Das NIS2 Umsetzungsgesetz

Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit liegt seit Frühling 2023 als Entwurf vor, als NIS2UmsuCG. EU NIS2 definiert EU-weite Mindest­standards für Cybersecurity, die vom Umsetzungsgesetz in nationale Regulierung überführt werden. Etwa 30.000 Unternehmen werden betroffen sein, mit höheren Cybersecurity-Anforderungen und mehr Befugnissen des BSI.

  1. Unternehmen
  2. Cybersicherheit
  3. Informationen
  4. Staat und BSI
  5. Ausblick

Das Gesetz liegt als zweiter Referentenentwurf vor, es muss nach Abstimmung in der Bundesregierung noch die Gesetzgebung auf Bundesebene durchlaufen. Das NIS2UmsuCG ist ein Änderungsgesetz, das die Artikel verschiedener anderer Gesetze umstrukturiert, ändert und ergänzt – primär das BSI-Gesetz. Ergänzend reguliert das KRITIS-Dachgesetz Resilienz bei kritischen Betreibern regulieren.

Die Ausführungen beruhen auf einem Referentenentwurf von Juli 2023 auf ag.kritis.info. Der Entwurf selbst und die Analyse sind als work in progress mit etwas Vorsicht zu genießen.

Die Umsetzung von NIS2

Neue Cybersecurity-Regulierung in 2023

Das NIS2-Umsetzungsgesetz ändert die deutsche KRITIS-Regulierung deutlich – neben den Betreibern kritischer Anlagen wird es besonders wichtige Einrichtungen und wichtige Einrichtungen geben. Für etwa 30.000 betroffene Unternehmen in Deutschland steigen die Security-Pflichten.

Die bestehende KRITIS-Regulierung wird durch die NIS2-Umsetzung deutlich erweitert mit einem Mehrklassen-System an Betreibern mit unterschiedlichen Stufen von Pflichten.

up

Änderungen der Referentenentwürfe

Es gab bisher zwei öffentliche Referentenentwürfe aus April und Juli 2023. Die Änderungen nachzuvollziehen ist nicht ganz einfach, unser bisheriger Stand:

Juli 2023 vs. April 2023

up

Betroffene Unternehmen

Unternehmen in Deutschland

Es gibt zwei Hauptgruppen von betroffenen Unternehmen in der NIS2-Umsetzung, die im neuen BSI-Gesetz reguliert werden. Diese beiden Gruppen müssen viele (teils neue) Cybersecurity-Pflichten erfüllen, die über bisherige KRITIS-Pflichten hinausgehen.

  1. Betreiber kritischer Anlagen (KRITIS-Betreiber) §28 (2-5) müssen mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung feststellen.
  2. Besonders wichtige §28 (6) und wichtige Einrichtungen §28 (7) werden nach Größe des Unternehmens identifiziert, es gibt dabei mittlere und große Unternehmen:
    1. Mittlere Unternehmen, zwei Möglichkeiten:
      50 bis 249 Mitarbeiter und Umsatz weniger 50 Mio EUR oder Bilanz weniger 43 Mio EUR oder
      Weniger 50 Mitarbeiter und Umsatz 10-50 Mio EUR und Bilanz 10-43 Mio EUR
    2. Großunternehmen, zwei Möglichkeiten:
      Mindestens 250 Mitarbeiter oder ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio EUR

Neben den kritischen Betreibern und Einrichtungen werden auch Bundeseinrichtungen vom BSI-Gesetz mit bestimmten Pflichten reguliert. §29 Einige andere Betreiber (digitale Dienste, UBI) gehen in die Gruppe der Einrichtungen 2 auf.

Die NIS2-Sektoren weichen von den originalen EU NIS2-Sektoren ab und gehen über die bestehenden KRITIS-Sektoren hinaus. Es gibt diverse Ausschlüsse und Sonderfälle, die teils weiterer Regulierung oder besonderen Anforderungen unterliegen. Generell sind sind nicht mehr nur noch Infrastrukturen betroffen sondern große Teile der Wirtschaft.

eigene Zusammenstellung deutsche NIS2-Sektoren Referentenentwurf Juli 2023
* - einige Ausnahmen
✝ - größenunabhängig
KRITIS-Sektoren Besonders wichtige Einrichtungen Wichtige Einrichtungen
Kritische Anlagen Großunternehmen Mittlere Unternehmen Großunternehmen
Energie Energie Energie
Transport und Verkehr Transport Transport
Finanz/Versicherungen Finanz/Versicherungen Finanz/Versicherungen
Gesundheit Gesundheit Gesundheit
Trinkwasser/Abwasser Trinkwasser/Abwasser Trinkwasser/Abwasser
IT und TK IT und TK* IT und TK
qTSP, TLD, DNS (alle ✝) TSP
Verwaltung IKT-Dienste Verwaltung IKT-Dienste
Zentralregierung✝
Weltraum Weltraum Weltraum
Ernährung Ernährung Ernährung
Entsorgung Entsorgung Entsorgung
Logistik Logistik
Digitale Dienste Digitale Dienste
Produktion Produktion
Chemie Chemie
Forschung Forschung
Rüstungsgüter und VS-IT (ex-UBI 1)✝
Betriebsbereich obere Klasse (ex-UBI 3)✝

up

Betreiber und Einrichtungen

Betreiber kritischer Anlagen (KRITIS)

