Das NIS2 Umsetzungsgesetz

Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cyberbsicherheit, das NIS2UmsuCG, liegt seit 2023 als Entwurf vor. Die EU-Direktive NIS2 definiert EU-weite Mindeststandards für Cybersecurity und wird vom NIS2-Umsetzungsgesetz in deutsche Regulierung überführt. Es geht um etwa 30.000 Unternehmen.

Unternehmen
Cybersecurity
Informationen
Staat und BSI
Ausblick

Das Gesetz liegt als Referentenentwurf vor und muss noch die Gesetzgebung auf Bundesebene durchlaufen. Das NIS2UmsuCG ist ein Änderungsgesetz, das Artikel anderer Gesetze umschreibt – primär das BSI-Gesetz. Ergänzend zu NIS2 reguliert das KRITIS-Dachgesetz Resilienz kritischer Betreibern.

Die Ausführungen dieser Seite beruhen auf Referentenentwürfen. Die Gesetzgebung ist noch im Fluss, mit laufenden Änderungen. Dieser Artikel baut auf dem letzten vollständigen Stand von Juli 2023 auf, der sich durch das Diskussionspapier und Werkstattgespräch des BMI nochmal ändert.

Die Umsetzung von NIS2

Stand der Dinge im Herbst 2023

Im September wurde vom Innenministerium ein Diskussionspapier zum Dialog mit der Wirtschaft veröffentlicht, als dritter Entwurf des NIS2-Umsetzungsgesetzes:

Erster Referentenentwurf von April 2023
Zweiter Referentenentwurf von Juli 2023 – der aktuelle Stand dieser Seite
Dritter Entwurf (Diskussionspapier) von September 2023 – folgend zusammengefasst
Werkstattgespräch des BMI von Oktober 2023 bestätigt viele Änderungen von Nr. 3

Die wichtigsten Änderungen der Version von September 2023 als Ausblick – teilweise bestätigt durch das Werkstattgespräch vom Oktober 2023:

Nachweise

Eine der wichtigsten Änderungen im neuen Entwurf ist die Begrenzung der NIS2-Nachweise.

Waren eigentlich 2-jährige Prüfungen für besonders wichtige Einrichtungen und Betreiber kritischer Anlagen geplant, streicht der vorliegende Diskussionsentwurf dies auf Prüfungen nur noch alle drei Jahre und nur für Betreiber kritischer Anlagen zusammen, §39.

Wichtige und besonders wichtige Einrichtungen müssen wie gehabt Maßnahmen umsetzen, aber regulär keine Nachweise darüber erbringen. Das BSI kann Einrichtungen jedoch zu Nachweisen und Prüfungen verpflichten und die Einhaltung der NIS2-Vorgaben auch selbst überprüfen, §64 und §65.

In Gespräch ist auch eine Dokumentationspflicht der Sicherheitsmaßnahmen, um die Umsetzung (zumindest) zu dokumentieren und belegen zu können.

Betreiber und Sektoren

Die betroffenen Unternehmen wurden im Entwurf präzisiert und die Definitionen vereinfacht. Der Entwurf fasst Einrichtungsarten und Unternehmensgröße in §28 zusammen:

Betreiber kritischer Anlagen (KRITIS-Betreiber) müssen mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung feststellen.
Besonders wichtige Einrichtungen werden nach Größe des Unternehmens in den Sektoren aus Anlage 1 identifiziert:
1. Unternehmen ab 250 Mitarbeitern oder
2. Unternehmen ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR
3. Sonderfälle: qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen, Zentralregierung
Wichtige Einrichtungen werden nach Größe des Unternehmens in den Sektoren aus Anlage 1 und 2 identifiziert:
1. Unternehmen ab 50 Mitarbeitern oder
2. Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR
3. Vertrauensdienste

Die Sektoren der Einrichtungen sind in Anlage 1 und 2 definiert und weichen von früheren Definitionen und auch EU NIS2 leicht ab. KRITIS-Sektoren sind in §28 (6) definiert.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand September 2023
KRITIS	Anlage 1	Anlage 2
Energie	Energie Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas
Transport/Verkehr	Transport/Verkehr Luftverkehr Schienenverkehr, Schifffahrt, Straßenverkehr	Transport/Verkehr Post und Kurier
Finanz/Versicherung	Finanz/Versicherung Banken, Finanzmarkt-Infrastruktur	Chemie Herstellung, Handel, Produktion
Gesundheit	Gesundheit Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C Abt. 21), Medizinprodukte,	Forschung Forschungseinrichtungen
Wasser/Abwasser	Wasser/Abwasser Trinkwasser, Abwasser	Verarbeitendes Gewerbe Medizin/Diagnostika; DV, Elektro, Optik (NACE C Abt. 26 und 27); Maschinenbau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30)
IT und TK	IT und TK IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services	Digitale Dienste Marktplätze, Suchmaschinen, soziale Netzwerke
Weltraum	Weltraum Bodeninfrastrukturen
Ernährung		Lebensmittel Großhandel, Produktion, Verarbeitung
Entsorgung		Entsorgung Abfallbewirtschaftung
	(Sonderfälle besonders wichtig): qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen, Zentralregierung	(Sonderfälle wichtig): Vertrauensdienste

Die Definitionen wirken noch nicht ganz abgeschlossen und sollen bis 2024 wohl noch harmonisiert werden, auch mit sektorspezifischer Regulierung. Einige Sektoren wurden zusammengefasst, es gibt aber noch Inkonsistenzen und einige Lücken, u.a. im Finanzsektor.

Maßnahmen

Der neue Entwurf legt konkrete Anhaltspunkte für die Auswahl der §30-Maßnahmen fest. Betreiber sollen das Ausmaß der Risikoexposition, Größe der Einrichtung, Umsetzungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen berücksichtigen.

Die Anforderungen an die Sicherheit in der Lieferkette wurden gelockert. Zuvor mussten Einrichtungen die Cybersicherheitspraxis ihrer Anbieter berücksichtigen und in die Auswahl ihrer Maßnahmen einfließen lassen. Diese Anforderung wurde nun gestrichen.

Der Ausschluss bestimmter Sektoren soll noch geklärt werden, ebenso noch nicht ganz ausdefiniert sind sektorspezifische Anforderungen und die notwendige Harmonisierung von/mit Sicherheitskatalogen, EU-Vorgaben und weiteren Gesetzen (EnWG, TKG, KrWG).

Pflichten für Geschäftsleiter

Geschäftsleiter dürfen sich zukünftig eines Dritten bedienen, um die Umsetzung der Risikomanagementmaßnahmen zu überwachen — in §38 (1) wurde der Satz gestrichen, der dies untersagte. Die explizite Geschäftsführerhaftung wurden entfernt, die Binnenhaftung bleibt unabhängig davon bestehen — zum Beispiel bei GmbHs oder AGs (§93 AktG).

Außerdem sind Mitarbeiter nicht mehr von der Schulungspflicht betroffen.

