NIS2 Umsetzungsgesetz

Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, das NIS2UmsuCG, wird ab 2024 in Kraft treten. Es überführt die EU-weiten Mindeststandards für Cybersecurity der EU-Direktive NIS2 in deutsche Regulierung. Die NIS2-Umsetzung wird mindestens 30 Tsd. Unternehmen in Deutschland betreffen.

Unternehmen
Cybersecurity
Informationen
Staat und BSI
Ausblick

Das Gesetz liegt als Referentenentwurf vor und muss bis Oktober 2024 die Gesetzgebung auf Bundesebene durchlaufen. Das NIS2UmsuCG ist ein Änderungsgesetz, das bestehende Gesetze ändert – primär die KRITIS-Teile des BSI-Gesetzes (BSIG-E). Neben NIS2 wird das KRITIS-Dachgesetz kritische Betreiber regulieren.

NIS2 und KRITIS-Dachgesetz: Was kommt auf Unternehmen zu?

Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2024
Deutsch ∙ PDF ∙ März 2024 ∙ OpenKRITIS-Briefing

English version of this page available at German NIS2 Implementation.

Die Umsetzung von NIS2

Neue Cybersecurity-Regulierung ab 2024

Das NIS2-Umsetzungsgesetz ändert die deutsche KRITIS-Regulierung deutlich – neben den Betreibern kritischer Anlagen wird es besonders wichtige Einrichtungen und wichtige Einrichtungen geben. Für etwa 30.000 betroffene Unternehmen in Deutschland, die über klassische Kritische Infrastrukturen hinausgehen, steigen die Security-Pflichten.

Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS) und die neuen Einrichtungen – je nach Unternehmensgröße besonders wichtigen oder wichtig. Ebenfalls betroffen sind Bundeseinrichtungen und einige Sonderfälle.
Sektoren: Die KRITIS-Sektoren der kritischen Anlagen bleiben bestehen, die Sektoren der neuen Einrichtungen erweitern sich wie in der EU und umfassen neben Infrastruktur nun große Teile der Wirtschaft.
Cybersecurity: Die Sicherheitsmaßnahmen für Unternehmen werden umfassender und tiefer mit Risikomanagement, Vorfallsmeldungen, vielen technische Maßnahmen und Governance.
Aufsicht: Staatliche Befugnisse erweitern sich durch Registrierungspflicht, Nachweise, Meldepflichten und verbindlichen Informationsaustausch. Die geteilte Regulierung über verschiedene Behörden wie BSI, BNetzA etc. nimmt zu, soll aber vereinfacht werden.
Sanktionen: Erweiterte Sanktionsvorschriften mit neuen Bußgeldtatbeständen und erhöhten Bußgeldern zwischen 100 Tsd. und 20 Mio. EUR, teils gekoppelt an den weltweiten Umsatz.

Stand der Dinge

Es gibt mindestens vier bekannte Referentenentwürfe des NIS2-Umsetzungsgesetzes:

Erster Referentenentwurf von April 2023
Zweiter Referentenentwurf von Juli 2023
Dritter Entwurf (Diskussionspapier) von September 2023
Werkstattgespräch des BMI von Oktober 2023
Vierter Referentenentwurf Dezember 2023 (aktuell)

Wann weitere Referentenentwürfe zu erwarten sind, ist unklar. Die geplante Verkündung und das eigentlich notwendige Inkrafttreten zu Oktober 2024 sind mittlerweile fraglich.

Betroffene Unternehmen

Unternehmen in Deutschland

Die von NIS2 betroffenen Unternehmen in Deutschland bestehen aus drei (vier) Gruppen: Die bestehenden Betreiber kritischer Anlagen (KRITIS), die besonders wichtigen sowie die wichtigen Einrichtungen und einige Bundeseinrichtungen: §28

Besonders wichtige Einrichtungen nach Größe des Unternehmens in Sektoren Anlage 1
G Unternehmen ab 250 Mitarbeitern oder
G Unternehmen ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR
U Sonderfälle: qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen
Wichtige Einrichtungen nach Größe des Unternehmens in Sektoren aus Anlage 1 2
M Unternehmen ab 50 Mitarbeitern oder
M Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR
U Vertrauensdienste
Betreiber kritischer Anlagen (KRITIS-Betreiber) stellen weiterhin mit KRITIS-Methodik die Betroffenheit einzelner Anlagen fest, auch im KRITIS-Dachgesetz
KRITIS-Anlage über Schwellenwert, in der Regel ≥ 500 Tsd. versorgte Personen
Neben Einrichtungen werden auch Bundeseinrichtungen mit einigen Pflichten reguliert

Einrichtungen

Besonders wichtige und wichtige Einrichtungen

Die besonders wichtigen Einrichtungen §28 (1) sind Großunternehmen bestimmter Sektoren, einige Unternehmen unabhängig ihrer Größe und Betreiber kritischer Anlagen. Die wichtigen Einrichtungen §28 (2) sind Großunternehmen und mittlere Unternehmen in vielen Sektoren.

eigene Zusammenstellung Stand Dezember 2023
Einrichtung	Größe	Sektoren
Besonders wichtig §28 (1)	Großunternehmen aus Anlage 1	Energie, Transport/Verkehr, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT und TK, Weltraum
	unabhängig	Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste
	Mittlere Unternehmen	Anbieter öffentlicher TK-Netze und TK-Dienste
	unabhängig	Betreiber kritischer Anlagen (KRITIS-Betreiber)

Wichtig §28 (2)	Mittlere Unternehmen aus Anlage 1	Energie, Transport/Verkehr, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT und TK, Weltraum
	Großunternehmen Mittlere Unternehmen aus Anlage 2	Post/Kurier, Siedlungsabfallentsorgung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung
	unabhängig	Vertrauensdienste

Weitere

Die Zentralregierung gehört nicht mehr zu besonders wichtigen Einrichtungen. Einrichtungen der Bundesverwaltung (Staat) sind dafür separat reguliert und erben Pflichten der besonders wichtigen Einrichtungen §29 sowie eigene Pflichten aus Kapitel 3.

Die Unternehmen im besonderen öffentlichen Interesse (UBI) fallen als separate Kategorie weg und gehen größtenteils in den Einrichtungen auf: UBI 1 Rüstung fallen größtenteils in den NIS2-Sektor verarbeitendes Gewerbe, UBI 2 volkswirtschaftliche Bedeutung verteilen sich über alle NIS2-Sektoren und UBI 3 Gefahrstoffe fallen in den Sektor Chemie.

