NIS2 Umsetzungsgesetz
Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, das NIS2UmsuCG, wird ab 2024 in Kraft treten. Es überführt die EU-weiten Mindeststandards für Cybersecurity der EU-Direktive NIS2 in deutsche Regulierung. Die NIS2-Umsetzung wird mindestens 30 Tsd. Unternehmen in Deutschland betreffen.
Das Gesetz liegt als Referentenentwurf vor und muss bis Oktober 2024 die Gesetzgebung auf Bundesebene durchlaufen. Das NIS2UmsuCG ist ein Änderungsgesetz, das bestehende Gesetze ändert – primär die KRITIS-Teile des BSI-Gesetzes (BSIG-E). Neben NIS2 wird das KRITIS-Dachgesetz kritische Betreiber regulieren.
NIS2 und KRITIS-Dachgesetz: Was kommt auf Unternehmen zu?
Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2024
Deutsch ∙ PDF ∙ März 2024 ∙ OpenKRITIS-Briefing
English version of this page available at German NIS2 Implementation.
Die Umsetzung von NIS2
Neue Cybersecurity-Regulierung ab 2024
Das NIS2-Umsetzungsgesetz ändert die deutsche KRITIS-Regulierung deutlich – neben den Betreibern kritischer Anlagen wird es besonders wichtige Einrichtungen
und wichtige Einrichtungen
geben.
Für etwa 30.000 betroffene Unternehmen in Deutschland, die über klassische Kritische Infrastrukturen hinausgehen, steigen die Security-Pflichten.
- Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS) und die neuen Einrichtungen – je nach Unternehmensgröße besonders wichtigen oder wichtig. Ebenfalls betroffen sind Bundeseinrichtungen und einige Sonderfälle.
- Sektoren: Die KRITIS-Sektoren der kritischen Anlagen bleiben bestehen, die Sektoren der neuen Einrichtungen erweitern sich wie in der EU und umfassen neben Infrastruktur nun große Teile der Wirtschaft.
- Cybersecurity: Die Sicherheitsmaßnahmen für Unternehmen werden umfassender und tiefer mit Risikomanagement, Vorfallsmeldungen, vielen technische Maßnahmen und Governance.
- Aufsicht: Staatliche Befugnisse erweitern sich durch Registrierungspflicht, Nachweise, Meldepflichten und verbindlichen Informationsaustausch. Die geteilte Regulierung über verschiedene Behörden wie BSI, BNetzA etc. nimmt zu, soll aber vereinfacht werden.
- Sanktionen: Erweiterte Sanktionsvorschriften mit neuen Bußgeldtatbeständen und erhöhten Bußgeldern zwischen 100 Tsd. und 20 Mio. EUR, teils gekoppelt an den weltweiten Umsatz.
Stand der Dinge
Es gibt mindestens vier bekannte Referentenentwürfe des NIS2-Umsetzungsgesetzes:
- Erster Referentenentwurf von April 2023
- Zweiter Referentenentwurf von Juli 2023
- Dritter Entwurf (Diskussionspapier) von September 2023
- Werkstattgespräch des BMI von Oktober 2023
- Vierter Referentenentwurf Dezember 2023 (aktuell)
Wann weitere Referentenentwürfe zu erwarten sind, ist unklar. Die geplante Verkündung und das eigentlich notwendige Inkrafttreten zu Oktober 2024 sind mittlerweile fraglich.
Betroffene Unternehmen
Unternehmen in Deutschland
Die von NIS2 betroffenen Unternehmen in Deutschland bestehen aus drei (vier) Gruppen: Die bestehenden Betreiber kritischer Anlagen (KRITIS), die besonders wichtigen sowie die wichtigen Einrichtungen und einige Bundeseinrichtungen: §28
- Besonders wichtige Einrichtungen nach Größe des Unternehmens in Sektoren Anlage 1
G Unternehmen ab 250 Mitarbeitern oder
G Unternehmen ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio. EUR
U Sonderfälle: qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen - Wichtige Einrichtungen nach Größe des Unternehmens in Sektoren aus Anlage 1 2
M Unternehmen ab 50 Mitarbeitern oder
M Unternehmen ab 10 Mio. EUR Umsatz und Bilanz ab 10 Mio. EUR
U Vertrauensdienste - Betreiber kritischer Anlagen (KRITIS-Betreiber) stellen weiterhin mit KRITIS-Methodik die Betroffenheit einzelner Anlagen fest, auch im KRITIS-Dachgesetz
KRITIS-Anlage über Schwellenwert, in der Regel ≥ 500 Tsd. versorgte Personen - Neben Einrichtungen werden auch Bundeseinrichtungen mit einigen Pflichten reguliert
Einrichtungen
Besonders wichtige und wichtige Einrichtungen
Die besonders wichtigen Einrichtungen §28 (1) sind Großunternehmen bestimmter Sektoren, einige Unternehmen unabhängig ihrer Größe und Betreiber kritischer Anlagen. Die wichtigen Einrichtungen §28 (2) sind Großunternehmen und mittlere Unternehmen in vielen Sektoren.
