NIS2 Umsetzungsgesetz

Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cyber­sicherheit, das NIS2UmsuCG, wird ab 2024 in Kraft treten. Es überführt die EU-weiten Mindest­standards für Cybersecurity der EU-Direktive NIS2 in deutsche Regulierung. Die NIS2-Umsetzung wird mindestens 30 Tsd. Unternehmen in Deutschland betreffen.

  1. Unternehmen
  2. Cybersecurity
  3. Informationen
  4. Staat und BSI
  5. Ausblick

Das Gesetz liegt als Referentenentwurf vor und muss bis Oktober 2024 die Gesetz­gebung auf Bundesebene durchlaufen. Das NIS2UmsuCG ist ein Änderungs­gesetz, das bestehende Gesetze ändert – primär die KRITIS-Teile des BSI-Gesetzes. Neben NIS2 wird das KRITIS-Dachgesetz kritische Betreiber regulieren.

Dieser Artikel baut auf dem letzten Diskussions­papier des NIS2UmsuCG von September 2023 und dem Werkstatt­gespräch des BMI vom Oktober 2023 auf (in den Quellen verlinkt).

OpenKRITIS-Konferenz 2023

OpenKRITIS-Konferenz: Sicherheit in Kritischen Infrastrukturen

Erfahrungen mit KRITIS von Betreibern und Vorbereitung auf NIS2
Online-Konferenz ∙ Buchung auf pretix ∙ 12. März 2024 ab 9:30

NIS2 und KRITIS-Dachgesetz: Was kommt auf Unternehmen zu?

Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2024
Deutsch ∙ PDF ∙ Januar 2024 ∙ OpenKRITIS-Briefing

Die Umsetzung von NIS2

Neue Cybersecurity-Regulierung ab 2024

Das NIS2-Umsetzungsgesetz ändert die deutsche KRITIS-Regulierung deutlich – neben den Betreibern kritischer Anlagen wird es besonders wichtige Einrichtungen und wichtige Einrichtungen geben. Für etwa 30.000 betroffene Unternehmen in Deutschland, die über klassische Kritische Infrastrukturen hinausgehen, steigen die Security-Pflichten.

Die bestehende KRITIS-Regulierung wird durch die NIS2-Umsetzung deutlich erweitert mit einem Mehrklassen-System an Betreibern mit unterschiedlichen Stufen von Pflichten.

Stand der Dinge Februar 2024

Im September 2023 wurde vom Innenministerium ein Diskussionspapier zum Dialog mit der Wirtschaft veröffentlicht, der dritte Entwurf des NIS2-Umsetzungsgesetzes:

Ein vierter Referentenentwurf der NIS2-Umsetzung sollte Anfang 2024 veröffentlicht werden. Es sind keine großen Änderungen zum hier beschrieben Stand zu erwarten.

up

Betroffene Unternehmen

Unternehmen in Deutschland

Die von NIS2 betroffenen Unternehmen in Deutschland bestehen aus drei (vier) Gruppen: Die bestehenden Betreiber kritischer Anlagen (KRITIS), die besonders wichtigen und wichtigen Einrichtungen und einige Bundeseinrichtungen: §28

  1. Besonders wichtige Einrichtungen nach Größe des Unternehmens in Sektoren Anlage 1
    G Unternehmen ab 250 Mitarbeitern oder
    G Unternehmen ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR
    U Sonderfälle: qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen, Zentralregierung
  2. Wichtige Einrichtungen nach Größe des Unternehmens in Sektoren aus Anlage 1 2
    M Unternehmen ab 50 Mitarbeitern oder
    M Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR
    U Vertrauensdienste
  3. Betreiber kritischer Anlagen (KRITIS-Betreiber) stellen weiterhin mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung fest, auch KRITIS-Dachgesetz
       KRITIS-Anlage über Schwellenwert (in der Regel ≥ 500 Tsd. versorgte Personen)
  4. Neben Einrichtungen werden auch Bundeseinrichtungen mit einigen Pflichten reguliert.

Bundeseinrichtungen in §29 noch aus Juli 2023, bald wohl Anlage 3.