Unternehmensgröße

Die Einrichtungen unterscheiden sich nach Unternehmensgröße: Mitarbeiter, Umsatz und Bilanz. Besonders wichtige Einrichtungen in §28 (1) und wichtige Einrichtungen in §28 (2).

Einrichtung	Sektoren	Größe	Mitarbeiter	Umsatz und Bilanz
Besonders wichtig	1	G Großunternehmen G Großunternehmen	≥ 250	≥ 50 Mio. + ≥ 43 Mio. EUR
Wichtig	1 2	M ab mittlere Unternehmen M ab mittlere Unternehmen	≥ 50	≥ 10 Mio. + ≥ 10 Mio. EUR

Betreiber kritischer Anlagen (KRITIS)

Die bisherigen KRITIS-Betreiber, die Kritischen Infrastrukturen, werden zu Betreibern kritischer Anlagen. §28 (5) Die KRITIS-Logik von KRITIS-Sektoren, kritischen Dienstleistungen und Anlagen mit Schwellenwerten bleibt hier erhalten. Die Betreiber werden gleichzeitig auch besonders wichtige Einrichtungen. §28 (1) Nr. 4

eigene Zusammenstellung Stand Dezember 2023
Betreiber	Größe	Sektoren
Kritische Anlagen §28 (5)	Anlagen mit Schwellenwerten §28 (6)	Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitsweisen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung

NIS2-Sektoren

In der NIS2-Umsetzung gibt es zwei Gruppen von Sektoren: Sektoren der Einrichtungen sind in Anlage 1 und 2 definiert, KRITIS-Sektoren für kritische Anlagen separat in §28 (6). Für Einrichtungen sind 1 Sektoren hoher Kritikalität und 2 Sonstige kritische Sektoren.

eigene Zusammenstellung Stand Dezember 2023
KRITIS	Sektoren hoher Kritikalität 1 und Teilsektoren	Sonstige kritische Sektoren 2 und Teilsektoren
Energie	Energie Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas
Transport/Verkehr	Transport/Verkehr Luftverkehr Schienenverkehr, Schifffahrt, Straßenverkehr	Transport/Verkehr Post und Kurier
Finanz/Versicherung	Finanz/Versicherung Banken, Finanzmarkt-Infrastruktur	Chemie Herstellung, Handel, Produktion
Gesundheit	Gesundheit Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C 21), Medizinprodukte,	Forschung Forschungseinrichtungen
Wasser/Abwasser	Wasser/Abwasser Trinkwasser, Abwasser	Verarbeitendes Gewerbe Medizin/Diagnostika; DV, Elektro, Optik (NACE C 26 und 27); Maschinenbau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30)
IT und TK	IT und TK IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services	Digitale Dienste Marktplätze, Suchmaschinen, soziale Netzwerke
Weltraum	Weltraum Bodeninfrastrukturen
Ernährung		Lebensmittel Großhandel, Produktion, Verarbeitung
Entsorgung		Entsorgung Abfallbewirtschaftung

Zusätzlich sind Einrichtungen der Bundesverwaltung separat reguliert: §29

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Dezember 2023
Sektor	Einrichtungen
Bundesverwaltung	Stellen des Bundes; Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts; Öffentliche Unternehmen im Mehrheits-Eigentum des Bundes, die IT-Dienstleistungen für die Bundesverwaltung erbringen; Ausgeschlossen: Institutionen der sozialen Sicherung

Cybersecurity

Pflichten von Betreibern und Einrichtungen

Die Anforderungen an Betreiber und Einrichtungen ändern sich mit der NIS2-Umsetzung deutlich. Die bisherigen KRITIS-Pflichten aus dem BSI-Gesetz bleiben in Grundzügen erhalten, werden teils präzisiert, teils verschärft und neu strukturiert.

eigene Zusammenstellung Stand Dezember 2023
* - implizit, da Betreiber kritischer Anlagen auch besonders wichtige Einrichtungen sind
Pflicht	Betreiber kritischer Anlagen	Besonders wichtige Einrichtung	Wichtige Einrichtung
Geltungsbereich	Anlage(n)	Unternehmen	Unternehmen
Maßnahmen Risikomanagement §30	*	✓	✓
Höhere Maßstäbe für KRITIS §31 (1)	✓
Besondere Maßnahmen SzA §31 (2)	✓
Meldepflichten §32	*	✓	✓
Registrierung §33 §34	✓	✓	✓
Unterrichtungspflichten (Kunden) §35	*	✓	✓
Leitungsorgane §38	*	✓	✓
Nachweise §39	✓	tw. (§64)	tw. (§65)

Ausschlüsse

Es gibt diverse Ausnahmen und Sonderregeln für Unternehmen zu NIS2-Pflichten.

eigene Zusammenstellung Stand Dezember 2023
weitere Einzelausschlüsse sind möglich, * - die DORA-Ausschlüsse sind etwas komplex
Ausschluss von	Einrichtung	Fundort
Einzelmaßnahmen in §30 (2) (Vorrang Implementing Act)	DNS, TLD, Cloud-Computing, Rechenzentren, CDNs, Managed Services und Security Services, Marktplätze, Suchmaschinen, soziale Netzwerke, Vertrauensdienste (Sektor Internet)	§30 (3)
KRITIS‑Anforderungen Meldepflichten Unterrichtung Nachweise §§31, 32, 35, 39	Betreiber öffentlicher TK-Netze und TK-Dienste	§28 (4)
	Betreiber Energieversorgungsnetze und Energieanlagen	§28 (4)
	Unternehmen unter DORA (EU) 2022/2554*	§28 (4)
Pflichten von Einrichtungen	Unternehmen unter DORA (EU) 2022/2554* gematik	§28 (1)
Risikomanagement und Meldepflichten §§30,32 + Registrierung §§33-34	Nationale Sicherheit, öffentliche Sicherheit, Verteidigung, Strafverfolgung + wenn ausschließlich in den o.g. Bereichen tätig	§37

In einzelnen Sektoren entsteht trotz Ausschlüssen eine Mehrfach-Regulierung in NIS2 mit unterschiedlichen Anforderungen je nach Anwendungsbereich von NIS2, KRITIS und Sektorgesetzen.