Fristen

Das NIS-Umsetzungsgesetz soll im März 2024 verkündet werden und dann wie geplant Oktober 2024 in Kraft treten. Übergangsfristen zur Umsetzung o.ä. sind nicht ersichtlich. Die ersten Nachweisprüfungen würden frühestens ab Oktober 2027 stattfinden.

Im Entwurf wurde die Registrierungsfrist in §33 für Betreiber kritischer Anlagen entfernt. Die Frist bleibt durch §8 des anstehenden KRITIS-Dachgesetzes aber vermutlich bestehen.

Formelles

Der September-Entwurf enthält nur einen Teil der Paragraphen vom NIS2-Umsetzungsgesetz, dafür aber einige inhaltliche und editoriale Fehler (oder Lücken). Die Verweise auf neue Rechtsverordnungen haben auch abgenommen, da Definitionen teils im Gesetz selbst vorgenommen werden.

Und nun?

Einige Änderungen vereinfachen Definitionen und machen das Gesetz handhabbarer, andere entschärfen die Sicherheitsvorgaben aber deutlich. Wie die geänderten Regeln in zukünftigen Entwürfen der NIS2-Umsetzung Bestand hat, wird sich in den nächsten Monaten zeigen.

Unbenommen der Nachweise bleibt jedoch die Pflicht zur Umsetzung der Maßnahmen.

— Ende des Diskussionsentwurfes vom September 2023.

Neue Cybersecurity-Regulierung ab 2024

Das NIS2-Umsetzungsgesetz ändert die deutsche KRITIS-Regulierung deutlich – neben den Betreibern kritischer Anlagen wird es besonders wichtige Einrichtungen und wichtige Einrichtungen geben. Für etwa 30.000 betroffene Unternehmen in Deutschland steigen die Security-Pflichten.

Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS) und die neuen besonders wichtigen und wichtigen Einrichtungen (Identifikation über Unternehmensgröße). Ebenfalls betroffen sind Bundeseinrichtungen und einige Sonderfälle.
Sektoren: Die KRITIS-Sektoren der kritischen Anlagen bleiben bestehen, die Sektoren der neuen Einrichtungen erweitern sich analog zu NIS2 und werden deutlich mehr.
UBI: Die Unternehmen im besonderen öffentlichen Interesse entfallen und werden in wichtige und teils auch besonders wichtige Einrichtungen integriert.
Cybersecurity: Pflichten für Unternehmen werden konkreter und etwas detaillierter: u.a. Risikomanagement, Vorfallsmeldungen, technische Maßnahmen und Governance.
Aufsicht: Erweitert wird die staatliche Aufsicht durch Registrierungspflicht, Nachweise, Meldepflichten und verbindlichen Informationsaustausch. Die geteilte Regulierung über verschiedene Behörden wie BSI, BNetzA etc. soll aber vereinfacht werden.
Sanktionen: Erweiterte Sanktionsvorschriften mit neuen Bußgeldtatbeständen und erhöhten Bußgeldern, die wie bisher mehrstufig verhängt werden. Die Höhe beträgt zwischen 100.000 und 20 Millionen EUR und ist bei wichtigen oder besonders wichtigen Einrichtungen teils an den weltweiten Gesamtumsatz im Vorgeschäftsjahr gekoppelt.
Haftung: Geschäftsführer haften teilweise persönlich für die Umsetzung (und Billigung) der Sicherheitsmaßnahmen in ihrer Einrichtung.

Die bestehende KRITIS-Regulierung wird durch die NIS2-Umsetzung deutlich erweitert mit einem Mehrklassen-System an Betreibern mit unterschiedlichen Stufen von Pflichten.

Betroffene Unternehmen

Unternehmen in Deutschland

Es gibt zwei Hauptgruppen von betroffenen Unternehmen in der NIS2-Umsetzung, die im neuen BSI-Gesetz reguliert werden. Diese beiden Gruppen müssen viele (teils neue) Cybersecurity-Pflichten erfüllen, die über bisherige KRITIS-Pflichten hinausgehen.

Betreiber kritischer Anlagen (KRITIS-Betreiber) §28 (2-5) müssen mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung feststellen.
Besonders wichtige §28 (6) und wichtige Einrichtungen §28 (7) werden nach Größe des Unternehmens identifiziert, es gibt dabei mittlere und große Unternehmen:
1. Mittlere Unternehmen, zwei Möglichkeiten:
  50 bis 249 Mitarbeiter und Umsatz weniger 50 Mio EUR oder Bilanz weniger 43 Mio EUR oder
  Weniger 50 Mitarbeiter und Umsatz 10-50 Mio EUR und Bilanz 10-43 Mio EUR
2. Großunternehmen, zwei Möglichkeiten:
  Mindestens 250 Mitarbeiter oder ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio EUR

Neben den kritischen Betreibern und Einrichtungen werden auch Bundeseinrichtungen vom BSI-Gesetz mit bestimmten Pflichten reguliert. §29 Einige andere Betreiber (digitale Dienste, UBI) gehen in die Gruppe der Einrichtungen 2 auf.

Die NIS2-Sektoren weichen von den originalen EU NIS2-Sektoren ab und gehen über die bestehenden KRITIS-Sektoren hinaus. Es gibt diverse Ausschlüsse und Sonderfälle, die teils weiterer Regulierung oder besonderen Anforderungen unterliegen. Generell sind sind nicht mehr nur noch Infrastrukturen betroffen sondern große Teile der Wirtschaft.

Betreiber und Einrichtungen

Betreiber kritischer Anlagen (KRITIS)

Die bisherigen KRITIS-Betreiber (Kritische Infrastrukturen) sind in der NIS2-Umsetzung als Betreiber kritischer Anlagen definiert. §28 (2) Diese Betreiber sind eine eigene Klasse an Unternehmen, die in KRITIS-Sektoren so genannte kritische Dienstleistungen auf einzeln definierten KRITIS-Anlagen erbringen. Die deutsche KRITIS-Logik bleibt hier bestehen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Juli 2023
Kategorie	Größe	Sektoren
Kritische Anlagen §28 (2)	Schwellenwerte	Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitsweisen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung

Die Betreiber kritischer Anlagen werden auch besonders wichtige Einrichtungen der neuen NIS2-Gruppe und erben damit auch deren Pflichten. §28 (6) Nr. 4

Besonders wichtige und wichtige Einrichtungen

Durch die NIS2-Umsetzung kommen zu den KRITIS-Betreibern zwei neue Gruppen von Unternehmen hinzu, die Einrichtungen §28 (6)-(7).

