Seit Mai 2023 müssen betroffene Unternehmen das 2015 eingeführte IT-Sicherheitsgesetz umsetzen und sogenannte „Systeme zur Angriffserkennung“ vorhalten. Diese Vorgaben werden ab Oktober 2024 durch die europäischen Regularien Network and Information Security (NIS 2) und Critical Entities Resilience Directive (CER) weiter verschärft, sodass auch mittlere Unternehmen sich vor Angriffen schützen und diese dokumentieren müssen.

Das zweite IT-Sicherheitsgesetz, das am 23. April 2021 verabschiedet wurde, stärkt die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI). Unternehmen kritischer Infrastrukturen müssen Angriffe unverzüglich dem BSI melden und erweiterte IT-Sicherheitsmaßnahmen umsetzen. Dazu gehört die Auswahl, Prüfung und Implementierung geeigneter Anomalie-Erkennungssysteme ohne Störung des täglichen Betriebs. Seit 2015 hat sich die Regulierungslandschaft erheblich weiterentwickelt, mit wichtigen Meilensteinen wie:

• IT-Sicherheitsgesetz 1.0 (2015): Verpflichtete Betreiber kritischer Infrastrukturen zur Sicherung ihrer IT-Systeme.
• BSI-KRITIS-Verordnung (2016): Definition von Sektoren und Schwellenwerten für kritische Infrastrukturen.
• NIS 1 Umsetzungsgesetz (2017): Einführung neuer Regelungen für Anbieter digitaler Dienste.
• IT-Sicherheitsgesetz 2.0 (2021): Verpflichtung zum Einsatz von Angriffserkennungssystemen und IT-Sicherheitserklärungen.
• NIS 2 und CER (2024): Ausweitung auf neue Sektoren und Einführung von Größenbegrenzungen für Unternehmen mit über 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro.
• Digital Operational Resilience Act (2025): Fokussierung auf die betriebliche Stabilität digitaler Systeme im Finanzsektor.

Diese Maßnahmen sind angesichts der zunehmenden Bedrohungslage notwendig. Der BSI-Lagebericht 2023 zeigt, dass 66% aller Spam-E-Mails Cyberangriffe waren, darunter Erpressungs- und Phishing-E-Mails. Täglich wurden rund 21.000 infizierte Systeme erkannt. Bis Oktober 2024 muss Deutschland die NIS 2 in seine Gesetzgebung einbinden, wodurch sich die Anzahl der als kritisch eingestuften Unternehmen von 800 auf 30.000 erhöhen wird. Ob das BSI dieses zusätzliche Arbeitsaufkommen bewältigen kann, bleibt fraglich.