Einrichtung | Größe | Sektoren |
---|---|---|
Besonders wichtig §28 (1) |
Großunternehmen aus Anlage 1 |
Energie, Transport/Verkehr, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT und TK, Weltraum |
unabhängig | Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste | |
Mittlere Unternehmen | Anbieter öffentlicher TK-Netze und TK-Dienste | |
unabhängig | Betreiber kritischer Anlagen (KRITIS-Betreiber) | |
Wichtig §28 (2) |
Mittlere Unternehmen aus Anlage 1 |
Energie, Transport/Verkehr, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT und TK, Weltraum |
Großunternehmen Mittlere Unternehmen aus Anlage 2 |
Post/Kurier, Siedlungsabfallentsorgung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung | |
unabhängig | Vertrauensdienste |
Weitere
Die Zentralregierung gehört nicht mehr zu besonders wichtigen Einrichtungen. Einrichtungen der Bundesverwaltung (Staat) sind dafür separat reguliert und erben Pflichten der besonders wichtigen Einrichtungen §29 sowie eigene Pflichten aus Kapitel 3.
Die Unternehmen im besonderen öffentlichen Interesse (UBI) fallen als separate Kategorie weg und gehen größtenteils in den Einrichtungen auf: UBI 1 Rüstung fallen größtenteils in den NIS2-Sektor verarbeitendes Gewerbe, UBI 2 volkswirtschaftliche Bedeutung verteilen sich über alle NIS2-Sektoren und UBI 3 Gefahrstoffe fallen in den Sektor Chemie.
Unternehmensgröße
Die Einrichtungen unterscheiden sich nach Unternehmensgröße: Mitarbeiter, Umsatz und Bilanz. Besonders wichtige Einrichtungen in §28 (1) und wichtige Einrichtungen in §28 (2).
Einrichtung | Sektoren | Größe | Mitarbeiter | Umsatz und Bilanz |
---|---|---|---|---|
Besonders wichtig | 1 | G Großunternehmen G Großunternehmen |
≥ 250 |
≥ 50 Mio. + ≥ 43 Mio. EUR |
Wichtig | 1 2 | M ab mittlere Unternehmen M ab mittlere Unternehmen |
≥ 50 | ≥ 10 Mio. + ≥ 10 Mio. EUR |
Betreiber kritischer Anlagen (KRITIS)
Die bisherigen KRITIS-Betreiber, die Kritischen Infrastrukturen, werden zu Betreibern kritischer Anlagen. §28 (5) Die KRITIS-Logik von KRITIS-Sektoren, kritischen Dienstleistungen und Anlagen mit Schwellenwerten bleibt hier erhalten. Die Betreiber werden gleichzeitig auch besonders wichtige Einrichtungen. §28 (1) Nr. 4
Betreiber | Größe | Sektoren |
---|---|---|
Kritische Anlagen §28 (5) |
Anlagen mit Schwellenwerten §28 (6) |
Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitsweisen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung |
NIS2-Sektoren
In der NIS2-Umsetzung gibt es zwei Gruppen von Sektoren: Sektoren der Einrichtungen sind in Anlage 1 und 2 definiert, KRITIS-Sektoren für kritische Anlagen separat in §28 (6). Für Einrichtungen sind 1 Sektoren hoher Kritikalität und 2 Sonstige kritische Sektoren.