Die besonders wichtigen Einrichtungen sind Großunternehmen bestimmter Sektoren, einige Unternehmen unabhängig ihrer Größe und KRITIS-Betreiber. Die wichtigen Einrichtungen sind sowohl Großunternehmen und mittlere Unternehmen in vielen Sektoren sowie weitere Unternehmen unabhängig ihrer Größe.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Juli 2023
Kategorie	Größe	Sektoren
Besonders wichtig §28 (6)	Großunternehmen	Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, IKT-Dienste, Weltraum
	unabhängig	Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste
	Mittlere Unternehmen	Anbieter öffentlicher TK-Netze und TK-Dienste
	unabhängig	Betreiber kritischer Anlagen (KRITIS-Betreiber)
	unabhängig	Zentralregierung (Bundesministerien und Bundeskanzleramt)

Wichtig §28 (7)	Mittlere Unternehmen	Energie, Transport und Verkehr, Finanz/Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, IKT-Dienste, Weltraum
	Großunternehmen Mittlere Unternehmen	Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, Verarbeitendes Gewerbe, Digitale Dienste, Forschung
	unabhängig	Vertrauensdienste
	unabhängig	Hersteller Rüstungsgüter und VS-IT (ex-UBI 1)
	unabhängig	Betreiber Betriebsbereich obere Klasse (ex-UBI 3)

Unternehmensgröße

Die Einrichtungen werden nach Unternehmensgröße unterschieden – die Definitionen von Großunternehmen §2 (1) Nr. 12 und mittleren §2 (1) Nr. 23 divergieren etwas (auch zum EU NIS2 Original). Bei mittleren Unternehmen zählen Mitarbeiter zusammen mit Umsatz oder Bilanz, bei Großunternehmen Mitarbeiter oder Umsatz und Bilanz.

Unternehmen		Mitarbeiter		Umsatz		Bilanz
Mittlere Unternehmen	a) b)	50-249 bis 49	und und	< 50 Mio. EUR 10-50 Mio. EUR	oder und	< 43 Mio. EUR 10-43 Mio. EUR
Großunternehmen	c) d)	≥ 250		≥ 50 Mio. EUR	und	≥ 43 Mio. EUR

Die Unternehmen sind jeweils noch unterteilt – mittlere Unternehmen a) bis 249 Mitarbeiter und b) unter 49 Mitarbeitern (sowie Umsatz/Bilanzgrenzen) und Großunternehmen c) über 250 Mitarbeiter und d) über 50 Mio EUR Umsatz und 43 Mio EUR Bilanz.

Unternehmen im besonderen öffentlichen Interesse

Die Unternehmen im besonderen öffentlichen Interesse (UBI) fallen als separate Kategorie weg und gehen in den Einrichtungen auf. Das IT-Sicherheitsgesetz 2.0 hatte drei Gruppen:

Rüstung (UBI 1): Hersteller von Rüstung und Produkten für Verschlusssachen (VS) werden zu wichtigen Einrichtungen §28 (7) Nr. 4
Wertschöpfung (UBI 2): Unternehmen erheblicher volkswirtschaftlicher Bedeutung werden nun nach Unternehmensgröße zu besonders wichtigen oder wichtigen Einrichtungen.
Gefahrstoffe (UBI 3): Betreiber von Betriebsbereichen der oberen Klasse (Gefahrstoffen) werden zu wichtigen Einrichtungen §28 (7) Nr. 5

Cybersecurity

Pflichten von Betreibern und Einrichtungen

Die Anforderungen an Betreiber und Einrichtungen ändern sich mit der NIS2-Umsetzung deutlich. Die bisherigen KRITIS-Pflichten aus dem BSI-Gesetz bleiben in Grundzügen erhalten, werden teils präzisiert, teils verschärft und neu strukturiert.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Juli 2023
* - implizit, da Betreiber kritischer Anlagen auch besonders wichtige Einrichtungen sind
Pflicht	Betreiber kritischer Anlagen	Besonders wichtige Einrichtung	Wichtige Einrichtung
Geltungsbereich	Anlage(n)	Unternehmen	Unternehmen
Maßnahmen Risikomanagement §30	✓	✓	✓
Höhere Maßstäbe für KRITIS §30 (3)	✓
Besondere Maßnahmen SzA §39	✓
Registrierung §32 §33	✓	✓	✓
Meldepflichten §31	✓	✓	✓
Nachweise §34	*	✓
Informationsaustausch §35 §36	*	✓	✓
Governance Leitungsorgane §38	*	✓	✓

Auswirkungen

Die Auswirkungen des NIS2-Umsetzungsgesetzes werden in großen Teilen der deutschen Wirtschaft spürbar werden – vor allem in der sehr großen Gruppe der Einrichtungen. Es gibt jedoch Unterschiede in der Betroffenheit und konkreten Pflichten.

Der genaue Geltungsbereich bei betroffenen Unternehmen für Maßnahmen (§§ 30-39) ist (noch) nicht exakt ausformuliert. Bei Betreibern kritischer Anlagen scheinen die Anlagen weiter der Scope zu sein, bei den besonders wichtigen und wichtigen Einrichtungen dann (wahrscheinlich) das ganze Unternehmen in Form der registrierten Legaleinheit.

Wie das in weiteren Entwürfen oder der Rechtsverordnung bestehen bleibt, wird sich zeigen. Der Geltungsbereich bestimmt der Aufwand von Maßnahmen, Nachweisen und Prüfungen

Ausschlüsse

Für diverse Unternehmen bestehen Ausnahmen und Sonderregeln zu Pflichten in §30-39.

Von §30 (1) ausgeschlossen sind: DNS, TLD, Cloud-Computing, Rechenzentren, Content Delivery Networks, Managed Services und Managed Security Services, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke und Vertrauensdienste.
Für diese Unternehmen wird ein Durchführungsrechtsakt der EU-Kommission bis Oktober 2024 verbindliche Maßnahmen festlegen. §30 (5)
Betreiber öffentlicher TK-Netze und TK-Dienste sind von §30 und §31 ausgeschlossen.
Betreiber von Energieversorgungsnetzen oder Energieanlagen sind von §30 und §31 ausgeschlossen, die EnWG/BNetzA-Sicherheitskataloge sollen die Inhalte aber aufgreifen.
Die gematik ist von §30 und §31 ausgeschlossen.
Bestimmte Einrichtungen dürfen zur Wahrung nationaler Sicherheitsinteressen durch die Bundesregierung von §31, §32 und §33 befreit werden. §37
Von den besonders wichtigen und wichtigen Einrichtungen ausgeschlossen werden Einrichtungen gem. Art. 2 (4) der Verordnung (EU) 2022/2554 (DORA).

Risikomanagement

Besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um IT und Prozesse ihrer Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. §30 (1)

Maßnahmen

Die von Betreibern und Einrichtungen umzusetzenden Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der IT, Komponenten, Prozesse und Umwelt dieser Systeme vor Sicherheitsvorällen schützt.

Die Maßnahmen müssen mindestens die folgenden Themen umfassen: §30 (4)

Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
Sicherheit in der Entwicklung, Beschaffung und Wartung, Management von Schwachstellen
Bewertung der Effektivität von Cybersicherheit und Risiko-Management
Schulungen Cybersicherheit und Cyberhygiene
Kryptografie und Verschlüsselung
Personalsicherheit, Zugriffskontrolle und Anlagen-Management
Multi-Faktor Authentisierung und kontinuierliche Authentisierung
Sichere Kommunikation (Sprach, Video- und Text)
Sichere Notfallkommunikation

Die Maßnahmen sind sicherlich gleichzeitig generisch und in Teilen sehr spezifisch. Hier wird der Staat (hoffentlich) noch Details und Erwartungen präzisieren.