Sicherheit und Risikomanagement

Besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. §30 (1)

Betreiber sollen das Ausmaß der Risikoexposition, Größe der Einrichtung, Umsetzungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie die gesellschaftlichen und wirtschaftlichen Auswirkungen berücksichtigen. §30 (1)

Maßnahmen

Die von Betreibern und Einrichtungen umzusetzenden Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen und sollen europäische und internationale Normen berücksichtigen. Die Maßnahmen sollen den Stand der Technik einhalten und müssen mindestens die folgenden Themen umfassen: §30 (2)

Risikoanalyse und Sicherheit für Informationssysteme
Bewältigung von Sicherheitsvorfällen
Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
Sicherheit in der Entwicklung, Beschaffung und Wartung
Management von Schwachstellen
Bewertung der Effektivität von Cybersicherheit und Risiko-Management
Schulungen Cybersicherheit und Cyberhygiene
Kryptografie und Verschlüsselung
Personalsicherheit, Zugriffskontrolle und Anlagen-Management
Multi-Faktor Authentisierung und kontinuierliche Authentisierung
Sichere Kommunikation (Sprach, Video- und Text)
Sichere Notfallkommunikation

Dokumentation

Einrichtungen müssen die Umsetzung der Maßnahmen dokumentieren. §30 (1)

Sektorregelungen

Bestimmte Sektoren sind von den Vorgaben zu Risikomanagement §30 und §31 teilweise ausgeschlossen. Für diese werden die entsprechenden Maßnahmen durch sektor-spezifische Regulierung äquivalent umgesetzt oder konkretisiert.

DNS, TLD, Cloud, Rechenzentren, CDNs, Managed Services und Security Services, Online-Marktplätze und Suchmaschinen, soziale Netzwerke und Vertrauensdienste werden (sollen) durch einen Implementing Act Vorgaben zu Maßnahmen nach §30 (2) erhalten.
Betreiber öffentlicher TK-Netze und TK-Dienste werden durch das TKG und den BNetzA-Sicherheitskatalog Vorgaben zu äquivalenten Maßnahmen nach §31 erhalten.
Betreiber von Energieversorgungsnetzen und Energieanlagen werden durch EnWG und den BNetzA-Sicherheitskatalog Vorgaben zu äquivalenten Maßnahmen nach §31 erhalten.
Einrichtungen gem. Art. 2 (4) der Verordnung (EU) 2022/2554 werden äquivalenten Maßnahmen durch DORA erhalten. (Teile des Finanzsektors)

Konkretisierung

Eine genaue Konkretisierung der Maßnahmen durch EU, BSI oder Verbände ist noch nicht bekannt, hier ist bis 2024 sicherlich noch Bewegung zu erwarten. Ebenso sind noch keine offizielle Ableitungen auf existierende Cybersecurity Standards wie ISO 27001 oder C5 verfügbar, welche die Maßnahmen in Rahmenwerke einordnen.

Existierende ISMS-Zertifizierungen werden meist nicht ohne weiteres hinreichend für NIS2-Maßnahmen sein – der Geltungsbereich von NIS2 könnte über bestehende Zertifikate hinausgehen, die genannten Maßnahmen sind teils tiefer und weiter als übliche Rahmenwerke.

Implementing Acts der EU

Die Kommission kann nach Art. 21 (5) NIS2 in Durchführungsrechtsakten (Implementing Acts) konkretere technische und methodische Anforderungen erlassen, die dann direkt verbindlich werden und dann vor der obigen Liste §30 (2) Vorrang haben. §30 (4) Das Innenministerium kann, falls die Rechtsakte nicht abschließend sind, eigene Konkretisierungen erlassen. §30 (5)

Für Betreiber von DNS, TLD, Cloud, Rechenzentren, CDNs, Managed Services und Managed Security Services, Online-Marktplätzen, Suchmaschinen, soziale Netzwerke und Vertrauensdienste wird die EU-Kommission bis Oktober 2024 in einem separaten Implementing Act verbindliche Maßnahmen festlegen, §30 (2) gilt für diese lediglich nachrangig. §30 (3)

Betreiber kritischer Anlagen

Für Betreiber kritischer Anlagen gelten bei der Auswahl von Maßnahmen und Bewertung der Angemessenheit höhere Maßstäbe und weitere Anforderungen:

Auch aufwändigere Maßnahmen gelten für §30 als verhältnismäßig §31 (2)
Einsatz von Systemen zur Angriffserkennung §31 (2)
Nachweispflichten (KRITIS-Prüfungen) für Maßnahmen und SzA §39 (1)

Produkte

Zertifizierte Produkte

Verwenden besonders wichtige oder wichtige Einrichtungen bestimmte, noch zu benennende, IKT-Produkte, Dienste oder Prozesse, müssen diese über eine Cybersicherheits-Zertifizierung gem. Art. 49 EU 2019/881 verfügen §30 (6). Welche Produkte, Dienste oder Prozesse betroffen sind, wird noch in der Rechtsverordnung nach §57 (4) bestimmt.

Kritische Komponenten

Der Einsatz sogenannter kritischer Komponenten muss durch Betreiber kritischer Anlagen vor Beginn des Einsatzes dem Innenministerium gemeldet werden §41 (1). Kritische Komponenten und Funktionen müssen in separaten Gesetzen festgelegt werden (bis jetzt nur im TK-Sektor durch das TKG 2021).

Das Innenministerium darf den Einsatz kritischer Komponenten untersagen aufgrund:

Beeinträchtigung der öffentlichen Ordnung und Sicherheit — wenn der Hersteller von der Regierung, staatlichen Stellen oder den Streitkräften eines Drittstaats kontrolliert wird, an nachteiligen Aktivitäten gegen die öffentliche Ordnung und Sicherheit Deutschlands, der EU, EFTA oder NATO beteiligt war oder ist, oder wenn der Einsatz nicht mit sicherheitspolitischen Zielen Deutschlands, der EU oder der NATO im Einklang ist. §41 (2)
Fehlender Vertrauenswürdigkeit des Herstellers durch Garantieerklärung, Sicherheitstests und Schwachstellen und Manipulationen in den betreffenden Produkten. §41 (4) (5)

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung zur Vertrauenswürdigkeit des Herstellers eingesetzt werden, die von KRITIS-Betreibern dem Innenministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen ist. Die Erklärung muss durch den Hersteller gegenüber dem Betreiber abgegeben werden. §41 (3)

Der Einsatz bestimmter Komponenten oder Hersteller darf bei schwerwiegenden Verstößen auch längerfristig untersagt werden. §41 (6) (7)

Informationen

Registrierung und Kontaktstelle

Einrichtungen und Betreiber müssen sich selbst identifizieren und beim BSI registrieren. Für bestimmte Unternehmen gelten spezielle Registrierungsregeln. §33 §34

Besonders wichtige und wichtige Einrichtung sowie DNS-Registries müssen sich innerhalb von drei Monaten beim BSI registrieren, u.a mit: Name, Rechtsform, Kontaktdaten, Mail/Telefon, IP-Adressbereiche, Sektor und Teilsektor, EU-Staaten mit Geschäftsaktivitäten. §33 (1)

Betreiber kritischer Anlagen müssen zusätzliche Informationen bei der Registrierung übermitteln. §33 (2) Die (gemeinsame) Registrierung an/mit dem BBK über das KRITIS-Dachgesetz ist noch nicht ganz klar.