Betreiber kritischer Anlagen (KRITIS)

Die bisherigen KRITIS-Betreiber, die Kritischen Infrastrukturen, werden zu Betreibern kritischer Anlagen. §28 (5) Die KRITIS-Logik von KRITIS-Sektoren, kritischen Dienstleistungen und KRITIS-Anlagen mit Schwellenwerten bleibt hier erhalten. Die Betreiber werden gleichzeitig zu besonders wichtige Einrichtungen. §28 (1) Nr. 4

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand September 2023
Betreiber Größe Sektoren
Kritische Anlagen
§28 (5)
Anlagen mit
Schwellenwerten
§28 (6)
Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitsweisen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung

Besonders wichtige und wichtige Einrichtungen

Die neuen besonders wichtigen Einrichtungen §28 (1) sind Großunternehmen bestimmter Sektoren, einige Unternehmen unabhängig ihrer Größe und KRITIS-Betreiber. Die wichtigen Einrichtungen §28 (2) sind Großunternehmen und mittlere Unternehmen in vielen Sektoren.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand September 2023
Einrichtung Größe Sektoren
Besonders wichtig
§28 (1)
Großunternehmen
aus Anlage 1
Energie, Transport/Verkehr, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT und TK, Weltraum
unabhängig Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste
Mittlere Unternehmen Anbieter öffentlicher TK-Netze und TK-Dienste
unabhängig Betreiber kritischer Anlagen (KRITIS-Betreiber)
unabhängig Zentralregierung (Bundesministerien und Bundeskanzleramt)
Wichtig
§28 (2)
Mittlere Unternehmen
aus Anlage 1
Energie, Transport/Verkehr, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT und TK, Weltraum
Großunternehmen
Mittlere Unternehmen
aus Anlage 2
Post/Kurier, Siedlungsabfallentsorgung, Produktion, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung
unabhängig Vertrauensdienste

Unternehmen im besonderen öffentlichen Interesse

Die Unternehmen im besonderen öffentlichen Interesse (UBI) fallen als separate Kategorie weg und gehen größtenteils in den Einrichtungen auf.

up

Unternehmensgröße

Die Einrichtungen unterscheiden sich nach Unternehmens­größe bei Mitarbeitern und Umsatz, definiert für besonders wichtige Einrichtungen §28 (1) und wichtige Einrichtungen §28 (2).

Einrichtung Sektoren Größe Mitarbeiter Umsatz und Bilanz
Besonders wichtig 1 G Großunternehmen
G Großunternehmen
≥ 250

≥ 50 Mio. + ≥ 43 Mio. EUR
Wichtig 1 2 M ab mittlere Unternehmen
M ab mittlere Unternehmen
≥ 50
≥ 10 Mio. + ≥ 10 Mio. EUR

Die in EU NIS2 genutzten Großunternehmen und mittleren Unternehmen wurden im letzten Gesetzes­entwurf direkt in die Definitionen der Einrichtungen in §28 integriert.

up

Sektoren

In der NIS2-Umsetzung gibt es zwei Gruppen von Sektoren: Sektoren der Einrichtungen sind in Anlage 1 und 2 definiert, KRITIS-Sektoren für kritische Anlagen separat in §28 (6). Für Einrichtungen sind 1 Sektoren hoher Kritikalität und 2 Sonstige kritische Sektoren.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand September 2023
KRITIS Sektoren hoher Kritikalität 1
und Teilsektoren
Sonstige kritische Sektoren 2
und Teilsektoren
Energie Energie
Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas
Transport/Verkehr Transport/Verkehr
Luftverkehr Schienenverkehr, Schifffahrt, Straßenverkehr
Transport/Verkehr
Post und Kurier
Finanz/Versicherung Finanz/Versicherung
Banken, Finanzmarkt-Infrastruktur
Chemie
Herstellung, Handel, Produktion
Gesundheit Gesundheit
Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C 21), Medizinprodukte,
Forschung
Forschungseinrichtungen
Wasser/Abwasser Wasser/Abwasser
Trinkwasser, Abwasser
Verarbeitendes Gewerbe
Medizin/Diagnostika; DV, Elektro, Optik (NACE C 26 und 27); Maschinen­bau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30)
IT und TK IT und TK
IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services
Digitale Dienste
Marktplätze, Suchmaschinen, soziale Netzwerke
Weltraum Weltraum
Bodeninfrastrukturen
Ernährung Lebensmittel
Großhandel, Produktion, Verarbeitung
Entsorgung Entsorgung
Abfallbewirtschaftung

Die betroffenen Einrichtungen der Zentralregierung sollen in einer weiteren Anlage 3 definiert werden, die noch nicht vorliegt.

up

Cybersecurity

Pflichten von Betreibern und Einrichtungen

Die Anforderungen an Betreiber und Einrichtungen ändern sich mit der NIS2-Umsetzung deutlich. Die bisherigen KRITIS-Pflichten aus dem BSI-Gesetz bleiben in Grundzügen erhalten, werden teils präzisiert, teils verschärft und neu strukturiert.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand September 2023
* - implizit, da Betreiber kritischer Anlagen auch besonders wichtige Einrichtungen sind
Pflicht Betreiber kritischer
Anlagen
Besonders wichtige
Einrichtung
Wichtige
Einrichtung
Geltungsbereich Anlage(n) Unternehmen Unternehmen
Maßnahmen Risikomanagement §30 *
Höhere Maßstäbe für KRITIS §31 (1)
Besondere Maßnahmen SzA §31 (2)
Registrierung §33 §34
Meldepflichten §32 *
Nachweise §39 tw. (§64) tw. (§65)
Informationsaustausch §30 (7) *
Unterrichtungspflichten §35 *
Governance Leitungsorgane §38 *