Die bisherigen KRITIS-Betreiber (Kritische Infrastrukturen) sind in der NIS2-Umsetzung als Betreiber kritischer Anlagen definiert. §28 (2) Diese Betreiber sind eine eigene Klasse an Unternehmen, die in KRITIS-Sektoren so genannte kritische Dienstleistungen auf einzeln definierten KRITIS-Anlagen erbringen. Die deutsche KRITIS-Logik bleibt hier bestehen.

eigene Zusammenstellung
* - geht über KRITIS hinaus
Kategorie Größe Sektoren
Kritische Anlagen
§28 (2)
Schwellenwerte Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitsweisen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation*, Weltraum*, Siedlungsabfallentsorgung

Die Betreiber kritischer Anlagen werden auch besonders wichtige Einrichtungen der neuen NIS2-Gruppe und erben damit auch deren Pflichten. §28 (6) Nr. 4

Besonders wichtige und wichtige Einrichtungen

Durch die NIS2-Umsetzung kommen zu den KRITIS-Betreibern zwei neue Gruppen von Unternehmen hinzu, die Einrichtungen §28 (6)-(7).

Die besonders wichtigen Einrichtungen sind Großunternehmen bestimmter Sektoren, einige Unternehmen unabhängig ihrer Größe und KRITIS-Betreiber. Die wichtigen Einrichtungen sind sowohl Großunternehmen und mittlere Unternehmen in vielen Sektoren sowie weitere Unternehmen unabhängig ihrer Größe.

eigene Zusammenstellung
Kategorie Größe Sektoren
Besonders wichtig
§28 (6)
Großunternehmen Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informations­technik und Telekommunikation, IKT-Dienste, Weltraum
unabhängig Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste
Mittlere Unternehmen Anbieter öffentlicher TK-Netze und TK-Dienste
unabhängig Betreiber kritischer Anlagen (KRITIS-Betreiber)
unabhängig Zentralregierung (Bundesministerien und Bundeskanzleramt)
Wichtig
§28 (7)
Mittlere Unternehmen Energie, Transport und Verkehr, Finanz/Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informations­technik und Telekommunikation, IKT-Dienste, Weltraum
Großunternehmen
Mittlere Unternehmen
Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, digitale Dienste, Forschung
unabhängig Vertrauensdienste
unabhängig Hersteller Rüstungsgüter und VS-IT (ex-UBI 1)
unabhängig Betreiber Betriebsbereich obere Klasse (ex-UBI 3)

Unternehmensgröße

Die Einrichtungen werden nach Unternehmensgröße unterschieden – die Definitionen von Großunternehmen §2 (1) Nr. 12 und mittleren §2 (1) Nr. 23 divergieren etwas (auch zum EU NIS2 Original). Bei mittleren Unternehmen zählen Mitarbeiter zusammen mit Umsatz oder Bilanz, bei Großunternehmen Mitarbeiter oder Umsatz und Bilanz.

Unternehmen Mitarbeiter Umsatz Bilanz
Mittlere Unternehmen a)
b)
50-249
bis 49
und
und
< 50 Mio. EUR
10-50 Mio. EUR
oder
und
< 43 Mio. EUR
10-43 Mio. EUR
Großunternehmen c)
d)
≥ 250

≥ 50 Mio. EUR

und

≥ 43 Mio. EUR

Die Unternehmen sind jeweils noch unterteilt – mittlere Unternehmen a) bis 249 Mitarbeiter und b) unter 49 Mitarbeitern (sowie Umsatz/Bilanzgrenzen) und Großunternehmen c) über 250 Mitarbeiter und d) über 50 Mio EUR Umsatz und 43 Mio EUR Bilanz.

Unternehmen im besonderen öffentlichen Interesse

Die Unternehmen im besonderen öffentlichen Interesse (UBI) fallen als separate Kategorie weg und gehen in den Einrichtungen auf. Das IT-Sicherheitsgesetz 2.0 hatte drei Gruppen:

up

Cybersecurity

Pflichten von Betreibern und Einrichtungen

Die Anforderungen an Betreiber und Einrichtungen ändern sich mit der NIS2-Umsetzung deutlich. Die bisherigen KRITIS-Pflichten aus dem BSI-Gesetz bleiben in Grundzügen erhalten, werden teils präzisiert, teils verschärft und neu strukturiert.

