Das NIS2 Umsetzungsgesetz

Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit liegt seit Frühling 2023 als Entwurf vor, als NIS2UmsuCG. EU NIS2 definiert Mindeststandards für Cybersecurity, die vom Umsetzungsgesetz in die deutsche KRITIS-Regulierung überführt werden. Die Betroffenheit der deutschen Wirtschaft steigt deutlich – ebenso Cybersecurity-Anforderungen und Befugnisse des BSI.

Betreiber
Cybersicherheit
Produkte
Staat und BSI
Roadmap

Ein Referentenentwurf zum Stand April 2023 des NIS2-Umsetzungsgesetzes liegt vor und muss nach Abstimmung in der Bundesverwaltung noch die Gesetzgebung auf Bundesebene durchlaufen. Das NIS2UmsuCG ist ein Änderungsgesetz, das die Artikel des BSI-Gesetzes deutlich umstrukturiert, ändert und ergänzt. Parallel wird das KRITIS-Dachgesetz Resilienz bei kritischen Betreibern regulieren.

Die Ausführungen beruhen auf einer Entwurfsversion von April 2023 von intrapol.org. Der Entwurf selbst und die Analysen unten sind als work in progress mit Vorsicht zu genießen.

Die Umsetzung von NIS2

Neue KRITIS-Regulierung in 2023

Das NIS2-Umsetzungsgesetz ändert die deutsche KRITIS-Regulierung deutlich – neben den (bisherigen) Betreibern kritischer Anlagen gibt es nun die besonders wichtigen und wichtigen Einrichtungen. Die Pflichten für Cybersicherheit bei betroffenen Unternehmen steigen und gehen über die bisherigen KRITIS-Pflichten hinaus.

Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS) und die neuen besonders wichtigen und wichtigen Einrichtungen nach Unternehmensgröße (Mitarbeiter und EUR). Ebenfalls betroffen sind Bundeseinrichtungen und einige Sonderfälle.
Sektoren: Die KRITIS-Sektoren der kritischen Anlagen bleiben bestehen, die Sektoren der neuen Einrichtungen erweitert sich analog zu NIS2 und werden deutlich mehr.
UBI: Die Unternehmen im besonderen öffentlichen Interesse entfallen und werden in wichtige und teils auch besonders wichtige Einrichtungen integriert.
Cybersecurity: Pflichten für Betreiber und Einrichtungen werden mit der NIS2-Umsetzung konkreter und detaillierter – u.a. Risikomanagement, Vorfallsmeldungen, technische Maßnahmen und Governance.
Aufsicht: Erweitert wird die staatliche Aufsicht durch Registrierungspflicht, Nachweise, Meldepflichten und verbindlichen Informationsaustausch.
Sanktionen: Erweiterte Sanktionsvorschriften mit neuen Bußgeldtatbeständen und erhöhten Bußgeldern, die wie bisher mehrstufig verhängt werden. Die Höhe beträgt zwischen 100.000 und 20 Millionen EUR und ist bei wichtigen oder besonders wichtigen Einrichtungen teils an den weltweiten Gesamtumsatz im Vorgeschäftsjahr gekoppelt.
Haftung: Geschäftsführer haften teilweise persönlich für die Umsetzung (und Billigung) der Sicherheitsmaßnahmen in ihrer Einrichtung.

Die bestehende KRITIS-Regulierung wird durch die NIS2-Umsetzung deutlich erweitert, die verschiedenen Gruppen an Betreibern führen zu einem Mehrklassen-System an Betreibern (und ggf. Unternehmensteilen) mit unterschiedlichen Stufen von Pflichten.

Betroffene Unternehmen

NIS2-Betreiber in Deutschland

Es gibt zwei Hauptgruppen von betroffenen Unternehmen in der NIS2-Umsetzung, die im neuen BSI-Gesetz reguliert werden. Diese beiden Gruppen müssen viele (teils neue) Cybersecurity-Pflichten erfüllen, die über bisherige KRITIS-Pflichten hinausgehen.

Betreiber kritischer Anlagen (KRITIS-Betreiber) §28 (2-2c) müssen mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung feststellen.
Besonders wichtige §28 (3) und wichtige Einrichtungen §28 (4) werden nach Größe des Unternehmens identifiziert, es gibt dabei mittlere und große Unternehmen:
1. Mittlere Unternehmen
  50 bis 249 Mitarbeiter und Umsatz bis zu 50 Mio. EUR oder Bilanz bis zu 43 Mio EUR
2. Großunternehmen
  Mindestens 250 Mitarbeiter oder 50 Mio. EUR Umsatz oder Bilanz ab 43 Mio EUR

Neben den kritischen Betreibern und Einrichtungen werden auch Bundeseinrichtungen vom BSI-Gesetz mit bestimmten Pflichten reguliert. §27 Einige andere Betreiber (digitale Dienste, UBI) gehen in die Gruppe der Einrichtungen 2 auf.

Das BSI ist zuständig für Betreiber und Einrichtungen in Deutschland; bei bestimmten IT-Unternehmen, die in der EU tätig sind und ihren Hauptsitz in Deutschland haben, soll das BSI zentral innerhalb der EU zuständig sein. Einige andere Unternehmen werden (bleiben) von weiteren Aufsichtsbehörden reguliert – BNetzA, BaFin.