Die Auswirkungen des NIS2-Umsetzungsgesetzes werden in großen Teilen der deutschen Wirtschaft spürbar werden – vor allem in der sehr großen Gruppe der Einrichtungen. Dabei erweitert sich der Scope an Maßnahmen und Pflichten auch (größtenteils) auf das ganze betroffene Unternehmen.

Ausschlüsse

Für diverse Unternehmen bestehen Ausnahmen und Sonderregeln zu NIS2-Pflichten.

  1. Von §30 (2) ausgeschlossen sind: DNS, TLD, Cloud-Computing, Rechenzentren, Content Delivery Networks, Managed Services und Managed Security Services, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke und Vertrauensdienste.
    Für diese Unternehmen wird ein Durchführungs­rechtsakt der EU-Kommission bis Oktober 2024 verbindliche Maßnahmen festlegen. §30 (5)
  2. Betreiber öffentlicher TK-Netze und TK-Dienste sind von §§30-31 ausgeschlossen. §30 (4)
  3. Betreiber von Energieversorgungsnetzen oder Energieanlagen sind von §§30-31 ausgeschlossen. §30 (4)
  4. Die gematik ist von §§30-31 ausgeschlossen. §30 (4)
  5. Von den besonders wichtigen und wichtigen Einrichtungen ausgeschlossen werden Einrichtungen gem. Art. 2 (4) der Verordnung (EU) 2022/2554 (DORA).

up

Risikomanagement

Besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheits­vorfällen gering zu halten. §30 (1)

Betreiber sollen das Ausmaß der Risikoexposition, Größe der Einrichtung, Umsetzungskosten, Eintritts­wahrscheinlichkeit und Schwere von Sicherheits­vorfällen sowie die gesellschaftlichen und wirtschaftlichen Auswirkungen berücksichtigen. §30 (1)

Maßnahmen

Die von Betreibern und Einrichtungen umzusetzenden Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen und sollen europäische und internationale Normen berücksichtigen. Die Maßnahmen müssen mindestens die folgenden Themen umfassen: §30 (2)

Konkretisierung

Eine genaue Konkretisierung der Maßnahmen durch EU, BSI oder Verbände ist noch nicht bekannt, hier ist bis 2024 sicherlich noch Bewegung zu erwarten. Ebenso sind noch keine offizielle Ableitungen auf existierende Cybersecurity Standards wie ISO 27001 oder C5 verfügbar, welche die Maßnahmen in Rahmenwerke einordnen.

Existierende ISMS-Zertifizierungen werden meist nicht ohne weiteres hinreichend für NIS2-Maßnahmen sein – der Geltungsbereich von NIS2 könnte über bestehende Zertifikate hinausgehen, die genannten Maßnahmen sind teils tiefer und weiter als übliche Rahmenwerke.

Implementing Acts der EU

Die EU-Kommission kann nach Art. 21 (5) NIS2 in Durchführungs­rechtsakten (Implementing Acts) konkretere technische und methodische Anforderungen erlassen, die dann direkt verbindlich werden und dann vor der obigen Liste §30 (2) Vorrang haben. §30 (4) Das Innenministerium kann, falls die Rechtsakte nicht abschließend sind, eigene Konkretisierungen erlassen. §30 (5)

Für Betreiber von DNS, TLD, Cloud, Rechenzentren, CDNs, Managed Services und Managed Security Services, Online-Marktplätzen, Suchmaschinen, soziale Netzwerke und Vertrauens­dienste wird die EU-Kommission bis Oktober 2024 in einem separaten Implementing Act verbindliche Maßnahmen festlegen, §30 (2) gilt für diese lediglich nachrangig. §30 (3)

Betreiber kritischer Anlagen

Für Betreiber kritischer Anlagen gelten bei der Auswahl von Maßnahmen und Bewertung der Angemessenheit höhere Maßstäbe und weitere Anforderungen:

up

Produkte

Zertifizierte Produkte

Verwenden besonders wichtige oder wichtige Einrichtungen bestimmte, noch zu benennende, IKT-Produkte, Dienste oder Prozesse, müssen diese über eine Cybersicherheits-Zertifizierung gem. Art. 49 EU 2019/881 verfügen §30 (6). Welche Produkte, Dienste oder Prozesse betroffen sind, wird noch in der Rechtsverordnung nach §57 (4) bestimmt.