eigene Zusammenstellung, Stand Juli 2023
* - implizit, da Betreiber kritischer Anlagen auch besonders wichtige Einrichtungen sind
Pflicht Betreiber kritischer
Anlagen
Besonders wichtige
Einrichtung
Wichtige
Einrichtung
Geltungsbereich Anlage(n) Unternehmen Unternehmen
Maßnahmen Risikomanagement §30
Höhere Maßstäbe für KRITIS §30 (3)
Besondere Maßnahmen SzA §39
Registrierung §32 §33
Meldepflichten §31
Nachweise §34 *
Informationsaustausch §35 §36 *
Governance Leitungsorgane §38 *

Auswirkungen

Die Auswirkungen des NIS2-Umsetzungsgesetzes werden in großen Teilen der deutschen Wirtschaft spürbar werden – vor allem in der sehr großen Gruppe der Einrichtungen. Es gibt jedoch Unterschiede in der Betroffenheit und konkreten Pflichten.

Der genaue Geltungsbereich bei betroffenen Unternehmen für Maßnahmen (§§ 30-39) ist (noch) nicht exakt ausformuliert. Bei Betreibern kritischer Anlagen scheinen die Anlagen weiter der Scope zu sein, bei den besonders wichtigen und wichtigen Einrichtungen dann (wahrscheinlich) das ganze Unternehmen in Form der registrierten Legaleinheit.

Wie das in weiteren Entwürfen oder der Rechtsverordnung bestehen bleibt, wird sich zeigen. Der Geltungsbereich bestimmt der Aufwand von Maßnahmen, Nachweisen und Prüfungen

Ausschlüsse

Für diverse Unternehmen bestehen Ausnahmen und Sonderregeln zu Pflichten in §30-39.

  1. Von §30 (1) ausgeschlossen sind: DNS, TLD, Cloud-Computing, Rechenzentren, Content Delivery Networks, Managed Services und Managed Security Services, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke und Vertrauensdienste.
    Für diese Unternehmen wird ein Durchführungs­rechtsakt der EU-Kommission bis Oktober 2024 verbindliche Maßnahmen festlegen. §30 (5)
  2. Betreiber öffentlicher TK-Netze und TK-Dienste sind von §30 und §31 ausgeschlossen.
  3. Betreiber von Energieversorgungsnetzen oder Energieanlagen sind von §30 und §31 ausgeschlossen, die EnWG/BNetzA-Sicherheitskataloge sollen die Inhalte aber aufgreifen.
  4. Die gematik ist von §30 und §31 ausgeschlossen.
  5. Bestimmte Einrichtungen dürfen zur Wahrung nationaler Sicherheitsinteressen durch die Bundesregierung von §31, §32 und §33 befreit werden. §37
  6. Von den besonders wichtigen und wichtigen Einrichtungen ausgeschlossen werden Einrichtungen gem. Art. 2 (4) der Verordnung (EU) 2022/2554 (DORA).

up

Risikomanagement

Besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um IT und Prozesse ihrer Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. §30 (1)

Maßnahmen

Die von Betreibern und Einrichtungen umzusetzenden Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der IT, Komponenten, Prozesse und Umwelt dieser Systeme vor Sicherheitsvorällen schützt.

Die Maßnahmen müssen mindestens die folgenden Themen umfassen: §30 (4)

Die Maßnahmen sind sicherlich gleichzeitig generisch und in Teilen sehr spezifisch. Hier wird der Staat (hoffentlich) noch Details und Erwartungen präzisieren.

Konkretisierung

Eine genaue Konkretisierung der Maßnahmen durch EU, BSI oder Verbände ist noch nicht bekannt, hier ist bis 2024 sicherlich noch Bewegung zu erwarten zum Stand der Technik. Ebenso sind noch keine offizielle Ableitungen auf existierende Cybersecurity Standards wie ISO 27001 oder C5 verfügbar, welche die Maßnahmen in Rahmenwerke einordnen.

Sicherlich sind existierende ISMS-Zertifizierungen nicht ohne weiteres schon hinreichend für NIS2-Maßnahmen – der Geltungsbereich (Scope) von NIS2 könnte über bestehende Zertifikate hinausgehen, die genannten Maßnahmen sind teils tiefer und teils weiter als übliche Rahmenwerke.