Betreiber kritischer Anlagen (KRITIS)

Die bisherigen KRITIS-Betreiber (Kritische Infrastrukturen) sind in der NIS2-Umsetzung als Betreiber kritischer Anlagen definiert. §28 (2) Diese Betreiber sind eine eigene Klasse an Unternehmen, die in KRITIS-Sektoren so genannte kritische Dienstleistungen auf einzeln definierten KRITIS-Anlagen erbringen. Die deutsche KRITIS-Logik bleibt hier bestehen.

eigene Zusammenstellung
* - geht über KRITIS hinaus
Kategorie	Sektoren
Kritische Anlagen	KRITIS: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Ernährung, Siedlungsabfallentsorgung, Bankwesen, Finanzmärkte, Digitale Infrastruktur*

Die Sektoren der Betreiber werden in NIS2 leicht erweitert und teils auch umbenannt – unter anderen Digitale Infrastruktur, die leicht über Sektor IKT hinausgeht. Die Pflichten für Betreiber bleiben im Grunde bestehen (Identifikation, Registrierung, Meldungen bis zu Nachweisen), werden durch NIS2 aber leicht geändert.

Wichtig: Die Betreiber kritischer Anlagen werden automatisch auch zu Unternehmen der neuen NIS2-Gruppe besonders wichtigen Einrichtungen und erben damit auch deren Pflichten. §28 (3) Nr. 4

Besonders wichtige und wichtige Einrichtungen

Durch die NIS2-Umsetzung kommen zu den Betreibern kritischer Anlagen (KRITIS-Betreiber) zwei Gruppen von Unternehmen (Einrichtungen) hinzu §28 (3)-(4) – die besonders wichtigen Einrichtungen und wichtige Einrichtungen, mit eigenen Sektoren und Definitionen. Weitere Betreiber und auch KRITIS-Betreiber ordnen sich in diese Gruppen dann auch ein.

Es ist alles eher kompliziert.

Übersicht

Die besonders wichtigen Einrichtungen sind Großunternehmen bestimmter Sektoren, einige Unternehmen unabhängig ihrer Größe und KRITIS-Betreiber. Die wichtigen Einrichtungen sind sowohl Großunternehmen und mittlere Unternehmen in vielen Sektoren sowie weitere Unternehmen unabhängig ihrer Größe.

eigene Zusammenstellung
Kategorie	Größe	Sektoren
Besonders wichtig §28 (3)	Großunternehmen	Annex I: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Bankwesen, Finanzmärkte, Digitale Infrastruktur, IKT-Dienste, Weltraum
	unabhängig	Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste
	Mittlere Unternehmen	Anbieter öffentlicher TK-Netze und TK-Dienste
	unabhängig	Betreiber kritischer Anlagen (KRITIS-Betreiber)
	unabhängig	Zentralregierung (Bundesministerien und Bundeskanzleramt)

Wichtig §28 (4)	Mittlere	Annex I: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Bankwesen, Finanzmärkte, Digitale Infrastruktur, IKT-Dienste, Weltraum
	Großunternehmen Mittlere Unternehmen	Annex II: Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, digitale Dienste, Forschung
	unabhängig	Vertrauensdienste
	unabhängig	Hersteller Rüstungsgüter und VS-IT (UBI 1)
	unabhängig	Betreiber Betriebsbereich obere Klasse (UBI 3)

Unternehmensgröße

Die Einrichtungen werden nach Unternehmensgröße unterschieden – die Definitionen von Großunternehmen §2 (1) Nr. 12 und mittleren Nr. 23 divergieren etwas. Bei mittleren Unternehmen zählen Mitarbeiter und zusätzlich Umsatz oder Bilanz, bei Großunternehmen Mitarbeiter oder Umsatz oder Bilanz.

Unternehmen	Mitarbeiter		Umsatz		Bilanz
Mittlere Unternehmen	50-249	und	< 50 Mio. EUR	oder	< 43 Mio. EUR
Großunternehmen	≥ 250	oder	≥ 50 Mio. EUR	oder	≥ 43 Mio. EUR

De facto gibt es damit zwei Gruppen von Großunternehmen – a) über 250 Mitarbeitern und b) über 50 Mio EUR Umsatz bzw. 43 Mio EUR Bilanz.

Auswirkungen auf Unternehmen

Die Auswirkungen des NIS2-Umsetzungsgesetzes werden in großen Teilen der deutschen Wirtschaft spürbar werden – vor allem in der sehr großen Gruppe der Einrichtungen. Es gibt jedoch Unterschiede in der Betroffenheit und konkreten Pflichten.

eigene Zusammenstellung, Stand April 2023
* - implizit, da Betreiber kritischer Anlagen auch besonders wichtige Einrichtungen sind
Pflicht	Betreiber kritischer Anlagen	Besonders wichtige Einrichtung	Wichtige Einrichtung
Geltungsbereich	Anlage(n)	Unternehmen	Unternehmen
Maßnahmen (Risikomanagement) §30	✓	✓	✓
Höhere Maßstäbe §30 (3)	✓
Besondere Maßnahmen (SzA) §39	✓
Registrierung §32 §33	✓	✓	✓
Meldepflichten §31	✓	✓	✓
Nachweise §34	*	✓
Informationsaustausch §35 §36	*	✓	✓
Governance Leitungsorgane §38	*	✓	✓

Geltungsbereich

Der genaue Geltungsbereich bei betroffenen Unternehmen für Maßnahmen (§§ 30-39) ist (noch) nicht exakt ausformuliert. Bei Betreibern kritischer Anlagen scheinen die Anlagen weiter der Scope zu sein, bei den besonders wichtigen und wichtigen Einrichtungen dann (wahrscheinlich) das ganze Unternehmen in Form der registrierten Legaleinheit.