Konkretisierung

Eine genaue Konkretisierung der Maßnahmen durch EU, BSI oder Verbände ist noch nicht bekannt, hier ist bis 2024 sicherlich noch Bewegung zu erwarten zum Stand der Technik. Ebenso sind noch keine offizielle Ableitungen auf existierende Cybersecurity Standards wie ISO 27001 oder C5 verfügbar, welche die Maßnahmen in Rahmenwerke einordnen.

Sicherlich sind existierende ISMS-Zertifizierungen nicht ohne weiteres schon hinreichend für NIS2-Maßnahmen – der Geltungsbereich (Scope) von NIS2 könnte über bestehende Zertifikate hinausgehen, die genannten Maßnahmen sind teils tiefer und teils weiter als übliche Rahmenwerke.

Implementing Acts der EU

Die EU-Kommission kann nach Art. 21 (5) NIS2 in Durchführungsrechtsakten (Implementing Acts) konkretere technische und methodische Anforderungen erlassen, die dann direkt verbindlich werden und dann vor der obigen Liste (4) Vorrang haben. §30 (6)

Für Betreiber von DNS, TLD, Cloud, Rechenzentren, CDNs, Managed Services und Managed Security Services, Online-Marktplätzen, Suchmaschinen, soziale Netzwerke und Vertrauensdienste wird die EU-Kommission bis Oktober 2024 in einem separaten Implementing Act verbindliche Maßnahmen festlegen, § (4) gilt für diese lediglich nachrangig. §30 (5)

Angemessenheit und Wirksamkeit

Die Maßnahmen müssen geeignet, verhältnismäßig und wirksam §30 (1) sowie dem Risiko angemessen sein und den Stand der Technik einhalten. Sie sollen internationale und europäische Normen einhalten und dabei Umsetzungskosten vor dem Hintergrund gesellschaftlicher und wirtschaftlicher Auswirkungen von Ausfällen berücksichtigen. §30 (2)

Betreiber kritischer Anlagen

Für Betreiber kritischer Anlagen gelten bei der Auswahl von Maßnahmen und Bewertung der Angemessenheit höhere Maßstäbe zum Schutz der IT, Komponenten und Prozesse der betriebenen Anlagen. Insbesondere müssen sie bei der Wahl von Maßnahmen die in den aktuellen Lageberichten und Bewertungen des BSI genannten Bedrohungsszenarien für die Versorgungssicherheit berücksichtigen. §30 (3)

Betreiber kritischer Anlagen müssen darüberhinaus weitere Anforderungen umsetzen:

Systeme zur Angriffserkennung §39 (1)
Nachweispflichten für SzA und KRITIS-Dachgesetz §39 (2)

Produkte

Zertifizierte Produkte

Verwenden besonders wichtige oder wichtige Einrichtungen bestimmte IKT-Produkte, Dienste oder Prozesse, müssen diese über eine Cybersicherheitszertifizierung gem. Art. 49 EU 2019/881 verfügen §30 (9)(9a). Welche Produkte, Dienste oder Prozesse betroffen sind, wird noch in der Rechtsverordnung nach §57 (6) bestimmt.

Qualität von Produkten

Zur Gewährleistung der Sicherheit der Lieferkette (§30 (4) 4) müssen besonders wichtige Einrichtungen die spezifischen Schwachstellen von Anbietern und Diensteanbietern sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis inkl. der Sicherheit der Entwicklungsprozesse berücksichtigen §30 (8).

Dabei muss die koordinierte Risikobewertung kritischer Lieferketten auf Ebene der Union (Art. 22 NIS2-Richtlinie) berücksichtigt werden.

Kritische Komponenten

Der Einsatz sogenannter kritischer Komponenten muss durch Betreiber kritischer Anlagen dem Innenministerium gemeldet werden §41 (1). Kritische Komponenten und Funktionen müssen in Gesetzen festgelegt werden (bis jetzt nur im TK-Sektor durch das TKG 2021).

Das Innenministerium darf den Einsatz kritischer Komponenten untersagen aufgrund:

Beeinträchtigung der öffentlichen Ordnung und Sicherheit — wenn der Hersteller von der Regierung, staatlichen Stellen oder den Streitkräften eines Drittstaats kontrolliert wird, an nachteiligen Aktivitäten gegen die öffentliche Ordnung und Sicherheit Deutschlands, der EU, EFTA oder NATO beteiligt war oder ist, oder wenn der Einsatz nicht mit sicherheitspolitischen Zielen Deutschlands, der EU oder der NATO im Einklang ist. §41 (2)
Fehlender Vertrauenswürdigkeit des Herstellers durch Garantieerklärung, Sicherheitstests und Schwachstellen und Manipulationen in den betreffenden Produkten. §41 (4) (5)

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung zur Vertrauenswürdigkeit des Herstellers eingesetzt werden, die von KRITIS-Betreibern dem Innenministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen ist. §41 (3)

Der Einsatz bestimmter Komponenten oder Hersteller darf bei schwerwiegenden Verstößen auch längerfristig untersagt werden. §41 (6) (7)

Informationen

Nachweise und Prüfungen

Die Umsetzung der NIS2-Maßnahmen muss dem BSI von besonders wichtigen Einrichtungen und Betreiber kritischer Anlagen alle zwei Jahre nachgewiesen werden. Die Zeitleiste dafür hängt von der eigenen Registrierung und dem Inkrafttreten der neuen Gesetze ab. Der Modus ist analog zu den bisherigen KRITIS-Prüfungen mit Audits, Prüfungen oder Zertifizierungen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Juli 2023
Pflicht	Betreiber kritischer Anlagen	Besonders wichtige Einrichtung	Wichtige Einrichtung
Nachweispflicht	§34 (1) §39 (2)	§34 (1)	-
Inhalt	Maßnahmen Meldepflicht SzA	Maßnahmen Meldepflicht	-
Frequenz	alle zwei Jahre	alle zwei Jahre	-
Form	Audits	Audits	-
Empfänger	BSI, ggf. BBK	BSI	-

Die bisherigen KRITIS-Audits (und Zyklen) für Betreiber bleiben vorerst bestehen, es wird zwischen 2024 und 2028 sicherlich Übergangsfristen und den Versuch einer Synchronisation zum KRITIS-Dachgesetz geben. Nach Prognose werden 8.100 Einrichtungen und Betreiber in Zukunft regelmäßig auditiert werden müssen.

Besonders wichtige Einrichtungen

Besonders wichtige Einrichtungen (einschließlich Betreiber kritischer Anlagen) müssen dem BSI die Umsetzung der §30 (1) Maßnahmen und §31 Meldepflichten nach der Registrierung alle zwei Jahre nachweisen. Der Nachweis kann durch Audits, Prüfungen oder Zertifizierungen erfolgen, analog der bisherigen KRITIS-Prüfungen. §34 (1)

Der Zeitpunkt des (ersten/neuen) Nachweises wird vom BSI nach Registrierung festgelegt, spätestens vier Jahre nach Inkrafttreten des Gesetzes, d.h. zwischen 2024 und 2028.