Implementing Acts der EU

Die EU-Kommission kann nach Art. 21 (5) NIS2 in Durchführungs­rechtsakten (Implementing Acts) konkretere technische und methodische Anforderungen erlassen, die dann direkt verbindlich werden und dann vor der obigen Liste (4) Vorrang haben. §30 (6)

Für Betreiber von DNS, TLD, Cloud, Rechenzentren, CDNs, Managed Services und Managed Security Services, Online-Marktplätzen, Suchmaschinen, soziale Netzwerke und Vertrauens­dienste wird die EU-Kommission bis Oktober 2024 in einem separaten Implementing Act verbindliche Maßnahmen festlegen, § (4) gilt für diese lediglich nachrangig. §30 (5)

Angemessenheit und Wirksamkeit

Die Maßnahmen müssen geeignet, verhältnismäßig und wirksam §30 (1) sowie dem Risiko angemessen sein und den Stand der Technik einhalten. Sie sollen internationale und europäische Normen einhalten und dabei Umsetzungs­kosten vor dem Hintergrund gesellschaftlicher und wirtschaftlicher Auswirkungen von Ausfällen berücksichtigen. §30 (2)

Betreiber kritischer Anlagen

Für Betreiber kritischer Anlagen gelten bei der Auswahl von Maßnahmen und Bewertung der Angemessenheit höhere Maßstäbe zum Schutz der IT, Komponenten und Prozesse der betriebenen Anlagen. Insbesondere müssen sie bei der Wahl von Maßnahmen die in den aktuellen Lageberichten und Bewertungen des BSI genannten Bedrohungs­szenarien für die Versorgungssicherheit berücksichtigen. §30 (3)

Betreiber kritischer Anlagen müssen darüberhinaus weitere Anforderungen umsetzen:

up

Produkte

Zertifizierte Produkte

Verwenden besonders wichtige oder wichtige Einrichtungen bestimmte IKT-Produkte, Dienste oder Prozesse, müssen diese über eine Cybersicherheits­zertifizierung gem. Art. 49 EU 2019/881 verfügen §30 (9)(9a). Welche Produkte, Dienste oder Prozesse betroffen sind, wird noch in der Rechtsverordnung nach §57 (6) bestimmt.

Qualität von Produkten

Zur Gewährleistung der Sicherheit der Lieferkette (§30 (4) 4) müssen besonders wichtige Einrichtungen die spezifischen Schwachstellen von Anbietern und Diensteanbietern sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis inkl. der Sicherheit der Entwicklungsprozesse berücksichtigen §30 (8).

Dabei muss die koordinierte Risikobewertung kritischer Lieferketten auf Ebene der Union (Art. 22 NIS2-Richtlinie) berücksichtigt werden.

Kritische Komponenten

Der Einsatz sogenannter kritischer Komponenten muss durch Betreiber kritischer Anlagen dem Innenministerium gemeldet werden §41 (1). Kritische Komponenten und Funktionen müssen in Gesetzen festgelegt werden (bis jetzt nur im TK-Sektor durch das TKG 2021).

Das Innenministerium darf den Einsatz kritischer Komponenten untersagen aufgrund:

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung zur Vertrauenswürdigkeit des Herstellers eingesetzt werden, die von KRITIS-Betreibern dem Innenministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen ist. §41 (3)

Der Einsatz bestimmter Komponenten oder Hersteller darf bei schwerwiegenden Verstößen auch längerfristig untersagt werden. §41 (6) (7)

up

Informationen

Nachweise und Prüfungen

Die Umsetzung der NIS2-Maßnahmen muss dem BSI von besonders wichtigen Einrichtungen und Betreiber kritischer Anlagen alle zwei Jahre nachgewiesen werden. Die Zeitleiste dafür hängt von der eigenen Registrierung und dem Inkrafttreten der neuen Gesetze ab. Der Modus ist analog zu den bisherigen KRITIS-Prüfungen mit Audits, Prüfungen oder Zertifizierungen.

eigene Zusammenstellung, Stand Juli 2023
Pflicht Betreiber kritischer
Anlagen
Besonders wichtige
Einrichtung
Wichtige
Einrichtung
Nachweispflicht §34 (1) §39 (2) §34 (1) -
Inhalt Maßnahmen
Meldepflicht
SzA
Maßnahmen
Meldepflicht
-
Frequenz alle zwei Jahre alle zwei Jahre -
Form Audits Audits -
Empfänger BSI, ggf. BBK BSI -

Die bisherigen KRITIS-Audits (und Zyklen) für Betreiber bleiben vorerst bestehen, es wird zwischen 2024 und 2028 sicherlich Übergangsfristen und den Versuch einer Synchronisation zum KRITIS-Dachgesetz geben. Nach Prognose werden 8.100 Einrichtungen und Betreiber in Zukunft regelmäßig auditiert werden müssen.

Besonders wichtige Einrichtungen

Besonders wichtige Einrichtungen (einschließlich Betreiber kritischer Anlagen) müssen dem BSI die Umsetzung der §30 (1) Maßnahmen und §31 Meldepflichten nach der Registrierung alle zwei Jahre nachweisen. Der Nachweis kann durch Audits, Prüfungen oder Zertifizierungen erfolgen, analog der bisherigen KRITIS-Prüfungen. §34 (1)

Der Zeitpunkt des (ersten/neuen) Nachweises wird vom BSI nach Registrierung festgelegt, spätestens vier Jahre nach Inkrafttreten des Gesetzes, d.h. zwischen 2024 und 2028.

