NIS2 und BSIG – Datensicherheit ist Pflicht

Das nun vom Bundestag verabschiedete BSI-Gesetz (BSIG) enthält für die Betreiber wichtiger und besonders wichtiger Einrichtungen eine Reihe von Rechtspflichten. Einrichtungen im Gesundheitswesen gehören ab 50 Mitarbeitenden, oder ab 10 Mio Euro Jahresumsatz zu den wichtigen, ab 250 Mitarbeitenden oder ab einem Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro zu den besonders wichtigen Einrichtungen.

§ 30 BSIG

fordert angemessene Risikomanagementmanßnahmen für die Betreiber wichtiger bzw. besonders wichtiger Einrichtungen. Die Gewährleistungsziele der Sicherheit, Verfügbarkeit, Vertraulichkeit und Integrität, sind durch angemessene Maßnahmen einzuhalten.

Registrierungspflichten (§ 33 BSIG)

Spätestens ab März 2026 müssen Organisationen und Einrichtungen, die unter das BSIG fallen, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert werden. Dabei sind folgende Angaben erforderlich:

  1. Name der Einrichtung, einschließlich der Rechtsform und falls einschlägig der Handelsregisternummer,
  2. Anschrift und aktuelle Kontaktdaten, einschließlich E-Mail-Adresse, öffentliche IP-Adressbereiche und Telefonnummern,
  3. relevanter in Anlage 1 oder 2 genannter Sektor oder falls einschlägig Branche,
  4. Auflistung derjenigen Mitgliedstaaten der Europäischen Union, in denen die Einrichtung Dienste der in Anlage 1 oder 2 genannten Einrichtungsarten erbringt, und
  5. die für die Tätigkeiten, aufgrund derer die Registrierung erfolgt, zuständigen Aufsichtsbehörden des Bundes und der Länder.

Erweiterte Meldepflichten

im Falle eines Databreach treffen alle nach BSIG regulierten Unternehmen. Bei einem relevanten Datenvorfall ist das Bundesamt für Sicherheit in der Informationstechnik innerhalb von 24 Stunden zu informieren, ein detaillierter erster Bericht nach spätestens 72 Stunden abzuliefern. Nach einem Monat muss ein Abschlussbericht erstellt werden, in Ausnahmefällen, sofern der Vorfall andauert, nach Beendigung ein weiterer.

Schulung der Geschäftsleitung

Neu im Gesetz ist auch die verpflichtende Schulung der Geschäftsleitung zu zentralen Fragen der Datensicherheit. Das Bundesamt für Sicherheit in der Informationstechnik hat hierzu einen detaillierten Katalog, welche Inhalte zu schulen sind, vorgelegt.

Details zur Schulungspflicht für Geschäftsleitungen nach BSIG/NIS2 finden Sie unter
https://www.prisecon.de/bsig-nis2-geschaftsleitungsschulungspflicht/