Kosten von NIS2

Calculator picture

Der Referentenentwurf der NIS2-Umsetzung schätzt Aufwände für Wirtschaft und Bund für die Umsetzung der NIS2-Pflichten. Über 2 Mrd. EUR für Unternehmen und zwischen 200 und 300 Mio. EUR für die Bundesverwaltung. In der Begründung des Gesetzes führt der Gesetzgeber detailliert auf, wo welche Zusatzaufwände durch neue und erweiterte Pflichten entstehen.

  1. Unternehmen
  2. Staat
  3. Bundeseinrichtungen
  4. Behörden

Die Kalkulation basiert auf Annahmen, Schätzungen des Gesetzgebers und der Behörden sowie Daten des statistischen Bundesamts – Fälle pro Jahr, Bearbeitungszeiten, Mehraufwände, durchschnittlicher Stundenlohn usw. Dies wird dann aufgeschlüsselt in Mehraufwände durch neue Pflichten, detailliertere Prozesse und mehr Vorgaben.

Unternehmen

Betroffene Unternehmen

In Deutschland geht der Gesetzgeber von etwa 30 Tausend betroffenen Unternehmen aus, von denen nur 17 Prozent im Grundsatz ausreichende Maßnahmen ergriffen haben. Abzüglich der bestehenden Betreiber haben über 20 Tausend Handlungsbedarf.

Der Gesetzesentwurf von Mai 2024 prognostiziert die von NIS2 betroffenen Unternehmen:

up

Aufwände

Für die Wirtschaft berechnet der Gesetzesentwurf Aufwände für die Anpassung digitaler Geschäfts­prozesse für Unternehmen mit Nachholbedarf. Der Entwurf von Mai 2024 geht von 2,1 Mrd. EUR einmaligen Kosten und 2,1 Mrd. EUR jährlichen Kosten für die Wirtschaft aus.

Nachholbedarf haben 83 Prozent der betroffenen knapp 30 Tsd. Einrichtungen. Unterteilt wird in Sachkosten wie IT, Prozesse, Schulungen und Personalkosten für neue Stellen für Aufgaben und Pflichten – unterteilt in einmalig und jährlich. Begründung A. VI. 4.

eigene Zusammenstellung, basierend auf Referentenentwurf, Mai 2024
Gruppe Aufwand Rechnung Summe
Besonders wichtige Einrichtungen – jährliche Sach/Personalkosten
IT-Sicherheit 2.950 neue Unternehmen mit Nachholbedarf 600 Mio. EUR
Wichtige Einrichtungen – jährliche Sach/Personalkosten
IT-Sicherheit 17.900 neue Unternehmen mit Nachholbedarf 1,5 Mrd. EUR
Alle Einrichtungen – einmalige Kosten
IT-Sicherheit Alle (neue?) Einrichtungen 2.1 Mrd. EUR
Registrierungspflichten 23.850 neu registrierende Unternehmen 361 Tsd. EUR
Alle Einrichtungen – jährliche Personalkosten
Meldepflichten 2.400 zusätzliche neue Meldungen +
Mehraufwand für bestehende Prozesse
1 Mio. EUR
Schulungen Mehraufwand für Geschäftsleiter und Mitarbeiter:
rund 3 Mio. zu schulende Personen pro Jahr
159 Mio. EUR
Registrierungspflichten 7.950 Änderungen pro Jahr 48 Tsd. EUR
Nachweise §65 24 jährlich zu prüfende Einrichtungen 849 Tsd. EUR

up

Der Staat

Bundesverwaltung

Für die Bundesverwaltung geht der Gesetzgeber zur Umsetzung der NIS2-Vorgaben und Prozesse von zusätzlichen Haushaltsausgaben und Planstellen von 2025 bis 2028 aus: Begründung A. VI. 3.

Haushaltsaufwand, eigene Zusammenstellung aus NIS2-Entwurf Mai 2024
2025 2026 2027 2028
Vollzugsaufwand 259 Mio. EUR 346 Mio. EUR 357 Mio. EUR 372 Mio. EUR
Planstellen 1.595 1.906 2.092 2.286

Die Aufwände in der Bundesverwaltung teilen sich noch weiter auf. Einerseits gab es Abfragen und Annahmen zur Umsetzungen der direkten Pflichten für Bundeseinrichtungen, andererseits konkrete Kalkulationen für die Zusatzaufwände in Regulierungsaufgaben für Behörden. Da die Daten sensibel seien, sind die Kalkulationen nicht so detailliert wie bei Unternehmen.

up

Bundeseinrichtungen

Bei Bundeseinrichtungen kalkuliert der Gesetzgeber für die Umsetzung der NIS2-Pflichten zusätzliche Aufwände analog zu Unternehmen. Behörden gehen von 1.396 zusätzlichen Stellen aus mit einmaligen Aufwand von 286 Mio. EUR. Begründung A. VI. 4. c. a. aa.