Wie das in weiteren Entwürfen oder der Rechtsverordnung bestehen bleibt, wird sich zeigen. Der Geltungsbereich bestimmt der Aufwand bei der Umsetzung von Maßnahmen, Nachweise und Prüfungen

Ausschlüsse

Für einige Betreiber gibt es bestimmte Ausnahmen zu den NIS2-Maßnahmen:

Von §30 (1) ausgeschlossen sind: DNS, TLD, Cloud-Computing, Rechenzentren, Content Delivery Networks, Managed Services und Managed Security Services, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke und Vertrauensdienste §30 (5)
Betreiber öffentlicher TK-Netze und TK-Dienste sind von §31 und §32 ausgeschlossen
Die gematik ist von §31 und §32 ausgeschlossen
Bestimmte Einrichtungen dürfen zur Wahrung nationaler Sicherheitsinteressen durch die Bundesregierung von §31, §32 und §33 befreit werden nach §37
Von den besonders wichtigen und wichtigen Einrichtungen ausgeschlossen werden Einrichtungen gem. Art. 2 (4) der Verordnung (EU) 2022/2554 (DORA)

Unternehmen im besonderen öffentlichen Interesse

Die Unternehmen im besonderen öffentlichen Interesse (UBI) fallen als separate Kategorie weg und gehen in den wichtigen Einrichtungen auf. Die UBI wurden im IT-Sicherheitsgesetz 2.0 in drei Gruppen definiert:

Rüstung (UBI 1): Hersteller von Rüstung und Produkten für Verschlusssachen (VS) werden zu wichtigen Einrichtungen §28 (4) Nr. 4
Wertschöpfung (UBI 2): Unternehmen erheblicher volkswirtschaftlicher Bedeutung werden nun nach Unternehmensgröße zu besonders wichtigen oder wichtigen Einrichtungen.
Gefahrstoffe (UBI 3): Betreiber von Betriebsbereichen der oberen Klasse (Gefahrstoffen) werden zu wichtigen Einrichtungen §28 (4) Nr. 5

Cybersecurity

Pflichten von Betreibern und Einrichtungen

Die Anforderungen an Betreiber und Einrichtungen ändern sich mit der NIS2-Umsetzung deutlich. Die bisherigen KRITIS-Pflichten bleiben in Grundzügen erhalten, werden teils präzisiert, teils verschärft und neu struktureirt.

In Kapitel 2 vom NIS2UmsuCG werden diese Pflichten aus dem BSI-Gesetz neu strukturiert und umfassen für Betreiber und Einrichtungen mindestens:

Cybersecurity: Umsetzung von Maßnahmen zum Risikomanagement §30
Meldepflichten: Vorfallsmeldungen ans BSI §31
Registrierung: Identifikation und Meldung beim BSI §32 §33
Nachweise: Prüfung zur Umsetzung und Nachweis ans BSI §34
Informationspflichten: Kommunikation mit Behörden §35 §36
Governance: Verbindliche Vorgaben für Leitungsorgane §38
Zusätzliche KRITIS-Anforderungen: Für kritischen Anlagen §39

Die Auswirkungen und Regelungsbedarf unterscheiden sich zwischen Betreibern kritischer Anlagen (KRITIS) und auch zwischen den beiden Gruppen von Einrichtungen. Es bestehen Unterschiede im Geltungsbereich (kritische Anlage bei den Betreibern, Unternehmen bei den Einrichtungen) und der Auswahl geeigneter Maßnahmen

Risikomanagement

Besonders wichtige und wichtige Einrichtungen müssen technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. §30 (1)

Maßnahmen

Die von Betreibern und Einrichtungen umzusetzenden Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der IT, Komponenten, Prozesse und Umwelt dieser Systeme vor Sicherheitsvorällen schützt. Die Maßnahmen müssen mindestens die folgenden Themen umfassen – welche von der EU noch erweitert werden könnten: §30 (4)

Risikoanalyse
Sicherheitsvorfälle
Aufrechterhaltung
Sicherheit der Lieferkette
Sicherheit in der Entwicklung und Beschaffung
Bewertung der Effektivität
Schulungen und Cyberhygiene
Kryptografie
Personal, Zugriffe und Anlagen
Multi-Faktor Authentisierung
Sichere Kommunikation
Sichere Notfallkommunikation

Eine genaue Konkretisierung der Maßnahmen ist noch nicht bekannt.