Der Nachweis umfasst die festgestellten Mängel, einen Umsetzungsplan zur Beseitigung und ggf. Nachweise der Behebung von Mängeln. Im Gegensatz zu KRITIS-Prüfung werden die §34 Nachweisprüfungen nicht (unbedingt) auf eine bestimmte Anlage bzw. einen bestimmten Geltungsbereich beschränkt sein.

Das BSI kann Standards und Vorgaben für diese Nachweis-Prüfungen festlegen. §34 (2)

Betreiber kritischer Anlagen

Die Betreiber von kritischen Anlagen müssen, da sie auch besonders wichtige Einrichtungen sind, Nachweise durch Audits, Prüfungen oder Zertifizierungen nach §34 alle zwei Jahre dem BSI nachweisen, wie bisher bei KRITIS-Prüfungen.

Zusätzlich müssen Betreiber kritischer Anlagen den Einsatz von Systemen zur Angriffserkennung (SzA) als Teil des Nachweises erbringen. §39 (2)

Fallen Betreiber auch unter das KRITIS-Dachgesetz (Resilienz), können sie die Nachweise nach §34 (1) und §39 (2) zum selben Zeitpunkt der Nachweise für das KRITIS-Dachgesetz (dort §11 (8)) erbringen. §39 (2)

Das BSI hat nach wie vor die Befugnis, von sich aus Betreiber kritischer Anlagen zu prüfen §39 (3) und Standards und Vorgaben für Nachweis-Prüfungen festzulegen. §39 (4).

Meldewesen

Mit der NIS2-Umsetzung kommen auf die betroffenen Einrichtungen umfangreiche Informations- und Meldepflichten zu, die über die KRITIS-Meldepflichten hinausgehen.

Meldung von Sicherheitsvorfällen

Besonders wichtige Einrichtungen (+ Betreiber kritischer Anlagen) und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen: §31

Erstmeldung (frühe) bei erheblichen Sicherheitsvorfällen innerhalb von 24h
Meldung über einen erheblichen Sicherheitsvorfall innerhalb von 72h mit Bewertung der Erstmeldung (Schwere, Auswirkungen, Indikatoren)
Zwischenmeldungen auf Nachfrage des BSI
Abschlussmeldung oder Fortschrittsmeldung innerhalb eines Monats mit Beschreibung, Ursachen, Maßnahmen, grenzüberschreitenden Auswirkungen
Vertrauensdienste müssen unverzüglich, in jedem Fall innerhalb von 24 Stunden melden
Betreiber kritischer Anlagen müssen zusätzlich die Anlagen, kritische Dienstleistung und Auswirkungen melden

Das BSI richtet die Meldemöglichkeit im Einvernehmen mit dem BBK ein – potenziell für das KRITIS-Dachgesetz.

Meldungen an Kunden und Öffentlichkeit

Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden (Empfänger ihrer Dienste) zu unterrichten. §35 (1)

Einrichtungen aus den Sektoren Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, IKT-Dienste und Digitale Dienste müssen von einer erheblichen Cyberbedrohung potenziell betroffene Kunden unverzüglich informieren, einschließlich möglicher Gegenmaßnahmen. §35 (2)

Das BSI meldet sich nach Möglichkeit innerhalb von 24h bei Unternehmen nach Eingang der Meldung zurück, ggf. mit möglichen Nachfragen, Unterstütsungsangeboten und Informationen. Falls eine Sensibilisierung der Öffentlichkeit erforderlich oder im öffentlichen Interesse ist, so kann das BSI Betreiber auffordern, dies zu tun.

Registrierung und Kontaktstelle

Einrichtungen und Betreiber müssen sich selbst identifizieren und beim BSI registrieren. Für bestimmte Unternehmen gelten spezielle Registrierungsregeln. §32 §33

Besonders wichtige und wichtige Einrichtung sowie DNS-Registries müssen sich innerhalb von drei Monaten beim BSI registrieren. Zu den Daten gehören Name, Rechtsform, Kontaktdaten, Mail/Telefon, IP-Adressbereiche, Sektor und Teilsektor, EU-Staaten mit Geschäftsaktivitäten. §32 (1)

Betreiber kritischer Anlagen müssen sich am ersten Werktag nach Identifikation kritischer Anlagen beim BSI registrieren und eine jederzeit erreichbare Kontaktstelle benennen. §32 (3)

Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries von sich aus registrieren, ebenfalls Betreiber kritischer Anlagen. Dazu kann das BSI Unterlagen und Einzelheiten anfordern, und das Verfahren noch genauer definieren. §32 (2) (4), (5-7)

Bestimmte Einrichtungen müssen sich bis zum 17. Januar 2025 beim BSI registrieren. §33 Dies umfasst EU-Betreiber, die in Deutschland nach §63 zentral vom BSI reguliert werden: DNS und TLD, Cloud Computing, Rechenzentren, CDNs, MSP und Managed Service und Security Service Provider, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke

Informationsaustausch

Besonders wichtige Einrichtungen müssen ab 1 Jahr nach Inkrafttreten des Gesetzes am Informationsaustausch über die zentrale Austauschplattform des BSI teilnehmen. §30 (10)

Staat und BSI

Aufsicht

Zuständigkeiten

Das BSI ist zuständig für besonders wichtige und wichtige Einrichtungen und Betreiber kritischer Anlagen in Deutschland: §62

Besonders wichtige und wichtige Einrichtungen, die in Deutschland niedergelassen sind
Betreiber kritischer Anlagen, die auf deutschem Hoheitsgebiet betrieben werden

Für bestimmte Betreiber, die in der Europäischen Union tätig sind und ihren Hauptsitz in Deutschland haben, ist das BSI für diese Einrichtungen zentral in der EU zuständig. §63

DNS-Dienste, Domain Registries und TLD Registries
Cloud Computing (Provider), Anbieter von Rechenzentren und Content Delivery Networks
Managed Service und Managed Security Service Provider
Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke

Überwachung

Das BSI hat für Einrichtungen Aufsichts- und Durchsetzungsmaßnahmen zur Überwachung der Vorgaben und Sicherstellung der Einhaltung. §64 §65

Für besonders wichtige Einrichtungen darf das BSI:

Überprüfung der Umsetzung von Anforderungen bei den Einrichtungen §64 (1)
Anweisungen zur Verhütung oder Behebung von Sicherheitsvorfällen §64 (2)
Verbindliche Anweisungen der Umsetzung der Verpflichtung nach Gesetz §64 (3)
Unterrichtung von Personen und Unternehmen durch die Einrichtungen über Maßnahmen gegen Cyberbedrohungen §64 (4)
Überwachungsbeauftragter zur Überwachung der Pflichten nach §§28, 29, 37 (?) §64 (5)
Entzug der Zulassung bei Nicht-Nachkommen von Anforderungen trotz Fristsetzung und Untersagung Leitungsaufgabe der Geschäftsführung §64 (6)
und weiteres

Für wichtige Einrichtungen darf das BSI:

Überprüfung der Einhaltung von Anforderungen (§30 Absatz 1 und §29) bei Einrichtungen, wenn das BSI Kenntnis erlangt §65 (1) und analog §64 Satz 2-4
Verbindliche Anweisungen zur Umsetzung der Verpflichtung nach Gesetz §65 (1) Nr. 2
Informationen anfordern um die Einhaltung zu Überprüfen §65 (2)
Unterrichtung von Personen und Unternehmen durch die Einrichtungen über Maßnahmen gegen Cyberbedrohungen §65 (3)

Meldestelle

§4 legt das BSI als zentrale Meldestelle für Bundesbehörden, §5 als zentrale allgemeine Meldestelle für Sicherheit in der IT, §40 als zentrale Meldestelle für Betreiber kritischer Anlagen und Einrichtungen für fest. Das BSI darf deshalb zur Abwehr von Gefahren Informationen sammeln und auswerten und sich mit anderen Behörden austauschen.

