Bundesamt für Sicherheit in der Informationstechnik

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die nationale Cybersicherheitsbehörde des Bundes und gestaltet Informationssicherheit in Deutschland für Staat, Wirtschaft und Gesellschaft. Rechtsgrundlage seiner Tätigkeit ist das BSI-Gesetz (BSIG). Das BSI entwickelt unter anderem den IT-Grundschutz als anerkannte Methodik für Informationssicherheits-Managementsysteme, gibt technische Richtlinien und Mindeststandards heraus, betreibt das nationale IT-Lagezentrum und das CERT-Bund als zentrales Computer-Notfallteam des Bundes und warnt vor akuten Bedrohungen, Schwachstellen und Schadsoftware.

Mit der Umsetzung der EU-Richtlinie 2022/2555 (NIS2) wird die Rolle des BSI als Aufsichts- und Vollzugsbehörde deutlich ausgeweitet. Das BSI fungiert als zuständige nationale Behörde und als zentrale Anlaufstelle (Single Point of Contact) gegenüber den europäischen Institutionen sowie als nationales CSIRT. Betroffene Unternehmen der Kategorien besonders wichtige und wichtige Einrichtungen müssen sich beim BSI registrieren, Sicherheitsvorfälle innerhalb der gesetzlichen Fristen melden und geeignete Risikomanagementmaßnahmen nachweisen. Das BSI erhält hierfür Aufsichts-, Prüf- und Anordnungsbefugnisse einschließlich der Möglichkeit, Bußgelder zu verhängen.

Für Compliance-Verantwortliche ist das BSI damit gleich in mehrfacher Hinsicht relevant: als normgebende Instanz, deren IT-Grundschutz und Mindeststandards praktische Umsetzungshilfen liefern, als Meldestelle für Sicherheitsvorfälle und als Aufsichtsbehörde, die die Einhaltung der NIS2-Pflichten kontrolliert. Wer ein Informationssicherheits-Managementsystem aufbaut, orientiert sich in der Praxis häufig an den BSI-Standards (200-1 bis 200-4) oder an der ISO/IEC 27001, die das BSI als gleichwertig anerkennt. Eine frühzeitige Auseinandersetzung mit den BSI-Vorgaben erleichtert sowohl die NIS2-Betroffenheitsprüfung als auch den späteren Nachweis gegenüber der Behörde.