schließen, dass kurzfristig viele weitere Registrierungen erfolgen werden», sagte die Sprecherin.
Daten zu einzelnen Sektoren - zur kritischen Infrastruktur zählen etwa große Energieversorger, Banken und IT-Dienstleister - wird das BSI zu einem späteren Zeitpunkt veröffentlichen.
Frist von drei Monaten
Das deutsche Gesetz zur Umsetzung der NIS-2-Richtlinie war am 6. Dezember in Kraft getreten. Es sieht unter anderem vor, dass Unternehmen erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden melden, innerhalb von 72 Stunden aktualisierte Informationen bereitstellen und nach einem Monat eine Abschlussmeldung einreichen müssen. Bei schwerwiegenden Verstößen drohen Bußgelder.
Ob die Vorgaben der Richtlinie für das eigene Unternehmen gelten, hängt unter anderem vom Geschäftsfeld, der Größe beziehungsweise dem Umsatz ab. Laut Schätzungen der Bundesregierung dürften rund 29.850 Unternehmen in Deutschland betroffen sein. Das BSI bietet online eine Betroffenheitsprüfung an.
BSI bietet Betroffenen Unterstützung an
«Dem BSI ist bewusst, dass die Prüfung der Betroffenheit und die zweistufige Registrierung im Einzelfall aufwendig sein kann», heißt es aus dem Bundesamt. Für Konzernregistrierungen und für die Registrierung kritischer Komponenten werde man daher in Kürze weitere Hilfestellungen veröffentlichen.