Sanktionen und Bußgelder

Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §60. Die bisherigen KRITIS-Bußgelder werden dabei um einige neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht. Die Bußgelder und Sanktionen unterscheiden sich nach Gruppe:

Persönliche Haftung von Geschäftsführern §38
Allgemeine Tatbestände §60 (5)
Bußgelder für wichtige Einrichtungen §60 (6)
Bußgelder für Betreiber kritischer Anlagen und besonders wichtige Einrichtungen §60 (7)

Persönliche Haftung

Neben Bußgeldern für Unternehmen gibt es im NIS2-Umsetzungsgesetz auch persönliche Haftung von Geschäftsführern besonders wichtiger und wichtiger Einrichtungen §38. Diese müssen die vorgeschriebenen Risikomanagement-Maßnahmen für Cybersicherheit billigen und die Umsetzung in der Einrichtung überwachen. Eine Auslagerung dieser Aufgaben an Dritte ist nicht zulässig.

Verletzen Geschäftsleiter ihre Billigungs- und Überwachungspflicht, haften sie der Einrichtung für den entstandenen Schaden. Die Amtshaftung bleibt davon unberührt.

Allgemeine Tatbestände

Allgemeine Bußgeldtatbestände nach §60 (5) unterscheiden in der Bußgeldbewährung nicht zwischen den unterschiedlichen Betreiber-Gruppen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand April 2023
Höhe	Verstöße
2 Mio. EUR	Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit eines IT-Systems wird verweigert §11 (6) TK-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen §16 (1) 1 auch i.V.m. §16 (3) TMD-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen §17 Besonders wichtige Einrichtungen: durch das BSI verlangte Dokumentationen, Mängelbeseitigungspläne oder Nachweise werden nicht vorgelegt bzw. Sicherheitsmängel nicht beseitigt §34 (1) Satz 5 Hinweis: Anwendung von §30 (2) 3 OWiG
500.000 EUR	Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei betroffenen IKT-Produkten wird verweigert §18 Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt Tätigwerden als Konformitätsbewertungsstelle ohne Genehmigung Verwendung des IT-Sicherheitskennzeichen ohne Freigabe Vorgabe, Inhaber einer Zertifizierung zu sein, ohne dass diese besteht Vorgabe, Inhaber eines europäischen Cybersicherheitszertifikats oder Aussteller einer EU-Konformitätserklärung zu sein, obwohl diese nicht besteht, wiederrufen oder für ungültig erklärt wurde
100.000 EUR	Zuwiderhandlung durch Hersteller gegen Anordnung zur Auskunft zu Produkten und Sytemen, insb. auch technischen Details §14 (2) 1 Nachweise werden nicht oder nicht rechtzeitig erbracht

Wichtige Einrichtungen

Folgende zusätzliche Bußgelder sind nach §60 (6) für wichtige Einrichtungen definiert.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand April 2023
Höhe	Verstöße
7 Mio. EUR oder 1,4 Prozent Umsatz	Vorkehrungen zur Cybersicherheit nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen Meldungen erfolgen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig
500.000 EUR	Nachweise über Erfüllung der Anforderungen werden nicht oder nicht rechtzeitig erbracht Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt Informationen zur Bewältigung einer Störung werden nicht herausgegeben Hinweis: Nachweiserbringung nach §34 (1) 1 oder §39 (2) 1 und Informationsherausgabe nach §40 (4) 1 eigentlich nicht relevant für wichtige Betreiber. Registrierungspflicht bereits über allgemeine Bußgelder geregelt
100.000 EUR	Änderungen notwendiger Angaben werden nicht fristgerecht übermittelt Verbindlichen Anweisungen zur Umsetzung der Gesetzesanforderungen nach §65 (1) 2 wird nicht nachgekommen Anweisungen zur Veröffentlichung von Verstößen nach §65 (3) wird nicht nachgekommen

Betreiber kritischer Anlagen und besonders wichtige Einrichtungen

Folgende zusätzliche Bußgelder sind nach §60 (7) für Betreiber kritischer Anlagen oder besonders wichtige Einrichtungen definiert.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand April 2023
Höhe	Verstöße
10 Mio. EUR oder 2 Prozent Umsatz	Nachweise über Erfüllung der Anforderungen werden nicht richtig oder nicht vollständig erbracht Vorkehrungen zur Cybersicherheit werden nicht richtig, nicht volländig oder nicht rechtzeitig getroffen Nachweise über Erfüllung der Anforderungen werden nicht oder nicht rechtzeitig erbracht Meldungen erfolgen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig
500.000 EUR	Das Betreten eines Raums wird nicht gestattet, eine Unterlage wird nicht oder nicht rechtzeitig vorgelegt, eine Auskunft wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung wird nicht oder nicht rechtzeitig gewährt Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt Änderungen notwendiger Angaben werden nicht fristgerecht übermittelt Informationen zur Bewältigung einer Störung werden nicht herausgegeben Verbindlichen Anweisungen zur Umsetzung der Gesetzesanforderungen nach §64 (3) wird nicht nachgekommen
100.000 EUR	Kontaktstelle ist nicht erreichbar Anweisungen zur Veröffentlichung von Verstößen nach §64 (4) oder Mitwirkungspflichten eines Überwachungsbeauftragten nach §64 (5) wird nicht nachgekommen Hinweis: Erreichbarkeit der Kontaktstelle und Herausgabe von Informationen zur Störungsbewältigung nur für KRITIS-Betreiber relevant

Bundeseinrichtungen

Die Pflichten besonders wichtiger Einrichtungen sind auf Einrichtungen der Bundesverwaltung anzuwenden, sofern keine expliziten Abweichungen geregelt sind §29.

Einrichtungen der Bundesverwaltung im Sinne von NIS2 sind:

Stellen des Bundes
Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts
Öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen

Wichtig: Teile der Bundesverwaltung können parallel als besonders wichtige Einrichtung und teils auch als KRITIS reguliert werden. Hier bleiben die konkreten Festlegungen aus der Rechtsverordnung nach §57 abzuwarten.