Der Nachweis umfasst die festgestellten Mängel, einen Umsetzungsplan zur Beseitigung und ggf. Nachweise der Behebung von Mängeln. Im Gegensatz zu KRITIS-Prüfung werden die §34 Nachweisprüfungen nicht (unbedingt) auf eine bestimmte Anlage bzw. einen bestimmten Geltungsbereich beschränkt sein.

Das BSI kann Standards und Vorgaben für diese Nachweis-Prüfungen festlegen. §34 (2)

Betreiber kritischer Anlagen

Die Betreiber von kritischen Anlagen müssen, da sie auch besonders wichtige Einrichtungen sind, Nachweise durch Audits, Prüfungen oder Zertifizierungen nach §34 alle zwei Jahre dem BSI nachweisen, wie bisher bei KRITIS-Prüfungen.

Zusätzlich müssen Betreiber kritischer Anlagen den Einsatz von Systemen zur Angriffs­erkennung (SzA) als Teil des Nachweises erbringen. §39 (2)

Fallen Betreiber auch unter das KRITIS-Dachgesetz (Resilienz), können sie die Nachweise nach §34 (1) und §39 (2) zum selben Zeitpunkt der Nachweise für das KRITIS-Dachgesetz (dort §11 (8)) erbringen. §39 (2)

Das BSI hat nach wie vor die Befugnis, von sich aus Betreiber kritischer Anlagen zu prüfen §39 (3) und Standards und Vorgaben für Nachweis-Prüfungen festzulegen. §39 (4).

up

Meldewesen

Mit der NIS2-Umsetzung kommen auf die betroffenen Einrichtungen umfangreiche Informations- und Meldepflichten zu, die über die KRITIS-Meldepflichten hinausgehen.

Meldung von Sicherheitsvorfällen

Besonders wichtige Einrichtungen (+ Betreiber kritischer Anlagen) und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen: §31

Das BSI richtet die Meldemöglichkeit im Einvernehmen mit dem BBK ein – potenziell für das KRITIS-Dachgesetz.

Meldungen an Kunden und Öffentlichkeit

Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden (Empfänger ihrer Dienste) zu unterrichten. §35 (1)

Einrichtungen aus den Sektoren Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, IKT-Dienste und Digitale Dienste müssen von einer erheblichen Cyberbedrohung potenziell betroffene Kunden unverzüglich informieren, einschließlich möglicher Gegenmaßnahmen. §35 (2)

Das BSI meldet sich nach Möglichkeit innerhalb von 24h bei Unternehmen nach Eingang der Meldung zurück, ggf. mit möglichen Nachfragen, Unterstütsungsangeboten und Informationen. Falls eine Sensibilisierung der Öffentlichkeit erforderlich oder im öffentlichen Interesse ist, so kann das BSI Betreiber auffordern, dies zu tun.

Registrierung und Kontaktstelle

Einrichtungen und Betreiber müssen sich selbst identifizieren und beim BSI registrieren. Für bestimmte Unternehmen gelten spezielle Registrierungs­regeln. §32 §33

Besonders wichtige und wichtige Einrichtung sowie DNS-Registries müssen sich innerhalb von drei Monaten beim BSI registrieren. Zu den Daten gehören Name, Rechtsform, Kontaktdaten, Mail/Telefon, IP-Adressbereiche, Sektor und Teilsektor, EU-Staaten mit Geschäftsaktivitäten. §32 (1)

Betreiber kritischer Anlagen müssen sich am ersten Werktag nach Identifikation kritischer Anlagen beim BSI registrieren und eine jederzeit erreichbare Kontaktstelle benennen. §32 (3)

Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries von sich aus registrieren, ebenfalls Betreiber kritischer Anlagen. Dazu kann das BSI Unterlagen und Einzelheiten anfordern, und das Verfahren noch genauer definieren. §32 (2) (4), (5-7)

Bestimmte Einrichtungen müssen sich bis zum 17. Januar 2025 beim BSI registrieren. §33 Dies umfasst EU-Betreiber, die in Deutschland nach §63 zentral vom BSI reguliert werden: DNS und TLD, Cloud Computing, Rechenzentren, CDNs, MSP und Managed Service und Security Service Provider, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke

Informationsaustausch

Besonders wichtige Einrichtungen müssen ab 1 Jahr nach Inkrafttreten des Gesetzes am Informationsaustausch über die zentrale Austauschplattform des BSI teilnehmen. §30 (10)

up

Staat und BSI

Aufsicht

Zuständigkeiten

Das BSI ist zuständig für besonders wichtige und wichtige Einrichtungen und Betreiber kritischer Anlagen in Deutschland: §62

Für bestimmte Betreiber, die in der Europäischen Union tätig sind und ihren Hauptsitz in Deutschland haben, ist das BSI für diese Einrichtungen zentral in der EU zuständig. §63

Überwachung

Das BSI hat für Einrichtungen Aufsichts- und Durchsetzungs­maßnahmen zur Überwachung der Vorgaben und Sicherstellung der Einhaltung. §64 §65