Änderungen der Daten in (1) und (2) müssen jährlich an das BSI gemeldet werden, alle andere Angaben unverzüglich, innerhalb von zwei Wochen. §33 (5)

Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries von sich aus registrieren. Dazu kann das BSI Unterlagen und Einzelheiten anfordern, und das Verfahren noch genauer definieren. §33 (2) (6)

Bestimmte Einrichtungen, die in §63 definiert sind, müssen sich bis zum 17. Januar 2025 beim BSI registrieren. §34 Dies umfasst Betreiber, die in Deutschland zentral vom BSI reguliert werden: DNS und TLD, Cloud Computing, Rechenzentren, CDNs, Managed Service Provider und Managed Security Service Provider, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke, sofern die Hauptniederlassung in der EU in Deutschland ist.

Meldewesen

Mit NIS2 kommen auf betroffene Einrichtungen viele Informations- und Meldepflichten zu, die über die bisherigen §8b BSIG Meldepflichten (KRITIS) hinausgehen.

Meldung von Sicherheitsvorfällen

Besonders wichtige Einrichtungen (damit auch Betreiber kritischer Anlagen) und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen: §32

Erstmeldung bei erheblichen Sicherheitsvorfällen unverzüglich, spätestens aber innerhalb von 24h
Folgemeldung über einen erheblichen Sicherheitsvorfall innerhalb von 72h mit Bewertung der Erstmeldung (Schwere, Auswirkungen, Kompromittierung)
Zwischenmeldungen auf Nachfrage des BSI
Abschlussmeldung oder Fortschrittsmeldung innerhalb eines Monats mit Beschreibung, Ursachen, Maßnahmen, grenzüberschreitenden Auswirkungen
Betreiber kritischer Anlagen müssen zusätzlich die Anlagen, kritische Dienstleistung und Auswirkungen melden

Das BSI richtet die Meldemöglichkeit im Einvernehmen mit dem BBK ein, für NIS2 und das KRITIS-Dachgesetz. Das BSI kann weitere Vorgaben zum Meldeverfahren erlassen. §32 (4)

Meldungen an Kunden und Öffentlichkeit

Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden (Empfänger ihrer Dienste) zu unterrichten. §35 (1)

Einrichtungen aus den Sektoren Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, IKT-Dienste und Digitale Dienste müssen von einer erheblichen Cyberbedrohung potenziell betroffene Kunden unverzüglich informieren, einschließlich möglicher durch die Kunden zu ergreifenden Gegenmaßnahmen. §35 (2)

Das BSI meldet sich nach Möglichkeit innerhalb von 24h bei Unternehmen nach Eingang der Meldung zurück, ggf. mit möglichen Nachfragen, Unterstützungsangeboten und Informationen. §36 (1) Falls eine Sensibilisierung der Öffentlichkeit erforderlich oder im öffentlichen Interesse ist, so kann das BSI die Öffentlichkeit informieren oder das Unternehmen auffordern, dies zu tun. §36 (2). Dies gilt auch, wenn das Unternehmen eine Stelle des Bundes ist. §4 (3)

Informationsaustausch

Besonders wichtige Einrichtungen müssen innerhalb eines Jahres nach Inkrafttreten am Informationsaustausch über die zentrale Austauschplattform des BSI teilnehmen. §30 (7)

Nachweise und Prüfungen

Die Umsetzung der NIS2-Maßnahmen muss dem BSI von Betreibern kritischer Anlagen alle drei Jahre nachgewiesen werden. Abhängig von der eigenen Registrierung muss es dann alle drei Jahre Prüfungen geben, analog zu bisherigen KRITIS-Nachweisprüfungen.

eigene Zusammenstellung nach Referentenentwürfen, Stand Dezember 2023
	Betreiber kritischer Anlagen		Einrichtungen
	Betreiber kritischer Anlagen		Besonders wichtig	Wichtig
Gesetz	NIS2UmsuCG	DachG	NIS2UmsuCG	NIS2UmsuCG
Zeitraum	ab 2024	ab 2026	ab 2024	ab 2024
Pflicht	§39 (1)	§11	§64	§65
Form	Audits	Audits	Stichproben durch BSI
Inhalt	IT-Sicherheit Meldepflicht SzA	Resilienz	IT-Sicherheit Meldepflicht	IT-Sicherheit Meldepflicht
Scope	Kritische Anlage	Kritische Anlage	Unternehmen	Unternehmen
Frequenz	alle drei Jahre	Stichproben	Stichproben	bei Anlass
Empfänger	BSI	BBK	BSI	BSI

Betreiber kritischer Anlagen

Die Betreiber von kritischen Anlagen müssen Nachweise für die Maßnahmen nach §30 (1), §31 und §31 (2) Angriffserkennung durch Audits, Prüfungen oder Zertifizierungen nach §39 (1) alle drei Jahre dem BSI nachweisen, wie bisher bei KRITIS-Prüfungen.

Für Betreiber, die bereits als KRITIS-Betreiber geprüft werden, wird das BSI den Zeitpunkt der Nachweiserbringung auf frühestens drei Jahre nach Erbringung des letzten Nachweises nach §8a (3) BSIG festlegen – der nächste Nachweis verschiebt sich also ggf. um ein Jahr.