KRITIS | Sektoren hoher Kritikalität 1 und Teilsektoren |
Sonstige kritische Sektoren 2 und Teilsektoren |
---|---|---|
Energie | Energie Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas |
|
Transport/Verkehr | Transport/Verkehr Luftverkehr Schienenverkehr, Schifffahrt, Straßenverkehr |
Transport/Verkehr Post und Kurier |
Finanz/Versicherung | Finanz/Versicherung Banken, Finanzmarkt-Infrastruktur |
Chemie Herstellung, Handel, Produktion |
Gesundheit | Gesundheit Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C 21), Medizinprodukte, |
Forschung Forschungseinrichtungen |
Wasser/Abwasser | Wasser/Abwasser Trinkwasser, Abwasser |
Verarbeitendes Gewerbe Medizin/Diagnostika; DV, Elektro, Optik (NACE C 26 und 27); Maschinenbau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30) |
IT und TK | IT und TK IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services |
Digitale Dienste Marktplätze, Suchmaschinen, soziale Netzwerke |
Weltraum | Weltraum Bodeninfrastrukturen |
|
Ernährung | Lebensmittel Großhandel, Produktion, Verarbeitung |
|
Entsorgung | Entsorgung Abfallbewirtschaftung |
Zusätzlich sind Einrichtungen der Bundesverwaltung separat reguliert: §29
Sektor | Einrichtungen |
---|---|
Bundesverwaltung | Stellen des Bundes; Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts; Öffentliche Unternehmen im Mehrheits-Eigentum des Bundes, die IT-Dienstleistungen für die Bundesverwaltung erbringen; Ausgeschlossen: Institutionen der sozialen Sicherung |
Cybersecurity
Pflichten von Betreibern und Einrichtungen
Die Anforderungen an Betreiber und Einrichtungen ändern sich mit der NIS2-Umsetzung deutlich. Die bisherigen KRITIS-Pflichten aus dem BSI-Gesetz bleiben in Grundzügen erhalten, werden teils präzisiert, teils verschärft und neu strukturiert.
Pflicht | Betreiber kritischer Anlagen |
Besonders wichtige Einrichtung |
Wichtige Einrichtung |
---|---|---|---|
Geltungsbereich | Anlage(n) | Unternehmen | Unternehmen |
Maßnahmen Risikomanagement §30 | * | ✓ | ✓ |
Höhere Maßstäbe für KRITIS §31 (1) | ✓ | ||
Besondere Maßnahmen SzA §31 (2) | ✓ | ||
Meldepflichten §32 | * | ✓ | ✓ |
Registrierung §33 §34 | ✓ | ✓ | ✓ |
Unterrichtungspflichten (Kunden) §35 | * | ✓ | ✓ |
Leitungsorgane §38 | * | ✓ | ✓ |
Nachweise §39 | ✓ | tw. (§64) | tw. (§65) |
Ausschlüsse
Es gibt diverse Ausnahmen und Sonderregeln für Unternehmen zu NIS2-Pflichten.
Ausschluss von | Einrichtung | Fundort |
---|---|---|
Einzelmaßnahmen in §30 (2) (Vorrang Implementing Act) |
DNS, TLD, Cloud-Computing, Rechenzentren, CDNs, Managed Services und Security Services, Marktplätze, Suchmaschinen, soziale Netzwerke, Vertrauensdienste (Sektor Internet) | §30 (3) |
KRITIS‑Anforderungen Meldepflichten Unterrichtung Nachweise §§31, 32, 35, 39 |
Betreiber öffentlicher TK-Netze und TK-Dienste | §28 (4) |
Betreiber Energieversorgungsnetze und Energieanlagen | §28 (4) | |
Unternehmen unter DORA (EU) 2022/2554* | §28 (4) | |
Pflichten von Einrichtungen | Unternehmen unter DORA (EU) 2022/2554* gematik |
§28 (1) |
Risikomanagement und Meldepflichten §§30,32 + Registrierung §§33-34 |
Nationale Sicherheit, öffentliche Sicherheit, Verteidigung, Strafverfolgung + wenn ausschließlich in den o.g. Bereichen tätig |
§37 |
In einzelnen Sektoren entsteht trotz Ausschlüssen eine Mehrfach-Regulierung in NIS2 mit unterschiedlichen Anforderungen je nach Anwendungsbereich von NIS2, KRITIS und Sektorgesetzen.
Sicherheit und Risikomanagement
Besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. §30 (1)
Betreiber sollen das Ausmaß der Risikoexposition, Größe der Einrichtung, Umsetzungskosten, Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie die gesellschaftlichen und wirtschaftlichen Auswirkungen
berücksichtigen. §30 (1)
Maßnahmen
Die von Betreibern und Einrichtungen umzusetzenden Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen und sollen
europäische und internationale Normen berücksichtigen.