Für besonders wichtige Einrichtungen darf das BSI:

Für wichtige Einrichtungen darf das BSI:

Meldestelle

§4 legt das BSI als zentrale Meldestelle für Bundesbehörden, §5 als zentrale allgemeine Meldestelle für Sicherheit in der IT, §40 als zentrale Meldestelle für Betreiber kritischer Anlagen und Einrichtungen für fest. Das BSI darf deshalb zur Abwehr von Gefahren Informationen sammeln und auswerten und sich mit anderen Behörden austauschen.

up

Sanktionen und Bußgelder

Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §60. Die bisherigen KRITIS-Bußgelder werden dabei um einige neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht. Die Bußgelder und Sanktionen unterscheiden sich nach Gruppe:

Persönliche Haftung

Neben Bußgeldern für Unternehmen gibt es im NIS2-Umsetzungsgesetz auch persönliche Haftung von Geschäftsführern besonders wichtiger und wichtiger Einrichtungen §38. Diese müssen die vorgeschriebenen Risikomanagement-Maßnahmen für Cybersicherheit billigen und die Umsetzung in der Einrichtung überwachen. Eine Auslagerung dieser Aufgaben an Dritte ist nicht zulässig.

Verletzen Geschäftsleiter ihre Billigungs- und Überwachungspflicht, haften sie der Einrichtung für den entstandenen Schaden. Die Amtshaftung bleibt davon unberührt.

Allgemeine Tatbestände

Allgemeine Bußgeldtatbestände nach §60 (5) unterscheiden in der Bußgeldbewährung nicht zwischen den unterschiedlichen Betreiber-Gruppen.

eigene Zusammenstellung, Stand April 2023
Höhe Verstöße
2 Mio. EUR
  • Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit eines IT-Systems wird verweigert §11 (6)
  • TK-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen §16 (1) 1 auch i.V.m. §16 (3)
  • TMD-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen §17
  • Besonders wichtige Einrichtungen: durch das BSI verlangte Dokumentationen, Mängelbeseitigungspläne oder Nachweise werden nicht vorgelegt bzw. Sicherheitsmängel nicht beseitigt §34 (1) Satz 5
Hinweis: Anwendung von §30 (2) 3 OWiG
500.000 EUR
  • Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei betroffenen IKT-Produkten wird verweigert §18
  • Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt
  • Tätigwerden als Konformitätsbewertungsstelle ohne Genehmigung
  • Verwendung des IT-Sicherheitskennzeichen ohne Freigabe
  • Vorgabe, Inhaber einer Zertifizierung zu sein, ohne dass diese besteht
  • Vorgabe, Inhaber eines europäischen Cybersicherheitszertifikats oder Aussteller einer EU-Konformitätserklärung zu sein, obwohl diese nicht besteht, wiederrufen oder für ungültig erklärt wurde
100.000 EUR
  • Zuwiderhandlung durch Hersteller gegen Anordnung zur Auskunft zu Produkten und Sytemen, insb. auch technischen Details §14 (2) 1
  • Nachweise werden nicht oder nicht rechtzeitig erbracht

Wichtige Einrichtungen

Folgende zusätzliche Bußgelder sind nach §60 (6) für wichtige Einrichtungen definiert.

eigene Zusammenstellung, Stand April 2023
Höhe Verstöße
7 Mio. EUR oder
1,4 Prozent Umsatz
  • Vorkehrungen zur Cybersicherheit nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen
  • Meldungen erfolgen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig
500.000 EUR
  • Nachweise über Erfüllung der Anforderungen werden nicht oder nicht rechtzeitig erbracht
  • Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt
  • Informationen zur Bewältigung einer Störung werden nicht herausgegeben
Hinweis: Nachweiserbringung nach §34 (1) 1 oder §39 (2) 1 und Informations­herausgabe nach §40 (4) 1 eigentlich nicht relevant für wichtige Betreiber.
Registrierungs­pflicht bereits über allgemeine Bußgelder geregelt
100.000 EUR
  • Änderungen notwendiger Angaben werden nicht fristgerecht übermittelt
  • Verbindlichen Anweisungen zur Umsetzung der Gesetzesanforderungen nach §65 (1) 2 wird nicht nachgekommen
  • Anweisungen zur Veröffentlichung von Verstößen nach §65 (3) wird nicht nachgekommen

Betreiber kritischer Anlagen und besonders wichtige Einrichtungen

Folgende zusätzliche Bußgelder sind nach §60 (7) für Betreiber kritischer Anlagen oder besonders wichtige Einrichtungen definiert.