Differenzierung und Ausschlüsse

Betreffende Einrichtungen der Bundesverwaltung werden wie folgt differenziert:

Einrichtungen der Bundesverwaltung müssen die Anforderungen besonders wichtiger Einrichtungen aus Kapitel 2 (§§ 30-42) umsetzen §29 (2)
Einrichtungen der Bundesverwaltung, die gemäß Rechtsverordnung nach §57 dem Sektor Zentralregierung angehören, müssen die Anforderungen aus Kapitel 2 umsetzen §29 (3)
Einrichtungen der Bundesverwaltung, die besonders wichtige oder wichtige Einrichtungen sind, müssen Anforderungen aus Kapitel 2 (§§ 30-42) und Kapitel 3 umsetzen §29 (4)

Aus den regulierten Bundeseinrichtungen sind ausgeschlossen:

Streitkräfte und militärischer Abschirmdienst

Anforderungen

Unter Berücksichtigung der genannten Differenzierung werden an alle Bundeseinrichtungen folgende Anforderungen an Cybersicherheit gestellt:

alle Risikomanagementmaßnahmen nach §30
Meldepflichten für Sicherheitsvorfälle nach §31
Registrierungspflichten nach §32 §33
Nachweispflichten nach §34
Unterrichtungspflichten nach §35
Billigungs- und Überwachungspflichten nach §38
(§39 Angriffserkennung ist wohl nicht relevant)

Bundeseinrichtungen, die nach §28 besonders wichtige oder wichtige Einrichtungen sind, müssen zusätzlich erfüllen:

Informationssicherheitsmanagement unter Berücksichtigung von IT-Grundschutz bzw. Mindeststandards für die Sicherheit der Informationstechnik des Bundes §43 §44 (1)

Steuerung

Es müssen weiterhin Strukturen auf Bundesebene und bei Einrichtungen geschaffen werden:

Bundes-CISO: Es soll einen Koordinator für Informationssicherheit auf Bundesebene, gestellt durch die Bundesregierung geben. §48 §49 §50
ISB von Einrichtungen der Bundesverwaltung ist für den Aufbau und die Aufrechterhaltung des Informationssicherheitsprozesses der Einrichtung verantwortlich §45
ISB der Ressorts initiiert und koordiniert die Fortschreibung von Informationssicherheitsleitlinien für sein oder ihr Ressort §46
ISB für wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes wegen der zunehmenden Bedeutung und Größe als eigene ISBs §47

Ausblick

Gesetzgebung

Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, NIS2UmsuCG, ändert das BSI-Gesetz als Artikelgesetz deutlich, da die Anforderungen der Richtlinie deutlich über die Bestimmungen des IT-SiG 2.0 hinausgehen oder sie teilweise ersetzen.

Das NIS2-Umsetzungsgesetz soll am 1. Oktober 2024 in Kraft treten, das bisherige BSIG dann außer Kraft. Seit Sommer 2023 sind Referentenentwürfe vom NIS2UmsuCG publik.

Ablauf NIS2, Stand Juli 2023
Version	Status	Datum	Akteur
NIS	Deadline nationale Umsetzung	Mai 2018	Mitgliedstaaten
IT-Sicherheitsgesetz 2.0	Inkrafttreten	Mai 2021	Bundesrat
NIS2	EU 2022/2555 Final	Dez 2022	Amtsblatt
NIS2-Umsetzungsgesetz	Referentenentwurf	Apr 2023	Innenministerium
NIS2-Umsetzungsgesetz	Referentenentwurf	Jul 2023	Innenministerium
NIS2-Umsetzungsgesetz	Diskussionspapier	Sep 2023	Innenministerium
NIS2-Umsetzungsgesetz	Verkündung	3/2024?	Bundestag
Rechtsverordnung(en)	fehlt noch	bis Okt 2024	Innenministerium
NIS2-Umsetzungsgesetz	Verkündung, geplant	Okt 2024	Bundestag
NIS2-Umsetzungsgesetz	Inkrafttreten, geplant	Okt 2024	Bundesgesetzblatt
NIS2	Deadline Umsetzung	Okt 2024	Mitgliedstaaten

Evaluierung

In der NIS2-Umsetzung ist keine Evaluierung in Deutschland vorgesehen, da EU NIS2 selbst (Art. 40) durch die Europäische Kommission evaluiert werden soll, Begründung A. VII. und eine (auf den Mitgliedstaat Deutschland isolierte) Evaluierung der Umsetzung nicht zielführend sei. Zu Art. 7

Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen (aufgehoben). Art. 7 Die Evaluierung dieser Vorschriften erübrigen sich, weil diese in weiten Teilen im Zuge der NIS-2-Umsetzung geändert werden. Zu Art. 7

Die Ergebnisse der teilweisen Evaluierung des IT-Sicherheitsgesetzes 2.0 flossen in das NIS2-Umsetzungsgesetz wohl ein, so die Begründung.

Auswirkungen

In Deutschland geht der Gesetzgeber von etwa 30.000 betroffenen Unternehmen in den verschiedenen Gruppen aus, von denen erst 40 Prozent im Grundsatz ausreichende Maßnahmen ergriffen haben. Abzüglich der bestehenden Betreiber haben laut Prognose über 14.500 Unternehmen damit (neuen) Handlungsbedarf. Begründung A. VI.

Betreiber

Der Gesetzesentwurf prognostiziert betroffene Unternehmen:

Besonders wichtige Einrichtungen: 8.100 Unternehmen
- davon 4.693 digitale Dienste und Betreiber Kritischer Infrastrukturen (KRITIS)
- davon rund 3.400 neue besonders wichtige Einrichtungen
Wichtige Einrichtungen: 20.900 Unternehmen

Aufwände

Der Entwurf vom NIS2-Umsetzungsgesetz schätzt Aufwände für die Umsetzung von NIS2 in der Wirtschaft und der Verwaltung. Die Zahlen basieren auf einer Folgekostenschätzung des statistischen Bundesamts. Begründung A. IV.

Für die Wirtschaft:

Jährlicher Erfüllungsaufwand von (erhöht sich um) 1,65 Mrd. EUR
Einmalige Aufwand von 1,37 Mrd. EUR
- fast ausschließlich [zur] Einführung oder Anpassung digitaler Prozessabläufe
- davon 121 Mio. EUR Bürokratiekosten für Informationspflichten

Für die Bundesverwaltung:

Planstellen noch nicht bekannt

Betreibergruppen

Die Zwei/Dreiteilung in Betreiber und Einrichtungen und das Beibehalten der kritischen Anlagen (KRITIS) wird mit dem Gleichklang mit dem KRITIS-Dachgesetz begründet, das Betreiber kritischer Anlagen reguliert. Andererseits habe die Evaluierung ergeben, dass NIS2 zu einer so starken Ausweitung von Betroffenheit führe, dass weiterhin eine differenzierte Bestimmung mit Fokus Versorgungsrelevanz erfolgen solle. Zu §57 (1)

Fristen und Umsetzung

Im Gesetz sind verschiedene Fristen zur Umsetzung der Anforderungen vorgesehen. Das Gesetz NIS2UmsuCG selbst soll zum 1. Oktober 2024 in Kraft treten.