Angemessenheit

Die Maßnahmen müssen dem Risiko angemessen sein und den Stand der Technik einhalten. Sie sollen internationale und europäische Normen einhalten und dabei Umsetzungskosten vor dem Hintergrund gesellschaftlicher und wirtschaftlicher Auswirkungen von Ausfällen berücksichtigen. §30 (2)

Betreiber kritischer Anlagen

Für Betreiber kritischer Anlagen gelten bei der Auswahl von Maßnahmen und Bewertung der Angemessenheit höhere Maßstäbe zum Schutz der IT, Komponenten und Prozesse der betriebenen Anlagen. §30 (3)

Betreiber kritischer Anlagen müssen darüberhinaus weitere Anforderungen umsetzen:

Systeme zur Angriffserkennung §39 (1)
Nachweispflichten für SzA und KRITIS-Dachgesetz §39 (2)

Nachweise und Prüfungen

Die Umsetzung von Cybersecurity Maßnahmen muss dem BSI nachgewiesen werden.

Besonders wichtige Einrichtungen

Besonders wichtige Einrichtungen (einschließlich Betreiber kritischer Anlagen) müssen dem BSI die Umsetzung der §30 (1) Maßnahmen nach der Registrierung und dann alle zwei Jahre nachweisen. Der Nachweis kann durch Audits, Prüfungen oder Zertifizierungen erfolgen, analog der bisherigen KRITIS-Prüfungen. §34

Der Nachweis umfasst die festgestellten Mängel, einen Umsetzungsplan zur Beseitigung und ggf. Nachweise der Behebung von Mängeln. Im Gegensatz zu KRITIS-Prüfung werden die §34 Nachweisprüfungen nicht (unbedingt) auf eine bestimmte Anlage bzw. einen bestimmten Geltungsbereich beschränkt sein.

Betreiber kritischer Anlagen

Die Betreiber von kritischen Anlagen müssen, da sie auch besonders wichtige Einrichtungen sind, den Nachweis der §30 (1) Maßnahmen ebenfalls alle zwei Jahre dem BSI nachweisen.

Der Nachweis von Betreibern kritischer Anlagen soll analog der bisherigen KRITIS-Prüfungen erfolgen durch Audits, Prüfungen oder Zertifizierungen. Zusätzlich müssen Betreiber kritischer Anlagen die Umsetzung von Systemen zur Angriffserkennung (SzA) als Teil des Nachweises erbringen. §39 (3)

Das BSI hat nach wie vor die Befugnis, von sich aus Betreiber kritischer Anlagen zu prüfen §39 (3) und Standards und Vorgaben für Nachweis-Prüfungen festzulegen. §39 (4) (5?).

Informationen und Meldewesen

Mit der NIS2-Umsetzung kommen auf die betroffenen Einrichtungen umfangreiche Informations- und Meldepflichten zu.

Meldung von Sicherheitsvorfällen

Besonders wichtige und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen: §31

Erstmeldung (frühe) bei erheblichen Sicherheitsvorfällen innerhalb von 24h
Meldung über einen erheblichen Sicherheitsvorfall innerhalb von 72h mit Bewertung der Erstmeldung (Schwere, Auswirkungen, Indikatoren)
Zwischenmeldungen auf Nachfrage des BSI
Abschlussmeldung oder Fortschrittsmeldung innerhalb eines Monats mit Beschreibung, Ursachen, Maßnahmen, grenzüberschreitenden Auswirkungen
Vertrauensdienste müssen unverzüglich, in jedem Fall innerhalb von 24 Stunden melden
Betreiber kritischer Anlagen müssen zusätzlich die Anlagen, kritische Dienstleistung und Auswirkungen melden

Die vom BSI eingerichtet Meldemöglichkeit soll (ist?) im Einvernehmen mit dem BBK eingerichtet werden – potenziell für das KRITIS-Dachgesetz.

Meldungen an Kunden und Öffentlichkeit

Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden (Empfänger ihrer Dienste) zu unterrichten. §35

Einrichtungen aus dem Bankweisen, Digitalen Infrastruktur, Managed Services und Digitale Dienste müssen von einer erheblichen Cyberbedrohung potenziell betroffene Kunden unverzüglich informieren, einschließlich möglicher Gegenmaßnahmen. §35 (2)

Das BSI meldet sich nach Möglichkeit innerhalb von 24h bei Unternehmen nach Eingang der Meldung zurück, ggf. mit möglichen Nachfragen, Unterstütsungsangeboten und Informationen. Falls eine Sensibilisierung der Öffentlichkeit erforderlich oder im öffentlichen Interesse ist, so kann das BSI Betreiber auffordern, dies zu tun.