Das BSI hat die Befugnis, von sich aus Betreiber kritischer Anlagen als besonders wichtige Einrichtung zu prüfen §64 und kann Vorgaben für Nachweis-Prüfungen festlegen. §39 (2)

Einrichtungen

Einrichtungen müssen die Umsetzung der Maßnahmen dokumentieren. §30 (1) Sie müssen aber dem BSI die Umsetzung der §30 Maßnahmen und §32 Meldepflichten nach der Registrierung nicht regelmäßig nachweisen. Das BSI kann Einrichtungen aber zu Audits, Prüfungen oder Zertifizierungen verpflichten, Nachweise verlangen und selbst prüfen (lassen). §64 (1) (3) (5)

Für Nachweise hat das BSI Durchsetzungsrechte gegenüber besonders wichtigen und wichtigen Einrichtungen. §64 §65

Bei der Auswahl der Einrichtungen soll das BSI risikoorientiert vorgehen, und das Ausmaß der Risikoexposition, die Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von möglichen Sicherheitsvorfällen sowie ihre möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen in Betracht ziehen. §64 (4)

Das BSI kann Vorgaben für diese Nachweis-Prüfungen festlegen. §64 (2)

Staat und BSI

Aufsicht und Zuständigkeit

Das BSI ist die zuständige Aufsichtsbehörde für besonders wichtige und wichtige Einrichtungen mit Niederlassung in Deutschland, für Betreiber kritischer Anlagen auf deutschem Hoheitsgebiet und Einrichtungen der Bundesverwaltung.

Für Betreiber kritischer Anlagen wird auch das BBK mit dem KRITIS-Dachgesetz zuständig.

Für bestimmte Einrichtungen, die in der Europäischen Union tätig sind und ihren Hauptsitz in Deutschland haben, ist das BSI zentral in der EU zuständig (Territorialitätsprinzip):

DNS-Dienste, Domain Registries und TLD Registries
Cloud Computing (Provider), Anbieter von Rechenzentren und Content Delivery Networks
Managed Service und Managed Security Service Provider
Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke

Überwachung

Das BSI hat für Einrichtungen Aufsichts- und Durchsetzungsmaßnahmen zur Überwachung der Vorgaben und Sicherstellung der Einhaltung. §64 §65

Für besonders wichtige Einrichtungen darf das BSI

einzelne Einrichtungen zu Prüfungen und Audits verpflichten §64 (1) und für deren Durchführung Vorgaben erlassen §64 (2)
von Einrichtungen Nachweise zur Umsetzung von Anforderungen verlangen §64 (3) und dabei risikobasierte Auswahlen treffen §64 (4)
bei einzelnen Einrichtungen die Einhaltung der Anforderungen überprüfen §64 (5)
Einrichtungen Anweisungen zur Verhütung oder Behebung von Vorfällen geben §64 (6)
Einrichtungen verbindliche Anweisungen zur Umsetzung der Pflichten geben §64 (7)
Einrichtungen verpflichten, Kunden über Maßnahmen gegen Cyberbedrohungen zu unterrichten §64 (8)
einen Überwachungsbeauftragten bei Einrichtungen zur Überwachung der Pflichten nach §§28, 29, 37 installieren §64 (9)
Einrichtungen bei Nicht-Nachkommen von Anforderungen die Zulassung zu entziehen und Geschäftsführung die Leitungsaufgaben untersagen §64 (10)
und weiteres

Für wichtige Einrichtungen darf das BSI: §65

die Einhaltung der Pflichten nach §§30, 32 überprüfen und Maßnahmen nach §64 treffen

Meldestelle

§4 legt das BSI als zentrale Meldestelle für Bundesbehörden und §40 für Einrichtungen für fest. Das BSI darf deshalb zur Abwehr von Gefahren Informationen sammeln und auswerten und sich mit anderen Behörden austauschen.

Sanktionen und Bußgelder

Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §60. Die bisherigen KRITIS-Bußgelder werden dabei um einige neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht. Die Bußgelder und Sanktionen unterscheiden sich nach Gruppe:

Bußgelder für allgemeine Tatbestände §60 (5)
Bußgelder für wichtige Einrichtungen §60 (6)
Bußgelder für Betreiber kritischer Anlagen und besonders wichtige Einrichtungen §60 (7)

Geschäftsleitung

Geschäftsführer von Einrichtungen müssen die Risikomanagement-Maßnahmen für Cybersecurity billigen und die Umsetzung in der Einrichtung überwachen. §38 (1) Werden diese Pflichten verletzt, kann die Einrichtung Ersatzansprüche stellen, wobei ein Verzicht oder Vergleich unwirksam ist. §38 (2)

Geschäftsleiter müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Maßnahmen sicherzustellen. §38 (3)

Leiter von Einrichtungen der Bundesverwaltung gelten nicht als Geschäftsleitung.

Allgemeine Tatbestände

Allgemeine Bußgeldtatbestände nach §60 (5) unterscheiden in der Bußgeldbewährung nicht zwischen den unterschiedlichen Betreiber-Gruppen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Dezember 2023
Höhe	Verstöße
2 Mio. EUR	Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit eines IT-Systems wird verweigert. §11 (6) TK-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §16 (1) 1 auch i.V.m. §16 (3) TMD-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §17 Besonders wichtige Einrichtungen: die öffentlichen IP-Adressbereiche der Einrichtung werden bei der Registrierung nicht angegeben. §34 (1) Satz 6 Hinweis: vielleicht ein Fehler im Entwurf — der Dezemberentwurf führt in §34 (1) keine Sätze, sondern Nummern auf Hinweis: Anwendung von §30 (2) 3 OWiG
500.000 EUR	Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei betroffenen IKT-Produkten wird verweigert. §18 Besonders wichtige und wichtige Einrichtungen: durch das BSI angewiesene erforderliche Maßnahmen zur Verhütung oder Behebung eines Sicherheitsvorfalls oder Mangels oder die Berichterstattung darüber werden verweigert. §64 (6) Satz 1-2 oder i.V.m. §65 Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt. §33 (1) oder (5) i.V.m. VO nach §57 (4) Satz 1, und §34 (1) Das BSI wird über Änderungen an Registrierungsdaten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterichtet. §34 (2) Besonders wichtige und wichtige Einrichtungen: Ein durch das BSI geforderter Nachweis wird nicht oder nicht rechtzeitig erbracht. §64 (3) Satz 1 oder i.V.m. §65 Ein Nachweis ggü. dem BSI über eine vollständige Datenbank wird nicht erbracht. §51 (1) Auf Anträge wird nicht oder nicht rechtzeitig geantwortet oder der Zugang nicht gewährt. §52 Satz 1 Erforderliche Angaben werden nicht öffentlich gemacht. §51 (3)(4), §52 Satz 2 Vorgabe, Inhaber einer Sicherheits- oder Personenzertifizierung oder einer Zertifizierung als IT-Sicherheitsdienstleister zu sein, ohne dass diese besteht. §54 (2) Satz 1 Tätigwerden als Konformitätsbewertungsstelle ohne Genehmigung. §55 (2) Satz 2 Verwendung des IT-Sicherheitskennzeichen ohne Freigabe. §56 (4) Satz 1 Vorsätzlicher oder fahrlässiger Verstoß gegen die Verordnung (EU) 2019/881 über die ENISA und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik: eine Angabe wird nicht, nicht richtig, nicht vollständig oder nicht binnen eines Monats nach Ausstellung zugänglich gemacht oder eine Information wird nicht, nicht richtig, nicht vollständig oder nicht unverzüglich nach Feststellung einer Schwachstelle oder Unregelmäßigkeit gegeben oder Vorgabe, Inhaber eines europäischen Cybersicherheitszertifikats oder Aussteller einer EU-Konformitätserklärung zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde.
100.000 EUR	Zuwiderhandlung durch Hersteller gegen Anordnung zur Auskunft zu Produkten und Sytemen, insb. auch technischen Details. §14 (2) Satz 1 Zuwiderhandlung gegen Anordnung zur Unterrichtung von Kunden und Einsetzung eines Überwachungsbeauftragen. §64 (8) Satz 1-2, §64 (9) Satz 1 oder i.V.m. §65 Besonders wichtige und wichtige Einrichtungen: Zuwiderhandlung gegen Anordnung zur Umsetzung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen. §64 (7) Satz 2 oder i.V.m. §65 Betreiber kritischer Anlagen: Fahrlässig einen Nachweis nicht richtig oder nicht vollständig erbringen. §39 (1) Satz 1