Kritische Komponenten

Die Ausführungen zu kritischen Komponenten fehlten im letzten Gesetzes­entwurf. Folgend der alte Paragraph aus dem Juli-Entwurf.

Der Einsatz sogenannter kritischer Komponenten muss durch Betreiber kritischer Anlagen dem Innenministerium gemeldet werden §41 (1). Kritische Komponenten und Funktionen müssen in Gesetzen festgelegt werden (bis jetzt nur im TK-Sektor durch das TKG 2021).

Das Innenministerium darf den Einsatz kritischer Komponenten untersagen aufgrund:

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung zur Vertrauenswürdigkeit des Herstellers eingesetzt werden, die von KRITIS-Betreibern dem Innenministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen ist. §41 (3)

Der Einsatz bestimmter Komponenten oder Hersteller darf bei schwerwiegenden Verstößen auch längerfristig untersagt werden. §41 (6) (7)

up

Informationen

Nachweise und Prüfungen

Die Umsetzung der NIS2-Maßnahmen muss dem BSI von Betreibern kritischer Anlagen alle drei Jahre nachgewiesen werden. Frühestens ab 2027 und abhängig von der eigenen Registrierung soll es dann alle drei Jahre Prüfungen geben, analog zu bisherigen KRITIS-Nachweis­prüfungen.

eigene Zusammenstellung nach Referentenentwürfen, Stand Dezember 2023
Betreiber kritischer Anlagen Besonders wichtige
Einrichtung
Wichtige
Einrichtung
Gesetz NIS2UmsuCG DachG NIS2UmsuCG NIS2UmsuCG
Zeitraum ab 2027 ab 2026 ab 2024 ab 2024
Pflicht §39 (1) §11 §64 §65
Form Audits Audits Stichproben durch BSI
Inhalt IT-Sicherheit
Meldepflicht
SzA
Resilienz IT-Sicherheit
Meldepflicht
IT-Sicherheit
Meldepflicht
Scope Kritische Anlage Kritische Anlage Unternehmen Unternehmen
Frequenz alle drei Jahre Stichproben Stichproben bei Anlass
Empfänger BSI BBK BSI BSI

Sollten ursprünglich noch über 8 Tsd. Betreiber und Einrichtungen regelmäßig auditiert werden, wurde dies in neueren Entwürfen auf die bisherigen KRITIS-Betreiber (über 2 Tsd.) reduziert.

Betreiber kritischer Anlagen

Die Betreiber von kritischen Anlagen müssen Nachweise für §30 (1) und §31 (1) Maßnahmen und §31 (2) Angriffserkennung durch Audits, Prüfungen oder Zertifizierungen nach §39 (1) alle drei Jahre dem BSI nachweisen, wie bisher bei KRITIS-Prüfungen.

Das BSI hat die Befugnis, von sich aus Betreiber kritischer Anlagen als besonders wichtige Einrichtung zu prüfen §64 und kann Standards und Vorgaben für Nachweis-Prüfungen festzulegen. §39 (2).

Besonders wichtige Einrichtungen

Besonders wichtige Einrichtungen müssen dem BSI die Umsetzung der §30 Maßnahmen und §31 Meldepflichten nach der Registrierung nicht regelmäßig nachweisen. Das BSI kann aber Einrichtungen zu Audits, Prüfungen oder Zertifizierungen verpflichten, Nachweise verlangen und selbst prüfen (lassen). §64 (1) (3) (5)

Bei der Auswahl der Einrichtungen soll das BSI risikoorientiert vorgehen, und das Ausmaß der Risiko­exposition, die Größe der Einrichtung sowie die Eintritts­wahrscheinlichkeit und Schwere von möglichen Sicherheits­vorfällen sowie ihre möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen in Betracht ziehen. §64 (4)

Das BSI kann Vorgaben für diese Nachweis-Prüfungen festlegen. §64 (2)

up

Meldewesen

Mit NIS2 kommen auf betroffene Einrichtungen viele Informations- und Meldepflichten zu, die über die bisherigen §8b BSIG Meldepflichten (KRITIS) hinausgehen.