Registrierung

Einrichtungen und Betreiber müssen sich selbst identifizieren und beim BSI registrieren. Für bestimmte Unternehmen gelten spezielle Registrierungsregeln. §32 §33

Besonders wichtige und wichtige Einrichtung sowie DNS-Registries müssen sich innerhalb von drei Monaten beim BSI registrieren. Zu den Daten gehören Name, Rechtsform, Kontaktdaten, Mail/Telefon, IP-Adressbereiche (!), Sektor und Teilsektor, EU-Staaten mit Geschäftsaktivitäten. §32 (1)

Betreiber kritischer Anlagen müssen sich direkt nach Identifikation kritischer Anlagen beim BSI registrieren (am ersten Werktag danach). §32 (3)

Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries von sich aus registrieren, ebenfalls Betreiber kritischer Anlagen. Dazu kann das BSI Unterlagen und Einzelheiten anfordern, und das Verfahren noch genauer definieren. §32 (2) (4), (5-7)

Bestimmte Einrichtungen müssen sich bis zum 17. Januar 2025 beim BSI registrieren. §33 Dies umfasst EU-Betreiber, die in Deutschland nach §63 zentral vom BSI reguliert werden: DNS und TLD, Cloud Computing, Rechenzentren, CDNs, MSP und Managed Service und Security Service Provider, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke

Informationsaustausch

Besonders wichtige Einrichtungen müssen am Informationsaustausch über die zentrale Austauschplattform des BSI (BISP) teilnehmen.

Standards und Produkte

Vorgaben

EU-Vorgaben und Umsetzungsakte

Die EU-Kommission kann zur Definition der §30 (4) Maßnahmen noch eigene Vorgaben durch Durchführungsrechtsakte (Implementing Acts) erlassen, welche dann Vorrang vor nationalem Recht hätten. Falls dies nicht eintritt, soll das Bundesinnnenministerium selbst technische, methodische und sektorale Definitionen zur Konkretisierung erlassen.

Branchenstandards

Besonders wichtige Einrichtungen, d.h. auch Betreiber kritischer Anlagen, können weiterhin branchenspezifische Sicherheitstandards (B3S) zur Umsetzung der §30 (1) Maßnahmen vorschlagen.

Produkte

Zertifizierte Produkte

Verwenden besonders wichtige oder wichtige Einrichtungen ein bestimmtes IKT-Produkt, Dienst oder Prozess, die in der Rechtsverordnung nach §57 (6) bestimmt werden, müssen diese über eine Cybersicherheitszertifizierung gemäß Art. 49 der EU-Verordnung 2019/881 verfügen §30 (9) (9a).

Welche Produkte, Dienste oder Prozesse konkret betroffen sein werden, hängt dann noch von der Verordnung ab.

Qualität von Produkten

Zur Gewährleistung der Sicherheit der Lieferkette (§30 (4) 4) müssen besonders wichtige Einrichtungen die spezifischen Schwachstellen von Anbietern und Diensteanbietern sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis inkl. der Sicherheit der Entwicklungsprozesse berücksichtigen §30 (8).

Dabei muss die koordinierte Risikobewertung kritischer Lieferketten auf Ebene der Union (Art. 22 NIS2-Richtlinie) berücksichtigt werden.

Kritische Komponenten

Der Einsatz so genannter kritischer Komponenten muss durch Betreiber kritischer Anlagen (KRITIS-Betreiber) dem Innenministerium gemeldet werden §41 (1). Kritische Komponenten und Funktionen müssen in Gesetzen festgelegt werden – bis jetzt nur im TK-Sektor durch das TKG 2021.

Das Innenministerium darf den Einsatz kritischer Komponenten untersagen: §41 (2) (4)

Beeinträchtigung der öffentlichen Ordnung und Sicherheit — wenn a) der Hersteller von der Regierung, staatlichen Stellen oder den Streitkräften eines Drittstaats kontrolliert wird, b) der Hersteller an nachteiligen Aktivitäten gegen die öffentliche Ordnung und Sicherheit Deutschlands, der EU, EFTA oder NATO beteiligt war oder ist, c) der Einsatz nicht mit den sicherheitspolitischen Zielen Deutschlands, der EU oder der NATO im Einklang ist.
Fehlende Vertrauenswürdigkeit basierend auf der Garantieerklärung des Herstellers, Sicherheitstests und Schwachstellen und Manipulationen in den betreffenden Produkten. §41 (5)

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers eingesetzt werden. Die Erklärung muss Mindestanforderungen des Innenministeriums erfüllen und ist von KRITIS-Betreibern dem Innenministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen. §41 (3)

Der Einsatz bestimmter Komponenten oder Hersteller darf bei schwerwiegenden Verstößen auch längerfristig untersagt werden. §41 (6) (7)

Staat und BSI

Aufsicht

Zuständigkeiten

Das BSI ist zuständig für besonders wichtige und wichtige Einrichtungen und Betreiber kritischer Anlagen in Deutschland: §62

Besonders wichtige und wichtige Einrichtungen, die in Deutschland niedergelassen sind
Betreiber kritischer Anlagen, die auf deutschem Hoheitsgebiet betrieben werden

Für bestimmte Betreiber, die in der Europäischen Union tätig sind und ihren Hauptsitz in Deutschland haben, ist das BSI für diese Einrichtungen zentral in der EU zuständig. §63

DNS-Dienste, Domain Registries und TLD Registries
Cloud Computing (Provider), Anbieter von Rechenzentren und Content Delivery Networks
Managed Service und Managed Security Service Provider
Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke

Überwachung

Das BSI hat für Einrichtungen Aufsichts- und Durchsetzungsmaßnahmen zur Überwachung der Vorgaben und Sicherstellung der Einhaltung. §64 §65

Für besonders wichtige Einrichtungen darf das BSI:

Überprüfung der Umsetzung von Anforderungen bei den Einrichtungen §64 (1)
Anweisungen zur Verhütung oder Behebung von Sicherheitsvorfällen §64 (2)
Verbindliche Anweisungen zur Umsetzung der Verpflichtung nach Gesetz §64 (3)
Unterrichtung von Personen und Unternehmen durch die Einrichtungen über Maßnahmen gegen Cyberbedrohungen §64 (4)
Überwachungsbeauftragter zur Überwachung der Pflichten nach §§28, 29, 37 (?) §64 (5)
Entzug der Zulassung bei Nicht-Nachkommen von Anforderungen trotz Fristsetzung und Untersagung Leitungsaufgabe der Geschäftsführung§64 (6)
und weiteres

Für wichtige Einrichtungen darf das BSI:

Überprüfung der Einhaltung von Anforderungen (§30 Absatz 1 und §29) bei Einrichtungen, wenn das BSI Kenntnis erlangt §65 (1) und analog §64 Satz 2-4
Verbindliche Anweisungen zur Umsetzung der Verpflichtung nach Gesetz §65 (1) Nr. 2
Informationen anfordern um die Einhaltung zu Überprüfen §65 (2)
Unterrichtung von Personen und Unternehmen durch die Einrichtungen über Maßnahmen gegen Cyberbedrohungen §65 (3)

Meldestelle

§4 legt das BSI als zentrale Meldestelle für Bundesbehörden, §5 als zentrale allgemeine Meldestelle für Sicherheit in der IT, §40 als zentrale Meldestelle für Betreiber kritischer Anlagen und Einrichtungen für fest. Das BSI darf deshalb zur Abwehr von Gefahren Informationen sammeln und auswerten und sich mit anderen Behörden austauschen.

Sanktionen und Bußgelder

Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §60 (fälschlicherweise §59 im Entwurf?). Die bisherigen KRITIS-Bußgelder werden dabei um einige neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht. Die Bußgelder und Sanktionen differenzieren zwischen den verschiedenen Gruppen von Betreibern:

Persönliche Haftung von Geschäftsführern §38
Allgemeine Tatbestände §60 (5)
Bußgelder für wichtige Einrichtungen §60 (6)
Bußgelder für Betreiber kritischer Anlagen und besonders wichtige Einrichtungen §60 (7)

Persönliche Haftung

Neben Bußgeldern für Unternehmen gibt es im NIS2-Umsetzungsgesetz auch persönliche Haftung von Geschäftführern besonders wichtiger und wichtiger Einrichtungen §38. Diese müssen die vorgeschriebenen Risikomanagement-Maßnahmen für Cybersicherheit billigen und die Umsetzung in der Einrichtung überwachen. Eine Auslagerung dieser Aufgaben an Dritte ist nicht zulässig.

Verletzen Geschäftsleiter ihre Billigungs- und Überwachungspflicht, haften sie der Einrichtung für den entstandenen Schaden. Die Amtshaftung bleibt davon unberührt.

Allgemeine Tatbestände

Allgemeine Bußgeldtatbestände nach §60 (5) unterscheiden in der Bußgeldbewährung nicht zwischen den unterschiedlichen Betreiber-Gruppen.

eigene Zusammenstellung, Stand April 2023
Höhe	Verstöße
2 Mio. EUR	Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit eines IT-Systems wird verweigert §11 (6 TK-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen §16 (1) 1 auch i.V.m. §16 (1) 3 TMD-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen §17 Besonders wichtige Einrichtungen: durch das BSI verlangte Dokumentationen, Mängelbeseitigungspläne oder Nachweise werden nicht vorgelegt bzw. Sicherheitsmängel nicht beseitigt §34 (1) Satz 5 Hinweis: Anwendung von §30 (2) 3 OWiG
500.000 EUR	Zuwiderhandlung gegen Anordnung §40 (6) 1 auch i.V.m. §40 (6) 2 Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt Tätigwerden als Konformitätsbewertungsstelle ohne Genehmigung Verwendung des IT-Sicherheitskennzeichen ohne Freigabe Vorgabe, Inhaber einer Zertifizierung zu sein, ohne dass diese besteht Vorgabe, Inhaber eines europäischen Cybersicherheitszertifikats oder Aussteller einer EU-Konformitätserklärung zu sein, obwohl diese nicht besteht, wiederrufen oder für ungültig erklärt wurde Hinweis: §40 (6) ist im aktuellen Entwurf nicht enthalten
100.000 EUR	Zuwiderhandlung durch Hersteller gegen Anordnung zur Auskunft zu Produkten und Sytemen, insb. auch technischen Details §14 (2) 1 Nachweise werden nicht oder nicht rechtzeitig erbracht

Wichtige Einrichtungen

Folgende zusätzliche Bußgelder sind nach §60 (6) für wichtige Einrichtungen definiert.