Wichtige Einrichtungen

Folgende zusätzliche Bußgelder sind nach §60 (6) für wichtige Einrichtungen definiert.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Dezember 2023
Höhe	Verstöße
7 Mio. EUR oder 1,4 % Umsatz	Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) i.V.m. § VO nach 57 (4) Satz 1 Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1)

Besonders wichtige Einrichtungen

Folgende zusätzliche Bußgelder sind nach §60 (7) für besonders wichtige Einrichtungen (folglich auch Betreiber kritischer Anlagen) definiert.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Dezember 2023
Höhe	Verstöße
10 Mio. EUR oder 2 % Umsatz	Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) i.V.m. § VO nach 57 (4) Satz 1 Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1)
10 Mio. EUR	Nachweise über Erfüllung der Anforderungen werden nicht richtig oder nicht vollständig erbracht. §39 (1) Satz 1 i.V.m. VO nach §57 (4) Satz 1 Nachweise über Erfüllung der Anforderungen werden nicht oder nicht rechtzeitig erbracht. §39 (1) Satz 1 i.V.m. VO nach §57 (4) Satz 1
500.000 EUR	Das Betreten eines Raums wird nicht gestattet, eine Unterlage wird nicht oder nicht rechtzeitig vorgelegt, eine Auskunft wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung wird nicht oder nicht rechtzeitig gewährt. §64 (5) Satz 3
100.000 EUR	Durch das BSI verlangte Informationen zur Bewältigung einer Störung werden nicht herausgegeben. §40 (4) Satz 1 Kontaktstelle ist nicht erreichbar. §33 (2) Satz 2 Hinweis: Erreichbarkeit der Kontaktstelle nur für Betreiber kritischer Anlagen relevant.

Bundeseinrichtungen

Im Sektor Staat sind in der NIS2-Umsetzung Einrichtungen der Bundesverwaltung reguliert. Diese übernehmen die Pflichten besonders wichtiger Einrichtungen und erhalten zusätzlich eigene Pflichten.

In der Bundesverwaltung reguliert werden, sofern es keine expliziten Ausnahmen gibt: §29

Stellen des Bundes
Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts
Öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen

Es gibt diverse Ausschlüsse und Abgrenzungen bei Einrichtungen der Bundesverwaltung:

Institutionen der sozialen Sicherung
Geschäftsbereich des Bundesministeriums der Verteidigung
Bundesländer sind nicht direkt reguliert
Kommunen sind nicht direkt reguliert

Anforderungen

An Bundeseinrichtungen werden damit folgende Anforderungen an Cybersicherheit gestellt:

Risikomanagementmaßnahmen nach §30
Meldepflichten für Sicherheitsvorfälle nach §31
Registrierungspflichten nach §32 §33
Nachweispflichten nach §34
Unterrichtungspflichten nach §35
Billigungs- und Überwachungspflichten nach §38

Bundeseinrichtungen müssen zusätzlich erfüllen:

Informationssicherheitsmanagement unter Berücksichtigung von IT-Grundschutz bzw. Mindeststandards für die Sicherheit der Informationstechnik des Bundes §43 §44 (1)

Steuerung

Es müssen weiterhin Strukturen auf Bundesebene und bei Einrichtungen geschaffen werden:

Bundes-CISO: Es soll einen Koordinator für Informationssicherheit auf Bundesebene, gestellt durch die Bundesregierung geben. §48 §49 §50
ISB von Einrichtungen der Bundesverwaltung ist für den Aufbau und die Aufrechterhaltung des Informationssicherheitsprozesses der Einrichtung verantwortlich §45
ISB der Ressorts initiiert und koordiniert die Fortschreibung von Informationssicherheitsleitlinien für sein oder ihr Ressort §46
ISB für wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes wegen der zunehmenden Bedeutung und Größe als eigene ISBs §47

Ausblick

Gesetzgebung

Das NIS2-Umsetzungsgesetz sollte im Oktober 2024 in Kraft treten, das bisherige BSIG dann außer Kraft. Seit Sommer 2023 sind Referentenentwürfe vom NIS2UmsuCG publik. Verkündung und das Inkrafttreten könnten sich mittlerweile wohl um zwei Monate verschieben.

