BERLIN (dpa-AFX) - Für das Gemeinwesen wichtige Unternehmen müssen künftig mehr tun, um sich vor IT-Ausfällen und Cyberangriffen zu schützen. Das hat der Bundestag beschlossen. Es geht darum, die NIS-2-Richtlinie der Europäischen Union für Cybersicherheit der kritischen Infrastruktur in nationales Recht umzusetzen. Union, SPD und die AfD stimmten dafür. Die Grünen, die dazu eigene Vorstellungen haben, votierten dagegen. Die Linksfraktion enthielt sich.

Für die schätzungsweise 29.850 betroffenen Unternehmen und die Behörden der Bundesverwaltung bedeutet das nicht nur, dass sie präventiv handeln müssen - etwa durch die Schulung von Mitarbeitern. Sie sind auch verpflichtet, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle relevanten IT-Sicherheitsvorfälle zu melden.

Am Gesetzentwurf der Bundesregierung hatte es reichlich Kritik von Sachverständigen, Wirtschaftsverbänden und aus der Opposition gegeben. Unter anderem, weil die Regeln ursprünglich nicht für die Behörden der Bundesverwaltung gelten sollten. Es sei gut, dass dies nach parlamentarischen Beratungen geändert wurde, sagt Marc Henrichmann (CDU). Denn es wäre ein ganz falsches Signal gewesen, "der Wirtschaft zu sagen, "Ihr müsst nachschärfen!", aber der eigenen Bundesverwaltung zu sagen "Ihr nicht, weil es kompliziert und teuer ist"".

Die neuen Vorgaben betreffen unter anderem Unternehmen aus den Bereichen Energie, Gesundheit, Transport oder digitale Dienste. Sie müssen künftig, sofern noch nicht vorhanden, bestimmte Schutzmaßnahmen etablieren, wie etwa Risikoanalysen, Notfallpläne, Backup-Konzepte oder Verschlüsselungslösungen. Das Ausmaß der Vorkehrungen richtet sich nach der Bedeutung der jeweiligen Einrichtung.

Wird ein Unternehmen Opfer eines Cyberangriffs, muss es diesen binnen 24 Stunden melden, nach 72 Stunden einen Zwischenstand liefern und innerhalb eines Monats einen Abschlussbericht vorlegen. Das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) bekommt mehr Aufsichtsbefugnisse. Es kann bei schwerwiegenden Verstößen Bußgelder verhängen.

Wirtschaftsverbände klagen vor allem über zusätzlichen Aufwand für betroffene Unternehmen. Die Sinnhaftigkeit der Vorgaben an sich stellt aber kaum jemand infrage - auch mit Blick auf gestiegene Risiken durch staatlich gesteuerte Hackerangriffe und den Einsatz ausländischer IT-Produkte in besonders heiklen Bereichen.

Viel debattiert wurde im Gesetzgebungsprozess über die "Untersagung des Einsatzes von kritischen Komponenten". Hier geht es um Bedenken, dass Hardware, Software oder Cloud-Dienste aus Ländern wie China Spionage- oder Sabotagemöglichkeiten bieten könnten. Am Ende hat man sich darauf geeinigt, dass das Bundesinnenministerium solche Verbote in Abstimmung mit dem jeweils betroffenen Ministerium aussprechen kann, "wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt".

Vorgaben zu Maßnahmen für die Cybersicherheit von für die Allgemeinheit wichtigen Unternehmen gab es vorher schon. Sie sind jetzt aber deutlich strenger geworden. Außerdem gehören nun mehr Sektoren und Unternehmen zum Kreis derjenigen, für die diese Regeln verpflichtend sind./abc/DP/jha