Die Maßnahmen sollen den Stand der Technik einhalten und müssen mindestens die folgenden Themen umfassen: §30 (2)
- Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
- Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
- Sicherheit in der Entwicklung, Beschaffung und Wartung
- Management von Schwachstellen
- Bewertung der Effektivität von Cybersicherheit und Risiko-Management
- Schulungen Cybersicherheit und Cyberhygiene
- Kryptografie und Verschlüsselung
- Personalsicherheit, Zugriffskontrolle und Anlagen-Management
- Multi-Faktor Authentisierung und kontinuierliche Authentisierung
- Sichere Kommunikation (Sprach, Video- und Text)
- Sichere Notfallkommunikation
Dokumentation
Einrichtungen müssen die Umsetzung der Maßnahmen dokumentieren. §30 (1)
Sektorregelungen
Bestimmte Sektoren sind von den Vorgaben zu Risikomanagement §30 und §31 teilweise ausgeschlossen. Für diese werden die entsprechenden Maßnahmen durch sektor-spezifische Regulierung äquivalent umgesetzt oder konkretisiert.
- DNS, TLD, Cloud, Rechenzentren, CDNs, Managed Services und Security Services, Online-Marktplätze und Suchmaschinen, soziale Netzwerke und Vertrauensdienste werden (sollen) durch einen Implementing Act Vorgaben zu Maßnahmen nach §30 (2) erhalten.
- Betreiber öffentlicher TK-Netze und TK-Dienste werden durch das TKG und den BNetzA-Sicherheitskatalog Vorgaben zu äquivalenten Maßnahmen nach §31 erhalten.
- Betreiber von Energieversorgungsnetzen und Energieanlagen werden durch EnWG und den BNetzA-Sicherheitskatalog Vorgaben zu äquivalenten Maßnahmen nach §31 erhalten.
- Einrichtungen gem. Art. 2 (4) der Verordnung (EU) 2022/2554 werden äquivalenten Maßnahmen durch DORA erhalten. (Teile des Finanzsektors)
Konkretisierung
Eine genaue Konkretisierung der Maßnahmen durch EU, BSI oder Verbände ist noch nicht bekannt, hier ist bis 2024 sicherlich noch Bewegung zu erwarten. Ebenso sind noch keine offizielle Ableitungen auf existierende Cybersecurity Standards wie ISO 27001 oder C5 verfügbar, welche die Maßnahmen in Rahmenwerke einordnen.
Existierende ISMS-Zertifizierungen werden meist nicht ohne weiteres hinreichend für NIS2-Maßnahmen sein – der Geltungsbereich von NIS2 könnte über bestehende Zertifikate hinausgehen, die genannten Maßnahmen sind teils tiefer und weiter als übliche Rahmenwerke.
Implementing Acts der EU
Die Kommission kann nach Art. 21 (5) NIS2 in Durchführungsrechtsakten (Implementing Acts) konkretere technische und methodische Anforderungen erlassen, die dann direkt verbindlich werden und dann vor der obigen Liste §30 (2) Vorrang haben. §30 (4) Das Innenministerium kann, falls die Rechtsakte nicht abschließend sind, eigene Konkretisierungen erlassen. §30 (5)
Für Betreiber von DNS, TLD, Cloud, Rechenzentren, CDNs, Managed Services und Managed Security Services, Online-Marktplätzen, Suchmaschinen, soziale Netzwerke und Vertrauensdienste wird die EU-Kommission bis Oktober 2024 in einem separaten Implementing Act verbindliche Maßnahmen festlegen, §30 (2) gilt für diese lediglich nachrangig. §30 (3)
Betreiber kritischer Anlagen
Für Betreiber kritischer Anlagen gelten bei der Auswahl von Maßnahmen und Bewertung der Angemessenheit höhere Maßstäbe und weitere Anforderungen:
- Auch
aufwändigere Maßnahmen
gelten für §30 als verhältnismäßig §31 (2) - Einsatz von Systemen zur Angriffserkennung §31 (2)
- Nachweispflichten (KRITIS-Prüfungen) für Maßnahmen und SzA §39 (1)
Produkte
Zertifizierte Produkte
Verwenden besonders wichtige oder wichtige Einrichtungen bestimmte, noch zu benennende, IKT-Produkte, Dienste oder Prozesse, müssen diese über eine Cybersicherheits-Zertifizierung gem. Art. 49 EU 2019/881 verfügen §30 (6). Welche Produkte, Dienste oder Prozesse betroffen sind, wird noch in der Rechtsverordnung nach §57 (4) bestimmt.
Kritische Komponenten
Der Einsatz sogenannter kritischer Komponenten muss durch Betreiber kritischer Anlagen vor Beginn des Einsatzes dem Innenministerium gemeldet werden §41 (1). Kritische Komponenten und Funktionen müssen in separaten Gesetzen festgelegt werden (bis jetzt nur im TK-Sektor durch das TKG 2021).