eigene Zusammenstellung, Stand April 2023
Höhe Verstöße
10 Mio. EUR oder
2 Prozent Umsatz
  • Nachweise über Erfüllung der Anforderungen werden nicht richtig oder nicht vollständig erbracht
  • Vorkehrungen zur Cybersicherheit werden nicht richtig, nicht volländig oder nicht rechtzeitig getroffen
  • Nachweise über Erfüllung der Anforderungen werden nicht oder nicht rechtzeitig erbracht
  • Meldungen erfolgen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig
500.000 EUR
  • Das Betreten eines Raums wird nicht gestattet, eine Unterlage wird nicht oder nicht rechtzeitig vorgelegt, eine Auskunft wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung wird nicht oder nicht rechtzeitig gewährt
  • Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt
  • Änderungen notwendiger Angaben werden nicht fristgerecht übermittelt
  • Informationen zur Bewältigung einer Störung werden nicht herausgegeben
  • Verbindlichen Anweisungen zur Umsetzung der Gesetzesanforderungen nach §64 (3) wird nicht nachgekommen
100.000 EUR
  • Kontaktstelle ist nicht erreichbar
  • Anweisungen zur Veröffentlichung von Verstößen nach §64 (4) oder Mitwirkungspflichten eines Überwachungsbeauftragten nach §64 (5) wird nicht nachgekommen
Hinweis: Erreichbarkeit der Kontaktstelle und Herausgabe von Informationen zur Störungsbewältigung nur für KRITIS-Betreiber relevant

up

Bundeseinrichtungen

Die Pflichten besonders wichtiger Einrichtungen sind auf Einrichtungen der Bundes­verwaltung anzuwenden, sofern keine expliziten Abweichungen geregelt sind §29.

Einrichtungen der Bundesverwaltung im Sinne von NIS2 sind:

Wichtig: Teile der Bundesverwaltung können parallel als besonders wichtige Einrichtung und teils auch als KRITIS reguliert werden. Hier bleiben die konkreten Festlegungen aus der Rechtsverordnung nach §57 abzuwarten.

Differenzierung und Ausschlüsse

Betreffende Einrichtungen der Bundesverwaltung werden wie folgt differenziert:

Aus den regulierten Bundeseinrichtungen sind ausgeschlossen:

Anforderungen

Unter Berücksichtigung der genannten Differenzierung werden an alle Bundeseinrichtungen folgende Anforderungen an Cybersicherheit gestellt:

Bundeseinrichtungen, die nach §28 besonders wichtige oder wichtige Einrichtungen sind, müssen zusätzlich erfüllen:

Steuerung

Es müssen weiterhin Strukturen auf Bundesebene und bei Einrichtungen geschaffen werden:

up

Ausblick

Gesetzgebung

Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, NIS2UmsuCG, ändert das BSI-Gesetz als Artikelgesetz deutlich, da die Anforderungen der Richtlinie deutlich über die Bestimmungen des IT-SiG 2.0 hinausgehen oder sie teilweise ersetzen.

Das NIS2-Umsetzungsgesetz soll am 1. Oktober 2024 in Kraft treten, das bisherige BSIG dann außer Kraft. Seit Sommer 2023 sind Referentenentwürfe vom NIS2UmsuCG publik.

Ablauf NIS2, Stand Juli 2023
Version Status Datum Akteur
NIS Deadline nationale Umsetzung Mai 2018 Mitglied­staaten
IT-Sicherheitsgesetz 2.0 Inkrafttreten Mai 2021 Bundesrat
NIS2 EU 2022/2555 Final Dez 2022 Amtsblatt
NIS2-Umsetzungsgesetz Referentenentwurf Apr 2023 Innenministerium
NIS2-Umsetzungsgesetz Referentenentwurf Jul 2023 Innenministerium
NIS2-Umsetzungsgesetz Verabschiedung noch 2023? Innenministerium
Rechtsverordnung(en) fehlt noch bis Okt 2024 Innenministerium
NIS2-Umsetzungsgesetz Inkrafttreten, geplant Okt 2024 Innenministerium
NIS2 Deadline Umsetzung Okt 2024 Mitglied­staaten

Evaluierung

In der NIS2-Umsetzung ist keine Evaluierung in Deutschland vorgesehen, da EU NIS2 selbst (Art. 40) durch die Europäische Kommission evaluiert werden soll, Begründung A. VII. und eine (auf den Mitgliedstaat Deutschland isolierte) Evaluierung der Umsetzung nicht zielführend sei. Zu Art. 7

Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen (aufgehoben). Art. 7 Die Evaluierung dieser Vorschriften erübrigen sich, weil diese in weiten Teilen im Zuge der NIS-2-Umsetzung geändert werden. Zu Art. 7

Die Ergebnisse der teilweisen Evaluierung des IT-Sicherheitsgesetzes 2.0 flossen in das NIS2-Umsetzungsgesetz wohl ein, so die Begründung.

up

Auswirkungen

In Deutschland geht der Gesetzgeber von etwa 30.000 betroffenen Unternehmen in den verschiedenen Gruppen aus, von denen erst 40 Prozent im Grundsatz ausreichende Maßnahmen ergriffen haben. Abzüglich der bestehenden Betreiber haben laut Prognose über 14.500 Unternehmen damit (neuen) Handlungsbedarf. Begründung A. VI.