Meldung von Sicherheitsvorfällen

Besonders wichtige Einrichtungen (damit auch Betreiber kritischer Anlagen) und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen: §32

Das BSI richtet die Melde­möglichkeit im Einvernehmen mit dem BBK ein, für das KRITIS-Dachgesetz. Zusätzlich kann das BSI weitere Vorgaben zum Meldeverfahren erlassen. §32 (4)

Meldungen an Kunden und Öffentlichkeit

Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden (Empfänger ihrer Dienste) zu unterrichten. §35 (1)

Einrichtungen aus den Sektoren Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, IKT-Dienste und Digitale Dienste müssen von einer erheblichen Cyberbedrohung potenziell betroffene Kunden unverzüglich informieren, einschließlich möglicher Gegenmaßnahmen. §35 (2)

Das BSI meldet sich nach Möglichkeit innerhalb von 24h bei Unternehmen nach Eingang der Meldung zurück, ggf. mit möglichen Nachfragen, Unterstützungsangeboten und Informationen. Falls eine Sensibilisierung der Öffentlichkeit erforderlich oder im öffentlichen Interesse ist, so kann das BSI Betreiber auffordern, dies zu tun.

Registrierung und Kontaktstelle

Einrichtungen und Betreiber müssen sich selbst identifizieren und beim BSI registrieren. Für bestimmte Unternehmen gelten spezielle Registrierungs­regeln. §33 §34

Besonders wichtige und wichtige Einrichtung sowie DNS-Registries müssen sich innerhalb von drei Monaten beim BSI registrieren, u.a mit: Name, Rechtsform, Kontaktdaten, Mail/Telefon, IP-Adressbereiche, Sektor und Teilsektor, EU-Staaten mit Geschäftsaktivitäten. §33 (1)

Betreiber kritischer Anlagen müssen zusätzliche Informationen bei der Registrierung übermitteln. §33 (2) Die (gemeinsame) Registrierung an/mit dem BBK über das KRITIS-Dachgesetz ist noch nicht ganz klar.

Änderungen der Daten in (1) und (2) müssen jährlich an das BSI gemeldet werden, alle andere Angaben unverzüglich, innerhalb von zwei Wochen. §33 (5)

Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries von sich aus registrieren. Dazu kann das BSI Unterlagen und Einzelheiten anfordern, und das Verfahren noch genauer definieren. §33 (2) (6)

Bestimmte Einrichtungen müssen sich bis zum 17. Januar 2025 beim BSI registrieren. §34 Dies umfasst Betreiber, die in Deutschland zentral vom BSI reguliert werden: DNS und TLD, Cloud Computing, Rechenzentren, CDNs, MSP und Managed Service und Security Service Provider, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke. §63 (Version Juli)

Informationsaustausch

Besonders wichtige Einrichtungen müssen innerhalb eines Jahres nach Inkrafttreten (d.h. 2025) am Informationsaustausch über die zentrale Austauschplattform des BSI teilnehmen. §30 (7)

up

Staat und BSI

Aufsicht

Das BSI ist für besonders wichtige und wichtige Einrichtungen in Deutschland zuständig. Für bestimmte Betreiber, die in der Europäischen Union tätig sind und ihren Hauptsitz in Deutschland haben, ist das BSI für diese Einrichtungen zentral in der EU zuständig.

Die entsprechenden Regelungen in §62 und §63 sind im letzten Gesetzes­entwurf noch nicht (wieder) enthalten. Für Betreiber kritischer Anlagen wird auch das BBK zuständig werden.

Überwachung

Das BSI hat für Einrichtungen Aufsichts- und Durchsetzungs­maßnahmen zur Überwachung der Vorgaben und Sicherstellung der Einhaltung. §64 §65

Für besonders wichtige Einrichtungen darf das BSI

Für wichtige Einrichtungen darf das BSI:

Meldestelle

§4 legt das BSI als zentrale Meldestelle für Bundesbehörden und §40 für Einrichtungen für fest. Das BSI darf deshalb zur Abwehr von Gefahren Informationen sammeln und auswerten und sich mit anderen Behörden austauschen.

up

Sanktionen und Bußgelder

Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §60. Die bisherigen KRITIS-Bußgelder werden dabei um einige neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht. Die Bußgelder und Sanktionen unterscheiden sich nach Gruppe:

Geschäftsleitung

Geschäftsführer von Einrichtungen müssen die Risikomanagement-Maßnahmen für Cyber­security billigen und die Umsetzung in der Einrichtung überwachen. §38

Allgemeine Tatbestände

Allgemeine Bußgeldtatbestände nach §60 (5) unterscheiden in der Bußgeldbewährung nicht zwischen den unterschiedlichen Betreiber-Gruppen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Oktober 2023
Höhe Verstöße
2 Mio. EUR
  • Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Wieder­herstellung der Sicherheit oder Funktionsfähigkeit eines IT-Systems wird verweigert. §11 (6)
  • TK-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §16 (1) 1 auch i.V.m. §16 (3)
  • TMD-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §17
  • Besonders wichtige Einrichtungen: durch das BSI verlangte Dokumentationen, Mängel­beseitigung­spläne oder Nachweise werden nicht vorgelegt bzw. Sicherheitsmängel nicht beseitigt. §34 (1) Satz 6