Das Innenministerium darf den Einsatz kritischer Komponenten untersagen aufgrund:
Beeinträchtigung der öffentlichen Ordnung und Sicherheit
— wenn der Hersteller von der Regierung, staatlichen Stellen oder den Streitkräften eines Drittstaats kontrolliert wird, annachteiligen Aktivitäten
gegen die öffentliche Ordnung und Sicherheit Deutschlands, der EU, EFTA oder NATO beteiligt war oder ist, oder wenn der Einsatz nicht mitsicherheitspolitischen Zielen
Deutschlands, der EU oder der NATO im Einklang ist. §41 (2)- Fehlender Vertrauenswürdigkeit des Herstellers durch Garantieerklärung, Sicherheitstests und Schwachstellen und Manipulationen in den betreffenden Produkten. §41 (4) (5)
Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung zur Vertrauenswürdigkeit des Herstellers eingesetzt werden, die von KRITIS-Betreibern dem Innenministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen ist. Die Erklärung muss durch den Hersteller gegenüber dem Betreiber abgegeben werden. §41 (3)
Der Einsatz bestimmter Komponenten oder Hersteller darf bei schwerwiegenden Verstößen auch längerfristig untersagt werden. §41 (6) (7)
Informationen
Registrierung und Kontaktstelle
Einrichtungen und Betreiber müssen sich selbst identifizieren und beim BSI registrieren. Für bestimmte Unternehmen gelten spezielle Registrierungsregeln. §33 §34
Besonders wichtige und wichtige Einrichtung sowie DNS-Registries müssen sich innerhalb von drei Monaten beim BSI registrieren, u.a mit: Name, Rechtsform, Kontaktdaten, Mail/Telefon, IP-Adressbereiche, Sektor und Teilsektor, EU-Staaten mit Geschäftsaktivitäten. §33 (1)
Betreiber kritischer Anlagen müssen zusätzliche Informationen bei der Registrierung übermitteln. §33 (2) Die (gemeinsame) Registrierung an/mit dem BBK über das KRITIS-Dachgesetz ist noch nicht ganz klar.
Änderungen der Daten in (1) und (2) müssen jährlich an das BSI gemeldet werden, alle andere Angaben
unverzüglich, innerhalb von zwei Wochen.
§33 (5)
Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries von sich aus registrieren. Dazu kann das BSI Unterlagen und Einzelheiten anfordern, und das Verfahren noch genauer definieren. §33 (2) (6)
Bestimmte Einrichtungen, die in §63 definiert sind, müssen sich bis zum 17. Januar 2025 beim BSI registrieren. §34 Dies umfasst Betreiber, die in Deutschland zentral vom BSI reguliert werden: DNS und TLD, Cloud Computing, Rechenzentren, CDNs, Managed Service Provider und Managed Security Service Provider, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke, sofern die Hauptniederlassung in der EU in Deutschland ist.
Meldewesen
Mit NIS2 kommen auf betroffene Einrichtungen viele Informations- und Meldepflichten zu, die über die bisherigen §8b BSIG Meldepflichten (KRITIS) hinausgehen.
Meldung von Sicherheitsvorfällen
Besonders wichtige Einrichtungen (damit auch Betreiber kritischer Anlagen) und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen: §32
- Erstmeldung bei erheblichen Sicherheitsvorfällen unverzüglich, spätestens aber innerhalb von 24h
- Folgemeldung über einen erheblichen Sicherheitsvorfall innerhalb von 72h mit Bewertung der Erstmeldung (Schwere, Auswirkungen, Kompromittierung)
- Zwischenmeldungen auf Nachfrage des BSI
- Abschlussmeldung oder Fortschrittsmeldung innerhalb eines Monats mit Beschreibung, Ursachen, Maßnahmen, grenzüberschreitenden Auswirkungen
- Betreiber kritischer Anlagen müssen zusätzlich die Anlagen, kritische Dienstleistung und Auswirkungen melden
Das BSI richtet die Meldemöglichkeit im Einvernehmen mit dem BBK ein, für NIS2 und das KRITIS-Dachgesetz. Das BSI kann weitere Vorgaben zum Meldeverfahren erlassen. §32 (4)
Meldungen an Kunden und Öffentlichkeit
Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden (Empfänger ihrer Dienste
) zu unterrichten. §35 (1)
Einrichtungen aus den Sektoren Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, IKT-Dienste und Digitale Dienste müssen von einer erheblichen Cyberbedrohung
potenziell betroffene Kunden unverzüglich informieren, einschließlich möglicher durch die Kunden zu ergreifenden Gegenmaßnahmen. §35 (2)
Das BSI meldet sich nach Möglichkeit
innerhalb von 24h bei Unternehmen nach Eingang der Meldung zurück, ggf. mit möglichen Nachfragen, Unterstützungsangeboten und Informationen. §36 (1)
Falls eine Sensibilisierung der Öffentlichkeit erforderlich oder im öffentlichen Interesse ist, so kann das BSI die Öffentlichkeit informieren oder das Unternehmen auffordern, dies zu tun. §36 (2). Dies gilt auch, wenn das Unternehmen eine Stelle des Bundes ist. §4 (3)
Informationsaustausch
Besonders wichtige Einrichtungen müssen innerhalb eines Jahres nach Inkrafttreten am Informationsaustausch über die zentrale Austauschplattform des BSI teilnehmen. §30 (7)
Nachweise und Prüfungen
Die Umsetzung der NIS2-Maßnahmen muss dem BSI von Betreibern kritischer Anlagen alle drei Jahre nachgewiesen werden. Abhängig von der eigenen Registrierung muss es dann alle drei Jahre Prüfungen geben, analog zu bisherigen KRITIS-Nachweisprüfungen.
