Neues BSI-Portal ist live: Jetzt haften Chefs persönlich – und alles läuft in der AWS-Cloud
NIS-2 ist da – und das nicht nur auf dem Papier. Seit Anfang Januar müssen rund 30.000 Unternehmen in Deutschland ran: Registrieren, Vorfälle melden, Risiken dokumentieren.
Seit ein paar Tagen ist das neue NIS-2-Portal des BSI unter portal.bsi.bund.de erreichbar. Dahinter steckt die Umsetzung der europäischen NIS-2-Richtlinie (EU 2022/2555), die die Cybersicherheit massiv hochschrauben soll – und das nicht nur bei den ganz großen KRITIS-Betreibern.
Betroffen sind jetzt deutlich mehr Firmen: Energie, Wasser, Banken, Krankenhäuser natürlich weiterhin, aber auch Abfallwirtschaft, Postdienste, Raumfahrt, Teile der verarbeitenden Industrie und sogar manche öffentlichen Verwaltungen.
Was muss man eigentlich tun?
1. Registrieren: Zweistufig über „Mein Unternehmenskonto" (MUK) mit ELSTER-Organisationszertifikat. Ja, klingt bürokratisch, ist es auch.
2. Kontaktstellen hinterlegen: Damit das BSI weiß, wen es anrufen muss, wenn es brennt.
3. Vorfälle melden: Erstmeldung innerhalb von 24 Stunden (!), detaillierte Folgemeldung nach 72 Stunden.
4. Risikoanalysen dokumentieren: Wer hier blank ist, hat ein Problem.
Der Haken: Die Chef-Haftung
Das Beste (oder Schlimmste): Die Geschäftsführung und Vorstände haften jetzt persönlich. Wenn im Schadensfall rauskommt, dass die „angemessenen technischen und organisatorischen Maßnahmen" gefehlt haben, greift die Organhaftung. D&O-Versicherungen könnten dann im Regen stehen. BSI-Präsidentin Claudia Plattner nennt das ganz offen den „großen Hebel" – es ist jetzt Chefsache, keine Frage.
Auch die Bußgelder sind richtig unangenehm: Bei Verstößen drohen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Das BSI hat angekündigt, die Einhaltung auch wirklich zu kontrollieren.
AWS als Basis – Kritik vorprogrammiert
Das Portal läuft technisch komplett in der AWS-Cloud. Das BSI begründet das mit Skalierbarkeit, Hochverfügbarkeit und modernen Sicherheitsmechanismen. Trotzdem hagelt es Kritik: Stichwort US Cloud Act – im Zweifel könnte die US-Regierung auf die Daten zugreifen. Ob das für ein deutsches Behördenportal wirklich die beste Wahl ist, darüber lässt sich trefflich streiten.
Positiv ist immerhin: Man kann Schwachstellen auch anonym melden, ohne sich vorher registrieren zu müssen – das ist für Security-Researcher und Whistleblower eine echte Erleichterung.
Fazit: Gamechanger oder Bürokratiemonster?
NIS-2 ist definitiv ein Gamechanger für die IT-Sicherheit in Deutschland. Ob die Umsetzung mit ELSTER-Zwang, AWS-Backend und persönlicher Chef-Haftung der Weisheit letzter Schluss ist, darf jeder für sich entscheiden.
Fakt ist: Wer in einem der betroffenen Sektoren sitzt, sollte jetzt prüfen, ob die eigene Firma unter die Regelung fällt.
Hilfe benötigt?
Falls ihr unsicher seid oder Unterstützung bei der Risikoanalyse braucht: Bei Waidler.it beraten wir euch gerne zu NIS-2 und echten Cybersicherheitsmaßnahmen – bevor es teuer wird. Wir machen's praxisnah und unkompliziert.
Bleibt sicher da draußen – und denkt dran: Im Zweifel haftet der Chef mit. 😅