Die europäische Gesetzgebung stärkt den Schutz Kritischer Infrastrukturen

Der Schutz Kritischer Infrastrukturen (KRITIS) ist essenziell für den Erhalt gesellschaftlicher und wirtschaftlicher Stabilität. Die EU verabschiedet nun eine aktualisierte Richtlinie. Die Energieinfrastruktur ist ein besonders attraktives Ziel für Cyberangriffe, da die Folgen weitreichend sind und als Hebel für Erpressungen oder sogar als Ausgangspunkt für militärische Operationen genutzt werden können. Der Gesetzgeber reguliert aufgrund dieser besonderen Bedeutung die Cybersicherheit im Kontext Kritischer Infrastrukturen. Die europäische Cybersicherheitsregulierung besteht im Wesentlichen aus dem Cybersecurity Act und der Richtlinie zur Netz- und Informationssicherheit, kurz NIS-Richtlinie. Mit Ersterem besteht seit 2019 eine Rahmengesetzgebung, mit der IT-Sicherheitsvorgaben länderübergreifend harmonisiert werden sollen. Ziel ist der Schutz des europäischen Binnenmarkts. Die NIS-Richtlinie hingegen bildet den verpflichtenden Cybersicherheitsstandard für Kritische Infrastrukturen. Mit dem IT-Sicherheitsgesetz 2.0 überführte die Bundesregierung vergangenes Jahr die EU-Vorgaben zur Zertifizierung in deutsches Recht und aktualisierte die KRITIS-Vorgaben.

IT-Sicherheitsgesetz 3.0 wird kommen

Auf europäischer Ebene hat man sich inzwischen auf eine NIS-2-Richtlinie geeinigt. Nach dem formalen Beschluss durch das EU-Parlament müssen die Mitgliedsstaaten diese innerhalb von 21 Monaten in nationales Recht transformieren. Erwartet wird, dass die Bundesregierung die NIS-2-Richtlinie im Rahmen eines IT-Sicherheitsgesetzes 3.0 abbilden wird. Das Bundesministerium des Innern und für Heimat ist hierbei federführend innerhalb der Bundesregierung.