Besonders wichtige Einrichtungen

Registrierung innerhalb von 3 Monaten nach Identifizierung §32 (1)
Erstmaliger Nachweis über Maßnahmenumsetzung spätestens zu einem vom Bundesamt bei der Registrierung festgelegten Zeitpunkt: spätestens vier Jahre nach Inkrafttreten des Gesetzes §34 (1), d.h. zwischen 2024-2028.
Fortlaufende Nachweise über Maßnahmenumsetzung anschließend alle 2 Jahre §34 (1)
Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten §30 (10)

Wichtige Einrichtungen

Registrierung innerhalb von 3 Monaten nach Identifizierung §32 (1)

Betreiber kritischer Anlagen

Registrierung am nächsten Werktag nach Identifizierung §32 (3)
Erstmaliger Nachweis über Maßnahmenumsetzung spätestens zu einem vom BSI (oder BBK im DachG) bei der Registrierung festgelegten Zeitpunkt: spätestens vier Jahre nach Inkrafttreten des Gesetzes §34 (1), d.h. zwischen 2024-2028.
Fortlaufende Nachweise über Maßnahmenumsetzung anschließend alle 2 Jahre §34 (1)
Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten §30 (10)

Rechtsverordnung

Verschiedene Anforderungen aus dem NIS2UmsuCG sollen durch eine oder mehrere Rechtsverordnungen konkretisiert oder definiert werden: §57

Die relevanten Sektoren und Dienstleistungen (KRITIS und NIS2), Anlagen und Schwellenwerte (KRITIS) sowie Einrichtungsarten und Größenregeln (NIS2).
Als kritisch anzusehende Dienstleistungen, deren Versorgungsgrad sowie welche Anlagen oder Teile davon als kritische Anlagen im Sinne des Gesetzes gelten §57 (1) 1
Konkrete Einrichtungsarten, die besonders wichtige Einrichtungen sind §57 (1) 2
Konkrete Einrichtungsarten, die wichtige Einrichtungen sind §57 (1) 3
Details über die Erteilung von Sicherheitszertifikaten und Anerkennung nach §54 §57 (2)
Einzelheiten des IT-Sicherheitskennzeichens nach §52, sowie Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben und der Freigabe §57 (3)
Produkte, Dienste oder Prozesse, die von besonders wichtigen oder wichtige Einrichtungen eingesetzt werden, die über eine Zertifizierung §30 (9) verfügen müssen §57 (4)

Die Rechtsverordnung soll im Einklang mit dem KRITIS-Dachgesetz definiert werden und Betreiber und Einrichtungen in einer Verordnung zusammenfassen, damit betroffene Unternehmen zentral in einer Tabelle relevante Kategorien und Schwellenwerte finden. Versorgungsgrad und Schwellenwerte werden wohl analog der bisherigen KRITIS-Anlagen definiert, Einrichtungen, Sektoren und Dienstleistungen noch offen. Zu §57 (1)

Ein Entwurf der Rechtsverordnung(en) ist noch nicht verfügbar.

EU-Vorgaben und Umsetzungsakte

Die EU-Kommission kann zur Definition der §30 (4) Maßnahmen noch eigene Vorgaben durch Durchführungsrechtsakte (Implementing Acts) erlassen, welche dann Vorrang vor nationalem Recht hätten. Falls dies nicht eintritt, soll das Bundesinnnenministerium selbst technische, methodische und sektorale Definitionen zur Konkretisierung erlassen.

Branchenstandards

Besonders wichtige Einrichtungen, d.h. auch Betreiber kritischer Anlagen, können weiterhin branchenspezifische Sicherheitstandards (B3S) zur Umsetzung der §30 (1) Maßnahmen vorschlagen. Das BSI stellt die Eignung der B3S fest. §30 (12)

Auswirkung auf weitere Gesetze

Telekommunikationsgesetz

Bis jetzt sind nur aktualisierte Verweise enthalten – inhaltliche Veränderungen noch nicht.

Energiewirtschaftsgesetz

Der Entwurf von April 2023 sah noch vor, dass die geteilte Regulierung von Energiebetreibern durch BNetzA und BSI zentralisiert werden soll. Der neuere Entwurf von Juli 2023 geht revers – nach letztem Stand ist vorgesehen, dass die Regulierung wie bislang bei der BNetzA verbleibt. § 11 (1a)-(1c) EnWG werden lediglich bezüglich der Risikomanagementmaßnahmen und Meldepflichten konkretisiert.

Weitere Gesetze

Gesetzesänderungen, Stand Juli 2023
Gesetz	Änderung	NIS2UmsuCG
BSI-Gesetz	Komplette Änderungen oben	Art. 1
BSI-Gesetz	Ermächtigung Rechtsverordnung	Art. 2
BND-Gesetz, SÜFV, TTDSG, GleibWV	Verweise	Art. 3-6
IT-Sicherheitsgesetz 2.0	Evaluierung zum 1. Mai 2025 gestrichen	Art. 7
BSIZertV, BSI-ITSiKV, De-Mail-Gesetz, PassDEÜV, PAuswV, KassenSichV, ATG,	Verweise	Art. 8-15
EnWG	Änderungen siehe oben	Art. 16
MsbG, EnSiG, SGB V, DiGAV , SGB VI, BFSGV, TKG, KHSFV, MessEV, AWV, VDG,	Verweise und Definitionen	Art. 17-27

Änderungen der Referentenentwürfe

Es gab bisher zwei öffentliche Referentenentwürfe aus April und Juli 2023. Die Änderungen nachzuvollziehen ist nicht ganz einfach, unser bisheriger Stand, noch ohne den Teilentwurf des Diskussionspapier aus September 2023.

Juli 2023 vs. April 2023

Weltraum wird analog zum KRITIS-Dachgesetz ein neuer Sektor, Digitale Infrastruktur heißt wieder IT und TK, Bankwesen ist wieder Finanz- und Versicherungswesen.
Für technische und organisatorische Maßnahmen nach §30 wird neben Verhältnismäßigkeit nun explizit Eignung und Wirksamkeit gefordert.
Betreiber kritischer Anlagen müssen bei der Angemessenheit von Maßnahmen die aktuellen Lageberichte und Bewertungen des BSI zu Bedrohungsszenarien für die Versorgungssicherheit berücksichtigen.
Die Frist für erstmalige Nachweise wurde etwas verlängert, auf nun (spätestens) vier Jahre nach Inkrafttreten.
Geschäftsleiter besonders wichtiger Einrichtungen im Teilsektor Zentralregierung werden aus der sogenannten Managerhaftung ausgeschlossen.
Die angestrebte Vereinfachung der Regulierung im Energiesektor mit BSI und BNetzA wird (leider) wieder aufgelöst: die bisherige Regulierung soll bestehen bleiben, Maßnahmen zum Risikomanagement und verschärfte Meldepflichten aus dem NIS2UmsuCG sollen stattdessen ins EnWG durchgereicht werden.

Weitere Informationen

Literatur

Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
Referentenentwurf des BMI: NIS2UmsuCG, verschiedene Versionen, AG KRITIS 2023

Quellen

Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Intrapol, 3. April 2023
Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022