Betreiber kritischer Anlagen | Einrichtungen | |||
---|---|---|---|---|
Besonders wichtig | Wichtig | |||
Gesetz | NIS2UmsuCG | DachG | NIS2UmsuCG | NIS2UmsuCG |
Zeitraum | ab 2024 | ab 2026 | ab 2024 | ab 2024 |
Pflicht | §39 (1) | §11 | §64 | §65 |
Form | Audits | Audits | Stichproben durch BSI | |
Inhalt | IT-Sicherheit Meldepflicht SzA |
Resilienz | IT-Sicherheit Meldepflicht |
IT-Sicherheit Meldepflicht |
Scope | Kritische Anlage | Kritische Anlage | Unternehmen | Unternehmen |
Frequenz | alle drei Jahre | Stichproben | Stichproben | bei Anlass |
Empfänger | BSI | BBK | BSI | BSI |
Betreiber kritischer Anlagen
Die Betreiber von kritischen Anlagen müssen Nachweise für die Maßnahmen nach §30 (1), §31 und §31 (2) Angriffserkennung durch Audits, Prüfungen oder Zertifizierungen
nach §39 (1) alle drei Jahre dem BSI nachweisen, wie bisher bei KRITIS-Prüfungen.
Für Betreiber, die bereits als KRITIS-Betreiber geprüft werden, wird das BSI den Zeitpunkt der Nachweiserbringung auf frühestens drei Jahre nach Erbringung des letzten Nachweises nach §8a (3) BSIG
festlegen – der nächste Nachweis verschiebt sich also ggf. um ein Jahr.
Das BSI hat die Befugnis, von sich aus Betreiber kritischer Anlagen als besonders wichtige Einrichtung zu prüfen §64 und kann Vorgaben für Nachweis-Prüfungen festlegen. §39 (2)
Einrichtungen
Einrichtungen müssen die Umsetzung der Maßnahmen dokumentieren. §30 (1) Sie müssen aber dem BSI die Umsetzung der §30 Maßnahmen und §32 Meldepflichten nach der Registrierung nicht regelmäßig nachweisen. Das BSI kann Einrichtungen aber zu Audits, Prüfungen oder Zertifizierungen
verpflichten, Nachweise verlangen und selbst prüfen (lassen).
§64 (1) (3) (5)
Für Nachweise hat das BSI Durchsetzungsrechte gegenüber besonders wichtigen und wichtigen Einrichtungen. §64 §65
Bei der Auswahl der Einrichtungen soll das BSI risikoorientiert vorgehen, und das Ausmaß der Risikoexposition, die
Größe der Einrichtung sowie die Eintrittswahrscheinlichkeit und Schwere von möglichen Sicherheitsvorfällen sowie ihre möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen
in Betracht ziehen.
§64 (4)
Das BSI kann Vorgaben für diese Nachweis-Prüfungen festlegen. §64 (2)
Staat und BSI
Aufsicht und Zuständigkeit
Das BSI ist die zuständige Aufsichtsbehörde für besonders wichtige und wichtige Einrichtungen mit Niederlassung in Deutschland, für Betreiber kritischer Anlagen auf deutschem Hoheitsgebiet und Einrichtungen der Bundesverwaltung.
Für Betreiber kritischer Anlagen wird auch das BBK mit dem KRITIS-Dachgesetz zuständig.