Ablauf NIS2, Stand März 2024
Version	Status	Datum	Akteur
NIS	Deadline nationale Umsetzung	Mai 2018	Mitgliedstaaten
IT-Sicherheitsgesetz 2.0	Inkrafttreten	Mai 2021	Bundesrat
NIS2	EU 2022/2555 Final	Dez 2022	Amtsblatt
NIS2-Umsetzungsgesetz	Referentenentwurf	Apr 2023	Innenministerium
NIS2-Umsetzungsgesetz	Referentenentwurf	Jul 2023	Innenministerium
NIS2-Umsetzungsgesetz	Diskussionspapier	Sep 2023	Innenministerium
NIS2-Umsetzungsgesetz	Referentenentwurf	Dez 2023	Innenministerium
NIS2-Umsetzungsgesetz	Verkündung	unsicher	Bundestag
Rechtsverordnung(en)	fehlt noch	unsicher	Innenministerium
NIS2-Umsetzungsgesetz	Inkrafttreten geplant	Okt 2024	Bundestag
NIS2-Umsetzungsgesetz	Inkrafttreten	unsicher	Bundesgesetzblatt
NIS2	Deadline Umsetzung	Okt 2024	Mitgliedstaaten

Evaluierung

In der NIS2-Umsetzung ist keine Evaluierung in Deutschland vorgesehen, da EU NIS2 selbst (Art. 40) durch die Europäische Kommission evaluiert werden soll, Begründung A. VII. und eine (auf den Mitgliedstaat Deutschland isolierte) Evaluierung der Umsetzung nicht zielführend sei. Zu Art. 7

Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen (aufgehoben). Art. 7 Die Evaluierung dieser Vorschriften erübrigen sich, weil diese in weiten Teilen im Zuge der NIS-2-Umsetzung geändert werden. Zu Art. 7

Die Ergebnisse der teilweisen Evaluierung des IT-Sicherheitsgesetzes 2.0 flossen in das NIS2-Umsetzungsgesetz wohl ein, so die Begründung.

Auswirkungen

In Deutschland geht der Gesetzgeber von etwa 30.000 betroffenen Unternehmen in den verschiedenen Gruppen aus, von denen erst 17 Prozent (vorige Schätzung 40) im Grundsatz ausreichende Maßnahmen ergriffen haben. Abzüglich der bestehenden Betreiber haben laut Prognose über 20.000 Unternehmen damit (neuen) Handlungsbedarf. Begründung A. VI.

Der Gesetzesentwurf prognostiziert betroffene Unternehmen:

Besonders wichtige Einrichtungen: 8.100 Unternehmen
- davon 4.693 digitale Dienste und Betreiber Kritischer Infrastrukturen (KRITIS)
- davon rund 3.400 neue besonders wichtige Einrichtungen
- davon rund 2.950 mit Nachholaufwand (83% von 3.550 [?] neuen Einrichtungen)
Wichtige Einrichtungen: 20.900 Unternehmen
- davon rund 20.900 neue wichtige Einrichtungen
- davon rund 17.900 mit Nachholaufwand (83% von 21.600 [?] neuen Einrichtungen)

Die Anzahl der neuen Einrichtungen (beide Gruppen) widerspricht sich im Gesetzesentwurf

Wirtschaft

Für die Wirtschaft rechnet der Gesetzesentwurf mit diversen Annahmen zur notwendigen Anpassung digitaler Geschäftsprozesse. Die Zahl an Unternehmen mit neuem Erfüllungsaufwand weicht von den beiden oben genannten Zahlengruppen ebenfalls wieder ab.

eigene Zusammenstellung, basierend auf Referentenentwurf, Stand Dezember 2023
Einrichtungen	Aufwand	Rechnung	Summe
Besonders wichtig (neue)	Personalkosten jährlich	2.000 Unternehmen × 143.929 EUR	288 Mio. EUR
Besonders wichtig (neue)	Sachkosten jährlich	2.000 Unternehmen × 52 Tsd. EUR	104 Mio. EUR
Besonders wichtig	Nachweispflichten jährlich	3.550 Unternehmen × 35.211 EUR	125 Mio. EUR
Wichtig	Personalkosten jährlich	12.500 Unternehmen × 57.582 EUR	720 Mio. EUR
Wichtig	Sachkosten jährlich	12.500 Unternehmen × 21 Tsd. EUR	263 Mio. EUR
alle (neue)	Meldepflichten jährlich	25.157 Unternehmen × 2.400 Vorfälle	946 Tsd. EUR
alle	Schulungen jährlich	29.850 Unternehmen × 5.326 EUR	159 Mio. EUR
alle	Registrierungspflichten	diverse	diverse
alle	Einmaliger Aufwand	freie Annahme	2 Mrd. EUR

Für bestehende KRITIS-Betreiber geht der Entwurf von einem jährlichen Personalaufwand von durchschnittlich 344 Tagen und 60 Tsd. EUR Sachkosten aus.

Bundesverwaltung

Der Bedarf an Sach- und Personalmitteln sowie Planstellen und Stellen wird finanziell und stellenmäßig im Gesamthaushalt ausgeglichen.

Betreibergruppen

Die Zwei/Dreiteilung in Betreiber und Einrichtungen und das Beibehalten der kritischen Anlagen (KRITIS) wird mit dem Gleichklang mit dem KRITIS-Dachgesetz begründet, das Betreiber kritischer Anlagen reguliert. Andererseits habe die Evaluierung ergeben, dass NIS2 zu einer so starken Ausweitung von Betroffenheit führe, dass weiterhin eine differenzierte Bestimmung mit Fokus Versorgungsrelevanz erfolgen solle. Zu §57 (1)

Fristen und Umsetzung

Im Gesetz sind verschiedene Fristen zur Umsetzung der Anforderungen vorgesehen. Das Gesetz NIS2UmsuCG selbst soll im Oktober 2024 in Kraft treten.

Besonders wichtige Einrichtungen

Registrierung innerhalb von drei Monaten nach Identifizierung §33 (1)
Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten §30 (7)

Wichtige Einrichtungen

Registrierung innerhalb von drei Monaten nach Identifizierung §33 (1)

Betreiber kritischer Anlagen

Registrierung innerhalb von drei Monaten nach Identifizierung §33 (1) und §33 (2)
Erstmaliger Nachweis über Maßnahmenumsetzung spätestens zu einem vom BSI und BBK bei der Registrierung festgelegten Zeitpunkt: frühestens drei Jahre nach Inkrafttreten des Gesetzes §39 (1), d.h. ab 2027.
Fortlaufende Nachweise über Maßnahmenumsetzung anschließend alle drei Jahre §39 (1)
Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten §30 (7)

Rechtsverordnung

Verschiedene Anforderungen aus dem NIS2UmsuCG sollen durch eine oder mehrere Rechtsverordnungen konkretisiert oder definiert werden: §57

Als kritisch anzusehende Dienstleistungen, deren Versorgungsgrad sowie welche Anlagen oder Teile davon als kritische Anlagen im Sinne des Gesetzes gelten §57 (4)
Details über die Erteilung von Sicherheitszertifikaten und Anerkennung nach §54 §57 (1)
Einzelheiten des IT-Sicherheitskennzeichens nach §52, sowie Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben und der Freigabe §57 (2)
Produkte, Dienste oder Prozesse, die von besonders wichtigen oder wichtige Einrichtungen eingesetzt werden, die über eine Zertifizierung §30 (6) verfügen müssen §57 (3)

Die Rechtsverordnung soll im Einklang mit dem KRITIS-Dachgesetz definiert werden und Betreiber und Einrichtungen in einer Verordnung zusammenfassen, damit betroffene Unternehmen zentral in einer Tabelle relevante Kategorien und Schwellenwerte finden.