Hinweis: Anwendung von §30 (2) 3 OWiG

500.000 EUR
  • Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei betroffenen IKT-Produkten wird verweigert. §18
  • Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt. §33 (1) oder (5) i.V.m. VO nach §57 (4) Satz 1, und §34 (1)
  • Das BSI wird über Änderungen an Registrierungsdaten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterichtet. §34 (2)
  • Vorgabe, Inhaber einer Sicherheits- oder Personenzertifizierung oder einer Zertifizierung als IT-Sicherheitsdienstleister zu sein, ohne dass diese besteht. §54 (2) Satz 1
  • Tätigwerden als Konformitäts­bewertungs­stelle ohne Genehmigung. §55 (2) Satz 2
  • Vorgabe, Inhaber eines europäischen Cyber­sicherheits­zertifikats oder Aussteller einer EU-Konformitäts­erklärung zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde.
  • Verwendung des IT-Sicherheits­kennzeichen ohne Freigabe. §65 (4) Satz 1
100.000 EUR
  • Zuwiderhandlung durch Hersteller gegen Anordnung zur Auskunft zu Produkten und Sytemen, insb. auch technischen Details. §14 (2) Satz 1
  • Zuwiderhandlung gegen Anordnung zur Unterrichtung von Kunden und Einsetzung eines Überwachungs­beauftragen. §64 (8) Satz 1, §64 (9) Satz 1
  • Zuwiderhandlung gegen Aufsichts­maßnahmen gegen Einrichtungen. §65
  • Betreiber kritischer Anlagen: Fahrlässig einen Nachweis nicht richtig oder nicht vollständig erbringen. §39 (1) Satz 1

Wichtige Einrichtungen

Folgende zusätzliche Bußgelder sind nach §60 (6) für wichtige Einrichtungen definiert.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Oktober 2023
Höhe Verstöße
7 Mio. EUR oder
1,4 Prozent Umsatz
  • Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) i.V.m. § VO nach 57 (4) Satz 1
  • Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1)
500.000 EUR
  • Durch das BSI verlangte Informationen zur Bewältigung einer Störung werden nicht herausgegeben. §40 (4) Satz 1
  • Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt. §33 (1) oder (5) i.V.m. VO nach §57 (4) Satz 1, und §34 (1)

Hinweis: Informations­herausgabe nach §40 (4) Satz 1 eigentlich nicht relevant für wichtige Einrichtungen, sondern nur für Betreiber kritischer Anlagen. Registrierungs­pflicht bereits über allgemeine Bußgelder geregelt.

100.000 EUR
  • Verbindlichen Anweisungen zur Umsetzung der Gesetzesanforderungen wird nicht nachgekommen. §65

Besonders wichtige Einrichtungen

Folgende zusätzliche Bußgelder sind nach §60 (7) für besonders wichtige Einrichtungen (folglich auch Betreiber kritischer Anlagen) definiert.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Oktober 2023
Höhe Verstöße
10 Mio. EUR oder
2 Prozent Umsatz
  • Nachweise über Erfüllung der Anforderungen werden nicht richtig oder nicht vollständig erbracht. §39 (1) Satz 1 i.V.m. VO nach §57 (4) Satz 1
  • Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) i.V.m. § VO nach 57 (4) Satz 1
  • Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1)
  • Nachweise über Erfüllung der Anforderungen werden nicht oder nicht rechtzeitig erbracht. §39 (1) Satz 1 i.V.m. VO nach §57 (4) Satz 1
500.000 EUR
  • Durch das BSI verlangte Informationen zur Bewältigung einer Störung werden nicht herausgegeben. §40 (4) Satz 1
  • Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt. §33 (1) oder (5) i.V.m. VO nach §57 (4) Satz 1, und §34 (1)
  • Das Betreten eines Raums wird nicht gestattet, eine Unterlage wird nicht oder nicht rechtzeitig vorgelegt, eine Auskunft wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung wird nicht oder nicht rechtzeitig gewährt. §64 (5) Satz 3
  • Verbindlichen Anweisungen zur Umsetzung der Gesetzesanforderungen wird nicht nachgekommen. §64 (7)

Hinweis: Registrierungs­pflicht bereits über allgemeine Bußgelder geregelt.