eigene Zusammenstellung, basierend auf Referentenentwurf, Mai 2024
Gruppe Aufwand Rechnung Summe
Einrichtungen der Bundesverwaltung – jährliche Sach + Personalkosten
IT-Sicherheit Risikomanagement, IT-Grundschutz, Infrastruktur
  • 1.103 neue Stellen
  • Infrastruktur, Hardware, Lizenzen
  • Beratung Pentests, IT-GS, Notfallmanagement
170 Mio. EUR
Meldepflichten 133 neue Stellen + externe IT-Security und Experten 19,7 Mio. EUR
Registrierungspflicht 30,7 neue Stellen + IT-Komponenten (?) 2,4 Mio. EUR
Schulungen keine Kalkulation (u.a. 33,5 neue Stellen) 6,4 Mio. EUR
Digitalisierung 95 neue Stellen + IT-Dienstleister und Beratung 13,4 Mio. EUR
Einrichtungen der Bundesverwaltung – einmalige Sach + Personalkosten
IT-Sicherheit Aufbau Infrastruktur, Beratung, Konzepte
  • 710 Stellen
  • Infrastruktur, Hardware, Lizenzen
  • Beratung, Coaching, Schulung
286 Mio. EUR
Meldepflichten 11 Stellen + externe IT-Security und Experten 5,1 Mio. EUR
Registrierungspflicht 10 Stellen + IT-Komponenten (?) 1,5 Mio. EUR
Schulungen keine Kalkulation 1,1 Mio. EUR
Digitalisierung IT-Dienstleister und Beratung 5,5 Mio. EUR

up

Aufsichtsbehörden

Für die Regulierungsbehörden kalkuliert der Gesetzgeber zusätzliche Vollzugsaufwände bei BSI, BBK, BNetzA, BfDI und BMI für NIS2. Durch die stark zunehmende Anzahl der zu beaufsichtigen Einrichtungen und erweiterte Prozesse braucht es 931 zusätzlicher Stellen und Sachkosten von 73 Mio. jährlich und 36 Mio. EUR einmalig. Begründung A. VI. 4. c. a. ab.

eigene Zusammenstellung, basierend auf Referentenentwurf, Mai 2024
Gruppe Aufwand Rechnung Summe
Aufsichtsbehörden – jährliche Personal- und Sachkosten
Grundsatz und Befugnisse Mehr Aufgaben
  • BSI 308 Stellen
  • ITZBund 318 Stellen
  • BfDI 4 Stellen
  • IT, Prozesse, Beratung 68 Mio. EUR
123 Mio. EUR
Meldungen Mehr und umfangreichere Meldungen
  • BSI 144 Stellen
  • BBK 6 Stellen
  • IT, Tools, Kommunikation 1,1 Mio. EUR
14,9 Mio. EUR
Register Mehr Registrierungen und Daten
  • BSI 51 Stellen
  • BBK 6 Stellen
4,1 Mio. EUR
Zentrale Meldestelle Gefahrenabwehr, mehr Betroffenheit
  • BSI 33 Stellen
  • BBK 7 Stellen
  • BNetzA 4 Stellen
4,2 Mio EUR
Verschiedene Aufgaben Mehr Aufgaben, Prozesse, Standards
  • BMI 8 Stellen
  • BBK 6 Stellen
  • BSI 14 Stellen
  • Studien 2,5 Mio. EUR
5 Mio. EUR
Grundsatz Energie Kataloge, Vorgaben, Mängel
  • BNetzA 10,8 Stellen
1 Mio. EUR
Grundsatz Telekommunikation Prüfungen, Ausbildung
  • BNetzA 12 Stellen
2,9 Mio. EUR
Aufsichtsbehörden – einmalige Sachkosten
Grundsatz und Befugnisse IT, Prozesse, Beratung 28 Mio. EUR
Meldungen IT, Tools, Kommunikation 508 Tsd. EUR
Register Notebooks 8 Tsd. EUR
Zentrale Meldestelle Notebooks 11 Tsd. EUR
Verschiedene Aufgaben 11 Tsd. EUR
Grundsatz Telekommunikation VS-Registratur 8 Mio. EUR

Auf das BSI entfallen davon 549 neue Stellen – zusätzlich zu den 645, die für bisherige KRITIS-Regulierung, Vorgaben und das IT-Sicherheitsgesetz 2.0 eingesetzt sind.

up

Weitere Informationen

Literatur

  1. NIS2-Umsetzungsgesetz bei OpenKRITIS

Quellen

  1. Entwurf eines NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetzes, Referentenentwurf, Innenministerium, Intrapol, 07.05.2024
  2. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Version Dezember 2023, Intrapol, 7. März 2023