Betreiber

Der Gesetzesentwurf prognostiziert betroffene Unternehmen:

Aufwände

Der Entwurf vom NIS2-Umsetzungsgesetz schätzt Aufwände für die Umsetzung von NIS2 in der Wirtschaft und der Verwaltung. Die Zahlen basieren auf einer Folgekostenschätzung des statistischen Bundesamts. Begründung A. IV.

Für die Wirtschaft:

Für die Bundesverwaltung:

Betreibergruppen

Die Zwei/Dreiteilung in Betreiber und Einrichtungen und das Beibehalten der kritischen Anlagen (KRITIS) wird mit dem Gleichklang mit dem KRITIS-Dachgesetz begründet, das Betreiber kritischer Anlagen reguliert. Andererseits habe die Evaluierung ergeben, dass NIS2 zu einer so starken Ausweitung von Betroffenheit führe, dass weiterhin eine differenzierte Bestimmung mit Fokus Versorgungsrelevanz erfolgen solle. Zu §57 (1)

up

Fristen und Umsetzung

Im Gesetz sind verschiedene Fristen zur Umsetzung der Anforderungen vorgesehen. Das Gesetz NIS2UmsuCG selbst soll zum 1. Oktober 2024 in Kraft treten.

Besonders wichtige Einrichtungen

Wichtige Einrichtungen

Betreiber kritischer Anlagen

up

Rechtsverordnung

Verschiedene Anforderungen aus dem NIS2UmsuCG sollen durch eine oder mehrere Rechtsverordnungen konkretisiert oder definiert werden: §57

Die Rechtsverordnung soll im Einklang mit dem KRITIS-Dachgesetz definiert werden und Betreiber und Einrichtungen in einer Verordnung zusammenfassen, damit betroffene Unternehmen zentral in einer Tabelle relevante Kategorien und Schwellenwerte finden. Versorgungsgrad und Schwellenwerte werden wohl analog der bisherigen KRITIS-Anlagen definiert, Einrichtungen, Sektoren und Dienstleistungen noch offen. Zu §57 (1)

Ein Entwurf der Rechtsverordnung(en) ist noch nicht verfügbar.

EU-Vorgaben und Umsetzungsakte

Die EU-Kommission kann zur Definition der §30 (4) Maßnahmen noch eigene Vorgaben durch Durchführungs­rechtsakte (Implementing Acts) erlassen, welche dann Vorrang vor nationalem Recht hätten. Falls dies nicht eintritt, soll das Bundes­innnenministerium selbst technische, methodische und sektorale Definitionen zur Konkretisierung erlassen.

Branchenstandards

Besonders wichtige Einrichtungen, d.h. auch Betreiber kritischer Anlagen, können weiterhin branchenspezifische Sicherheitstandards (B3S) zur Umsetzung der §30 (1) Maßnahmen vorschlagen. Das BSI stellt die Eignung der B3S fest. §30 (12)

up

Auswirkung auf weitere Gesetze

Telekommunikationsgesetz

Bis jetzt sind nur aktualisierte Verweise enthalten – inhaltliche Veränderungen noch nicht.

Energiewirtschaftsgesetz

Der Entwurf von April 2023 sah noch vor, dass die geteilte Regulierung von Energie­betreibern durch BNetzA und BSI zentralisiert werden soll. Der neuere Entwurf von Juli 2023 geht revers – nach letztem Stand ist vorgesehen, dass die Regulierung wie bislang bei der BNetzA verbleibt. § 11 (1a)-(1c) EnWG werden lediglich bezüglich der Risikomanagement­maßnahmen und Meldepflichten konkretisiert.

Weitere Gesetze

Gesetzesänderungen, Stand Juli 2023
Gesetz Änderung NIS2UmsuCG
BSI-Gesetz Komplette Änderungen oben Art. 1
BSI-Gesetz Ermächtigung Rechtsverordnung Art. 2
BND-Gesetz, SÜFV, TTDSG, GleibWV Verweise Art. 3-6
IT-Sicherheitsgesetz 2.0 Evaluierung zum 1. Mai 2025 gestrichen Art. 7
BSIZertV, BSI-ITSiKV, De-Mail-Gesetz, PassDEÜV, PAuswV, KassenSichV, ATG, Verweise Art. 8-15
EnWG Änderungen siehe oben Art. 16
MsbG, EnSiG, SGB V, DiGAV , SGB VI, BFSGV, TKG, KHSFV, MessEV, AWV, VDG, Verweise und Definitionen Art. 17-27

up

Weitere Informationen

Literatur

  1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
  2. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022

Quellen

  1. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
  2. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung, Intrapol, 3. April 2023
  3. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheits­niveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
  4. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022