100.000 EUR
  • Kontaktstelle ist nicht erreichbar. §33 (2) Satz 2

Hinweis: Erreichbarkeit der Kontaktstelle nur für Betreiber kritischer Anlagen relevant.

up

Bundeseinrichtungen

Die Ausführungen zu Bundeseinrichtungen fehlten im letzten Gesetzes­entwurf. Folgend die alten Paragraphen aus dem Juli-Entwurf.

Die Pflichten besonders wichtiger Einrichtungen sind auf Einrichtungen der Bundes­verwaltung anzuwenden, sofern keine expliziten Abweichungen geregelt sind §29.

Einrichtungen der Bundesverwaltung im Sinne von NIS2 sind:

Wichtig: Teile der Bundesverwaltung können parallel als besonders wichtige Einrichtung und teils auch als KRITIS reguliert werden. Hier bleiben die konkreten Festlegungen aus der Rechtsverordnung nach §57 abzuwarten.

Differenzierung und Ausschlüsse

Betreffende Einrichtungen der Bundesverwaltung werden wie folgt differenziert:

Aus den regulierten Bundeseinrichtungen sind ausgeschlossen:

Anforderungen

Unter Berücksichtigung der genannten Differenzierung werden an alle Bundeseinrichtungen folgende Anforderungen an Cybersicherheit gestellt:

Bundeseinrichtungen, die nach §28 besonders wichtige oder wichtige Einrichtungen sind, müssen zusätzlich erfüllen:

Steuerung

Es müssen weiterhin Strukturen auf Bundesebene und bei Einrichtungen geschaffen werden:

up

Ausblick

Gesetzgebung

Das NIS2-Umsetzungsgesetz soll im Oktober 2024 in Kraft treten, das bisherige BSIG dann außer Kraft. Seit Sommer 2023 sind Referentenentwürfe vom NIS2UmsuCG publik.

Ablauf NIS2, Stand Dezember 2023
Version Status Datum Akteur
NIS Deadline nationale Umsetzung Mai 2018 Mitglied­staaten
IT-Sicherheitsgesetz 2.0 Inkrafttreten Mai 2021 Bundesrat
NIS2 EU 2022/2555 Final Dez 2022 Amtsblatt
NIS2-Umsetzungsgesetz Referentenentwurf Apr 2023 Innenministerium
NIS2-Umsetzungsgesetz Referentenentwurf Jul 2023 Innenministerium
NIS2-Umsetzungsgesetz Diskussionspapier Sep 2023 Innenministerium
NIS2-Umsetzungsgesetz Verkündung geplant 3/2024? Bundestag
Rechtsverordnung(en) fehlt noch bis Okt 2024 Innenministerium
NIS2-Umsetzungsgesetz Verkündung, geplant Okt 2024 Bundestag
NIS2-Umsetzungsgesetz Inkrafttreten, geplant Okt 2024 Bundesgesetzblatt
NIS2 Deadline Umsetzung Okt 2024 Mitglied­staaten

Evaluierung

In der NIS2-Umsetzung ist keine Evaluierung in Deutschland vorgesehen, da EU NIS2 selbst (Art. 40) durch die Europäische Kommission evaluiert werden soll, Begründung A. VII. und eine (auf den Mitgliedstaat Deutschland isolierte) Evaluierung der Umsetzung nicht zielführend sei. Zu Art. 7

Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen (aufgehoben). Art. 7 Die Evaluierung dieser Vorschriften erübrigen sich, weil diese in weiten Teilen im Zuge der NIS-2-Umsetzung geändert werden. Zu Art. 7

Die Ergebnisse der teilweisen Evaluierung des IT-Sicherheitsgesetzes 2.0 flossen in das NIS2-Umsetzungsgesetz wohl ein, so die Begründung.

up

Auswirkungen

Die Auswirkungen fehlten im letzten Gesetzes­entwurf (wieder). Folgend die alten Paragraphen aus dem Juli-Entwurf.

In Deutschland geht der Gesetzgeber von etwa 30.000 betroffenen Unternehmen in den verschiedenen Gruppen aus, von denen erst 40 Prozent im Grundsatz ausreichende Maßnahmen ergriffen haben. Abzüglich der bestehenden Betreiber haben laut Prognose über 14.500 Unternehmen damit (neuen) Handlungsbedarf. Begründung A. VI.

Betreiber

Der Gesetzesentwurf prognostiziert betroffene Unternehmen:

Aufwände

Der Entwurf vom NIS2-Umsetzungsgesetz schätzt Aufwände für die Umsetzung von NIS2 in der Wirtschaft und der Verwaltung. Die Zahlen basieren auf einer Folgekostenschätzung des statistischen Bundesamts. Begründung A. IV.