Für bestimmte Einrichtungen, die in der Europäischen Union tätig sind und ihren Hauptsitz in Deutschland haben, ist das BSI zentral in der EU zuständig (Territorialitätsprinzip):
- DNS-Dienste, Domain Registries und TLD Registries
- Cloud Computing (Provider), Anbieter von Rechenzentren und Content Delivery Networks
- Managed Service und Managed Security Service Provider
- Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke
Überwachung
Das BSI hat für Einrichtungen Aufsichts- und Durchsetzungsmaßnahmen zur Überwachung der Vorgaben und Sicherstellung der Einhaltung. §64 §65
Für besonders wichtige Einrichtungen darf das BSI
- einzelne Einrichtungen zu Prüfungen und Audits verpflichten §64 (1) und für deren Durchführung Vorgaben erlassen §64 (2)
- von Einrichtungen Nachweise zur Umsetzung von Anforderungen verlangen §64 (3) und dabei risikobasierte Auswahlen treffen §64 (4)
- bei einzelnen Einrichtungen die Einhaltung der Anforderungen überprüfen §64 (5)
- Einrichtungen Anweisungen zur Verhütung oder Behebung von Vorfällen geben §64 (6)
- Einrichtungen verbindliche Anweisungen zur Umsetzung der Pflichten geben §64 (7)
- Einrichtungen verpflichten, Kunden über Maßnahmen gegen Cyberbedrohungen zu unterrichten §64 (8)
- einen Überwachungsbeauftragten bei Einrichtungen zur Überwachung der Pflichten nach §§28, 29, 37 installieren §64 (9)
- Einrichtungen bei Nicht-Nachkommen von Anforderungen die Zulassung zu entziehen und Geschäftsführung die Leitungsaufgaben untersagen §64 (10)
- und weiteres
Für wichtige Einrichtungen darf das BSI: §65
- die Einhaltung der Pflichten nach §§30, 32 überprüfen und Maßnahmen nach §64 treffen
Meldestelle
§4 legt das BSI als zentrale Meldestelle für Bundesbehörden und §40 für Einrichtungen für fest. Das BSI darf deshalb zur Abwehr von Gefahren Informationen sammeln und auswerten und sich mit anderen Behörden austauschen.
Sanktionen und Bußgelder
Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §60. Die bisherigen KRITIS-Bußgelder werden dabei um einige neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht. Die Bußgelder und Sanktionen unterscheiden sich nach Gruppe:
- Bußgelder für allgemeine Tatbestände §60 (5)
- Bußgelder für wichtige Einrichtungen §60 (6)
- Bußgelder für Betreiber kritischer Anlagen und besonders wichtige Einrichtungen §60 (7)
Geschäftsleitung
Geschäftsführer von Einrichtungen müssen die Risikomanagement-Maßnahmen für Cybersecurity billigen
und die Umsetzung in der Einrichtung überwachen.
§38 (1) Werden diese Pflichten verletzt, kann die Einrichtung Ersatzansprüche stellen, wobei ein Verzicht oder Vergleich unwirksam ist. §38 (2)
Geschäftsleiter müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Maßnahmen sicherzustellen. §38 (3)
Leiter von Einrichtungen der Bundesverwaltung gelten nicht als Geschäftsleitung.
Allgemeine Tatbestände
Allgemeine Bußgeldtatbestände nach §60 (5) unterscheiden in der Bußgeldbewährung nicht zwischen den unterschiedlichen Betreiber-Gruppen.
Höhe | Verstöße |
---|---|
2 Mio. EUR |
Hinweis: Anwendung von §30 (2) 3 OWiG |
500.000 EUR |
|
100.000 EUR |
|
Wichtige Einrichtungen
Folgende zusätzliche Bußgelder sind nach §60 (6) für wichtige Einrichtungen definiert.
Höhe | Verstöße |
---|---|
7 Mio. EUR oder 1,4 % Umsatz |
|
Besonders wichtige Einrichtungen
Folgende zusätzliche Bußgelder sind nach §60 (7) für besonders wichtige Einrichtungen (folglich auch Betreiber kritischer Anlagen) definiert.
Höhe | Verstöße |
---|---|
10 Mio. EUR oder 2 % Umsatz |
|
10 Mio. EUR |
|
500.000 EUR |
|
100.000 EUR |
Hinweis: Erreichbarkeit der Kontaktstelle nur für Betreiber kritischer Anlagen relevant. |
Bundeseinrichtungen
Im Sektor Staat sind in der NIS2-Umsetzung Einrichtungen der Bundesverwaltung reguliert. Diese übernehmen die Pflichten besonders wichtiger Einrichtungen und erhalten zusätzlich eigene Pflichten.