eigene Zusammenstellung, Stand April 2023
Höhe	Verstöße
7 Mio. EUR oder 1,4% Umsatz	Vorkehrungen zur Cybersicherheit nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen Meldungen erfolgen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig
500.000 EUR	Nachweise über Erfüllung der Anforderungen werden nicht oder nicht rechtzeitig erbracht Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt Informationen zur Bewältigung einer Störung werden nicht herausgegeben Hinweis: Nachweiserbringung nach §34 (1) 1 oder §39 (2) 1 und Informationsherausgabe nach §40 (4a) 1 eigentlich nicht relevant für wichtige Betreiber. Registrierungspflicht bereits über allgemeine Bußgelder geregelt
100.000 EUR	Änderungen notwendiger Angaben werden nicht fristgerecht übermittelt Verbindlichen Anweisungen zur Umsetzung der Gesetzesanforderungen nach §65 (1) 2 wird nicht nachgekommen Anweisungen zur Veröffentlichung von Verstößen nach §65 (3) wird nicht nachgekommen

Betreiber kritischer Anlagen und besonders wichtige Einrichtungen

Folgende zusätzliche Bußgelder sind nach §60 (7) für Betreiber kritischer Anlagen oder besonders wichtige Einrichtungen definiert.

eigene Zusammenstellung, Stand April 2023
Höhe	Verstöße
10 Mio. EUR oder 2% Umsatz	Nachweise über Erfüllung der Anforderungen werden nicht richtig oder nicht vollständig erbracht Vorkehrungen zur Cybersicherheit werden nicht richtig, nicht volländig oder nicht rechtzeitig getroffen Nachweise über Erfüllung der Anforderungen werden nicht oder nicht rechtzeitig erbracht Meldungen erfolgen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig
500.000 EUR	Das Betreten eines Raums wird nicht gestattet, eine Unterlage wird nicht oder nicht rechtzeitig vorgelegt, eine Auskunft wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung wird nicht oder nicht rechtzeitig gewährt Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt Änderungen notwendiger Angaben werden nicht fristgerecht übermittelt Informationen zur Bewältigung einer Störung werden nicht herausgegeben Verbindlichen Anweisungen zur Umsetzung der Gesetzesanforderungen nach §64 (3) wird nicht nachgekommen
100.000 EUR	Kontaktstelle ist nicht erreichbar Anweisungen zur Veröffentlichung von Verstößen nach §64 (4) oder Mitwirkungspflichten eines Überwachungsbeauftragten nach §64 (5) wird nicht nachgekommen Hinweis: Erreichbarkeit der Kontaktstelle und Herausgabe von Informationen zur Störungsbewältigung nur für KRITIS-Betreiber relevant

Bundeseinrichtungen

Die Pflichten besonders wichtiger Einrichtungen sind auf Einrichtungen der Bundesverwaltung anzuwenden, sofern keine expliziten Abweichungen geregelt sind §29 (fälschlicherweise §27 im Entwurf?).

Einrichtungen der Bundesverwaltung im Sinne von NIS2 sind:

Stellen des Bundes
Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts
Öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen

Wichtig: Teile der Bundesverwaltung können parallel als besonders wichtige Einrichtung und teils auch als KRITIS reguliert werden.

Differenzierung und Ausschlüsse

Betreffende Einrichtungen der Bundesverwaltung werden wie folgt differenziert:

Einrichtungen der Bundesverwaltung müssen die Anforderungen besonders wichtiger Einrichtungen aus Kapitel 2 (§§ 30-42) umsetzen §29 (1)
Einrichtungen der Bundesverwaltung, die besonders wichtige oder wichtige Einrichtungen sind, müssen die Anforderungen aus Kapitel 2 (§§ 30-42) umsetzen §29 (2)
Einrichtungen der Bundesverwaltung, die gemäß Rechtsverordnung nach §57 dem Sektor Zentralregierung angehören, müssen die Anforderungen aus Kapitel 3 (§§ 43-50) vorrangig und Kapitel 2 umsetzen [Entwurf etwas unklar] §29 (2)

Aus den regulierten Bundeseinrichtungen werden folgende ausgeschlossen:

Streitkräfte und militärischer Abschirmdienst

Anforderungen

Unter Berücksichtigung der genannten Differenzierung werden an alle Bundeseinrichtungen folgende Anforderungen an Cybersicherheit gestellt:

alle Risikomanagementmaßnahmen nach §30
Meldepflichten für Sicherheitsvorfälle nach §31
Registrierungspflichten nach §32§33
Nachweispflichten nach §34
Unterrichtungspflichten nach §35
Billigungs- und Überwachungspflichten nach §38
(§39 Angriffserkennung ist wohl nicht relevant)

Bundeseinrichtungen, die der Zentralregierung angehören, müssen zusätzlich erfüllen:

Informationssicherheitsmanagement unter Berücksichtigung von IT-Grundschutz bzw. Mindeststandards für die Sicherheit der Informationstechnik des Bundes §43 §44 (1)

Steuerung

Es soll einen Koordinator für Informationssicherheit auf Bundesebene, gestellt durch die Bundesregierung geben – einen Bundes-CISO. §48§49§50 Einrichtungen der Bundesverwaltung müssen auf verschiedenen Ebenen einen ISB inkl. Vertretung bestellen:

auf Einrichtungsebene: der ISB ist für den Aufbau und die Aufrechterhaltung des Informationssicherheitsprozesses der Einrichtung verantwortlich §45
auf Ressortebene: der ISB initiiert und koordiniert jeweils die Fortschreibung von Informationssicherheitsleitlinien für sein oder ihr Ressort §46
für die Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes: wegen der zunehmenden Bedeutung und Größe von Digitalisierungsvorhaben ist es fachlich erforderlich, dass Informationssicherheit dort durch eigene ISBs umgesetzt wird §47

Roadmap

Gesetzgebung

Das IT-Sicherheitsgesetz 2.0 nahm 2021 einige Änderungen von NIS2 schon vorweg — neue Sektoren, mehr Cyber Security Anforderungen und Sanktionen. Andere Vorkehrungen, die Betroffenheit mittlerer und großer Unternehmen und bestimmte Maßnahmen, fehlten jedoch noch und müssen durch ein Änderungsgesetz noch umgesetzt werden.

Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, NIS2UmsuCG, ändert das BSI-Gesetz als Artikelgesetz deutlich, da die Anforderungen der Richtlinie deutlich über die Bestimmungen des IT-SiG 2.0 hinausgehen oder sie teilweise ersetzen.

Ablauf NIS2, Stand Mai 2023
Version	Status	Datum	Akteur
NIS	Deadline nationale Umsetzung	Mai 2018	Mitgliedstaaten
IT-Sicherheitsgesetz 2.0	Inkrafttreten	Mai 2021	Bundesrat
NIS2	EU 2022/2555 Final	Dez 2022	Amtsblatt
NIS2-Umsetzungsgesetz	Entwurf NIS2-Umsetzung DE	Mai 2023	Bundesverwaltung
Rechtsverordnung	fehlt noch	bis Oct 24	Bundesverwaltung
NIS2	Deadline Umsetzung	bis Oct 24	Mitgliedstaaten

In Deutschland wird NIS2 zu einer deutlichen Erweiterung der erfassten Einrichtungen führen und Befugnisse und Handlungsmöglichkeiten für die national zuständigen Behörden erweitert werden. Die deutsche KRITIS-Methodik von Anlagen wird in der Gruppe der kritischen Betreibern beibehalten: das BSI setzt sich dafür ein, dass dabei national weiterhin auch die BSI-Kritisverordnung berücksichtigt wird.

Aufwände

Der Entwurf vom NIS2-Umsetzungsgesetz schätzt Aufände für die Umsetzung von NIS2 in der Wirtschaft und der Verwaltung. Die Zahlen basieren auf einer Folgekostenschätzung des statistischen Bundesamts.

Wirtschaft

Laufende Kosten (Erfülungsaufwand) von 1,65 Mrd. EUR
Einmalige Personalkosten von 1,37 Mrd. EUR

Verwaltung

Planstellen noch nicht bekannt

Fristen und Umsetzung

Im Gesetz sind Fristen zur Umsetzung von Anforderungen als Entwurf vorgesehen. Viele Regelmaßnahmen bleiben bestehen, einige neue Maßnahmen müssen zwei oder drei Jahre nach Inkrafttreten des Gesetzes erstmalig umgesetzt werden: ab 2025 oder 2026.

Besonders wichtige Einrichtungen

Registrierung innerhalb von 3 Monaten nach Identifizierung §32 (1)
Nachweise über Maßnahmenumsetzung erstmals frühestens zwei Jahre und spätestens drei Jahre nach Inkrafttreten des Gesetzes §34 (1)
Nachweise über Maßnahmenumsetzung dann zu einem vom BSI bei der Registrierung festgelegten Zeitpunkt und anschließend alle 2 Jahre §34 (1)
Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten §30 (10)

Wichtige Einrichtungen

Registrierung innerhalb von 3 Monaten nach Identifizierung §32 (1)

Betreiber kritischer Anlagen

Registrierung am nächsten Werktag nach Identifizierung §32 (3)
Nachweise über Maßnahmenumsetzung zu einem vom BSI bei der Registrierung festgelegten Zeitpunkt* und anschließend alle 2 Jahre §34 (1)

Ergänzende Rechtsverordnung

Verschiedene Anforderungen aus dem NIS2UmsuCG sollen durch eine oder mehrere Rechtsverordnungen gemäß §57 konkretisiert werden:

Als kritisch anzusehende Dienstleistungen, deren als bedeutend anzusehender Versorgungsgrad sowie welche Anlagen oder Teile davon als kritische Anlagen im Sinne des Gesetzes gelten §57 (1) 1
Konkrete Einrichtungsarten, die besonders wichtige Einrichtungen sind §57 (1) 2
Konkrete Einrichtungsarten, die wichtige Einrichtungen sind §57 (1) 3
Details über die Erteilung von Sicherheitszertifikaten und Anerkennung nach §54 §57 (2)
Einzelheiten des IT-Sicherheitskennzeichens nach §52, sowie Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben und der Freigabe, sowie der Verweis auf Sicherheitsinformationen §57 (3)
Welche durch eine besonders wichtige Einrichtung oder wichtige Einrichtung eingesetzten Produkte, Dienste oder Prozesse gemäß §30 (9) über eine Cybersicherheitszertifizierung verfügen müssen §57 (4)

Ein Entwurf der Rechtsverordnung(en) ist noch nicht verfügbar.

Weitere Informationen

Literatur

Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022

Quellen

Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Intrapol-Mirror, Stand 3. April 2023
Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022