Für die Wirtschaft:

Für die Bundesverwaltung:

Betreibergruppen

Die Zwei/Dreiteilung in Betreiber und Einrichtungen und das Beibehalten der kritischen Anlagen (KRITIS) wird mit dem Gleichklang mit dem KRITIS-Dachgesetz begründet, das Betreiber kritischer Anlagen reguliert. Andererseits habe die Evaluierung ergeben, dass NIS2 zu einer so starken Ausweitung von Betroffenheit führe, dass weiterhin eine differenzierte Bestimmung mit Fokus Versorgungsrelevanz erfolgen solle. Zu §57 (1)

up

Fristen und Umsetzung

Im Gesetz sind verschiedene Fristen zur Umsetzung der Anforderungen vorgesehen. Das Gesetz NIS2UmsuCG selbst soll im Oktober 2024 in Kraft treten.

Besonders wichtige Einrichtungen

Wichtige Einrichtungen

Betreiber kritischer Anlagen

up

Rechtsverordnung

Verschiedene Anforderungen aus dem NIS2UmsuCG sollen durch eine oder mehrere Rechtsverordnungen konkretisiert oder definiert werden: §57

Die Rechtsverordnung soll im Einklang mit dem KRITIS-Dachgesetz definiert werden und Betreiber und Einrichtungen in einer Verordnung zusammenfassen, damit betroffene Unternehmen zentral in einer Tabelle relevante Kategorien und Schwellenwerte finden.

Ein Entwurf der Rechtsverordnung(en) ist noch nicht verfügbar.

EU-Vorgaben und Umsetzungsakte

Die EU-Kommission kann zur Definition der §30 (2) Maßnahmen noch eigene Vorgaben durch Durchführungs­rechtsakte (Implementing Acts) erlassen, welche dann Vorrang vor nationalem Recht hätten, generell in §30 (4) und speziell für einige IT-Betreiber in §30 (3).

Falls dies nicht eintritt, soll das Bundes­innnenministerium selbst technische, methodische und sektorale Definitionen zur Konkretisierung erlassen. §30 (5)

Branchenstandards

Besonders wichtige Einrichtungen, d.h. auch Betreiber kritischer Anlagen, können weiterhin branchenspezifische Sicherheitstandards (B3S) zur Umsetzung der §30 (1) Maßnahmen vorschlagen. Das BSI stellt die Eignung der B3S fest. §30 (9)

up

Auswirkung auf weitere Gesetze

Telekommunikationsgesetz

Bis jetzt sind nur aktualisierte Verweise enthalten – inhaltliche Veränderungen noch nicht. Das TKG und der TK-Sicherheitskatalog werden für NIS2 noch aktualisiert werden müssen.

Energiewirtschaftsgesetz

Die Regulierung für Energie­betreiber wird mit der BNetzA geteilt bleiben. Das EnWG und der Energie-Sicherheitskatalog werden für NIS2 noch aktualisiert werden müssen.

Weitere Gesetze

Gesetzesänderungen, Stand Juli 2023
Gesetz Änderung NIS2UmsuCG
BSI-Gesetz Komplette Änderungen oben Art. 1
BSI-Gesetz Ermächtigung Rechtsverordnung Art. 2
BND-Gesetz, SÜFV, TTDSG, GleibWV Verweise Art. 3-6
IT-Sicherheitsgesetz 2.0 Evaluierung zum 1. Mai 2025 gestrichen Art. 7
BSIZertV, BSI-ITSiKV, De-Mail-Gesetz, PassDEÜV, PAuswV, KassenSichV, ATG, Verweise Art. 8-15
EnWG Änderungen siehe oben Art. 16
MsbG, EnSiG, SGB V, DiGAV , SGB VI, BFSGV, TKG, KHSFV, MessEV, AWV, VDG, Verweise und Definitionen Art. 17-27

up

Änderungen der Referentenentwürfe

Es gab bisher zwei öffentliche Referentenentwürfe aus April und Juli 2023. Die Änderungen nachzuvollziehen ist nicht ganz einfach, unser bisheriger Stand, noch ohne den Teilentwurf des Diskussionspapier aus September 2023.

September 2023 (dritter Entwurf) zu Juli 2023:

Juli 2023 (zweiter Entwurf) zu April 2023:

up

Weitere Informationen

Literatur

  1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
  2. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
  3. Referentenentwurf des BMI: NIS2UmsuCG, verschiedene Versionen, AG KRITIS 2023

Quellen

  1. Werkstattgespräch– Diskussions­papier, des BMI für wirtschafts­bezogene Regelungen zur Umsetzung der NIS-2-RL, Innenministerium, Intrapol, 26.10.2023
  2. Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
  3. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
  4. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung, Intrapol, 3. April 2023
  5. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheits­niveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
  6. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022