Ein Entwurf der Rechtsverordnung(en) ist noch nicht verfügbar.

EU-Vorgaben und Umsetzungsakte

Die EU-Kommission kann zur Definition der §30 (2) Maßnahmen noch eigene Vorgaben durch Durchführungsrechtsakte (Implementing Acts) erlassen, welche dann Vorrang vor nationalem Recht hätten, generell in §30 (4) und speziell für einige IT-Betreiber in §30 (3).

Falls dies nicht eintritt, soll das Bundesinnnenministerium selbst technische, methodische und sektorale Definitionen zur Konkretisierung erlassen. §30 (5)

Branchenstandards

Besonders wichtige Einrichtungen, d.h. auch Betreiber kritischer Anlagen, können weiterhin branchenspezifische Sicherheitstandards (B3S) zur Umsetzung der §30 (1) Maßnahmen vorschlagen. Das BSI stellt die Eignung der B3S fest. §30 (9)

Auswirkung auf weitere Gesetze

Telekommunikationsgesetz

Bis jetzt sind nur aktualisierte Verweise enthalten – inhaltliche Veränderungen noch nicht. Das TKG und der TK-Sicherheitskatalog werden für NIS2 noch aktualisiert werden müssen.

Energiewirtschaftsgesetz

Die Regulierung für Energiebetreiber wird mit der BNetzA geteilt bleiben. Das EnWG und der Energie-Sicherheitskatalog werden für NIS2 noch aktualisiert werden müssen.

Weitere Gesetze

Gesetzesänderungen, Stand Juli 2023
Gesetz	Änderung	NIS2UmsuCG
BSI-Gesetz	Komplette Änderungen oben	Art. 1
BSI-Gesetz	Ermächtigung Rechtsverordnung	Art. 2
BND-Gesetz, SÜFV, TTDSG, GleibWV	Verweise	Art. 3-6
IT-Sicherheitsgesetz 2.0	Evaluierung zum 1. Mai 2025 gestrichen	Art. 7
BSIZertV, BSI-ITSiKV, De-Mail-Gesetz, PassDEÜV, PAuswV, KassenSichV, ATG,	Verweise	Art. 8-15
EnWG	Änderungen siehe oben	Art. 16
MsbG, EnSiG, SGB V, DiGAV , SGB VI, BFSGV, TKG, KHSFV, MessEV, AWV, VDG,	Verweise und Definitionen	Art. 17-27

Änderungen der Referentenentwürfe

Es gab bisher zwei öffentliche Referentenentwürfe aus April und Juli 2023. Die Änderungen nachzuvollziehen ist nicht ganz einfach, unser bisheriger Stand, noch ohne den Teilentwurf des Diskussionspapier aus September 2023.

Dezember 2023 (vierter Entwurf) zu September 2023:

Fehlende Paragraphen wieder enthalten
Zentralregierung nicht mehr als besonders wichtige Einrichtung, dafür mit deren Pflichten
Ausnahmen für Finanzen und Versicherungen (DORA) gestrafft
Ausnahme und Überschneidung für EnWG/BNetzA-regulierte Energiebetreiber angepasst
Frist für bestehende KRITIS-Prüfungen um ein Jahr verlängert
Ausnahme für Energie-/TK-/Finanzunternehmen von §30 gestrichen (Ausnahmen gelten nun für §§31, 32, 35 und 39)
Sanktionen gestrafft und Fehler behoben
Nächste KRITIS-Prüfung um ein Jahr verlängert

September 2023 (dritter Entwurf) zu Juli 2023:

Harmonisierung der Sektordefinitionen
Vereinfachung der Unternehmensgrößen und Einrichtungen
Nachweise bei Betreibern kritischer Anlagen (KRITIS) nur noch alle 3 Jahre, nicht mehr 2
Keine regelmäßigen Nachweise bei besonders wichtigen und wichtigen Einrichtungen
Konkrete Anhaltspunkte zur Maßnahmenauswahl: Risiken, Größe, Exposition, Kosten etc.
Anforderungen an die Sicherheit in der Lieferkette wurden gelockert.
Weitere Regulierung bestimmter Sektoren ist immer noch nicht geklärt (TK, Energie)
Aufweichen und Wegfall der Pflichten von Geschäftsleitern (Dritte, Haftung)
Aufweichen der Schulungspflichten
Registrierungspflichten gelockert, teils in Verbindung mit dem KRITIS-Dachgesetz

Juli 2023 (zweiter Entwurf) zu April 2023:

Weltraum wird analog zum KRITIS-Dachgesetz ein neuer Sektor, Digitale Infrastruktur heißt wieder IT und TK, Bankwesen ist wieder Finanz- und Versicherungswesen.
Für technische und organisatorische Maßnahmen nach §30 wird neben Verhältnismäßigkeit nun explizit Eignung und Wirksamkeit gefordert.
Betreiber kritischer Anlagen müssen bei der Angemessenheit von Maßnahmen die aktuellen Lageberichte des BSI zu Bedrohungen für die Versorgungssicherheit berücksichtigen.
Die Frist für erstmalige Nachweise wurde verlängert auf vier Jahre nach Inkrafttreten.
Geschäftsleiter besonders wichtiger Einrichtungen im Teilsektor Zentralregierung werden aus der sogenannten Managerhaftung ausgeschlossen.
Die angestrebte Vereinfachung der Regulierung im Energiesektor mit BSI und BNetzA wird (leider) wieder aufgelöst: die bisherige Regulierung soll bestehen bleiben, Maßnahmen zum Risikomanagement und verschärfte Meldepflichten aus dem NIS2UmsuCG sollen stattdessen ins EnWG durchgereicht werden.

Weitere Informationen

Literatur

Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
Referentenentwurf des BMI: NIS2UmsuCG, verschiedene Versionen, AG KRITIS 2023

Quellen

Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Version Dezember 2023, Intrapol, 7. März 2025
Werkstattgespräch– Diskussionspapier, des BMI für wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-RL, Innenministerium, Intrapol, 26.10.2023
Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Intrapol, 3. April 2023
Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022