In der Bundesverwaltung reguliert werden, sofern es keine expliziten Ausnahmen gibt: §29
- Stellen des Bundes
- Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts
- Öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen
Es gibt diverse Ausschlüsse und Abgrenzungen bei Einrichtungen der Bundesverwaltung:
- Institutionen der sozialen Sicherung
- Geschäftsbereich des Bundesministeriums der Verteidigung
- Bundesländer sind nicht direkt reguliert
- Kommunen sind nicht direkt reguliert
Anforderungen
An Bundeseinrichtungen werden damit folgende Anforderungen an Cybersicherheit gestellt:
- Risikomanagementmaßnahmen nach §30
- Meldepflichten für Sicherheitsvorfälle nach §31
- Registrierungspflichten nach §32 §33
- Nachweispflichten nach §34
- Unterrichtungspflichten nach §35
- Billigungs- und Überwachungspflichten nach §38
Bundeseinrichtungen müssen zusätzlich erfüllen:
- Informationssicherheitsmanagement unter Berücksichtigung von IT-Grundschutz bzw. Mindeststandards für die Sicherheit der Informationstechnik des Bundes §43 §44 (1)
Steuerung
Es müssen weiterhin Strukturen auf Bundesebene und bei Einrichtungen geschaffen werden:
- Bundes-CISO: Es soll einen Koordinator für Informationssicherheit auf Bundesebene, gestellt durch die Bundesregierung geben. §48 §49 §50
- ISB von Einrichtungen der Bundesverwaltung ist für den Aufbau und die Aufrechterhaltung des Informationssicherheitsprozesses der Einrichtung verantwortlich §45
- ISB der Ressorts initiiert und koordiniert die Fortschreibung von Informationssicherheitsleitlinien für sein oder ihr Ressort §46
- ISB für wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes wegen der zunehmenden Bedeutung und Größe als eigene ISBs §47
Ausblick
Gesetzgebung
Das NIS2-Umsetzungsgesetz sollte im Oktober 2024 in Kraft treten, das bisherige BSIG dann außer Kraft. Seit Sommer 2023 sind Referentenentwürfe vom NIS2UmsuCG publik. Verkündung und das Inkrafttreten könnten sich mittlerweile wohl um zwei Monate verschieben.
Version | Status | Datum | Akteur |
---|---|---|---|
NIS | Deadline nationale Umsetzung | Mai 2018 | Mitgliedstaaten |
IT-Sicherheitsgesetz 2.0 | Inkrafttreten | Mai 2021 | Bundesrat |
NIS2 | EU 2022/2555 Final | Dez 2022 | Amtsblatt |
NIS2-Umsetzungsgesetz | Referentenentwurf | Apr 2023 | Innenministerium |
NIS2-Umsetzungsgesetz | Referentenentwurf | Jul 2023 | Innenministerium |
NIS2-Umsetzungsgesetz | Diskussionspapier | Sep 2023 | Innenministerium |
NIS2-Umsetzungsgesetz | Referentenentwurf | Dez 2023 | Innenministerium |
NIS2-Umsetzungsgesetz | Verkündung | unsicher | Bundestag |
Rechtsverordnung(en) | fehlt noch | unsicher | Innenministerium |
NIS2-Umsetzungsgesetz | Inkrafttreten geplant | Okt 2024 | Bundestag |
NIS2-Umsetzungsgesetz | Inkrafttreten | unsicher | Bundesgesetzblatt |
NIS2 | Deadline Umsetzung | Okt 2024 | Mitgliedstaaten |
Evaluierung
In der NIS2-Umsetzung ist keine Evaluierung in Deutschland vorgesehen, da EU NIS2 selbst (Art. 40) durch die Europäische Kommission evaluiert werden soll, Begründung A. VII.
und eine (auf den Mitgliedstaat Deutschland isolierte) Evaluierung der Umsetzung nicht zielführend
sei.
Zu Art. 7
Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen (aufgehoben).
Art. 7
Die Evaluierung dieser Vorschriften erübrigen sich, weil diese in weiten Teilen im Zuge der NIS-2-Umsetzung geändert
werden.
Zu Art. 7
Die Ergebnisse der teilweisen Evaluierung des IT-Sicherheitsgesetzes 2.0 flossen in das NIS2-Umsetzungsgesetz wohl ein, so die Begründung.
Auswirkungen
In Deutschland geht der Gesetzgeber von etwa 30.000 betroffenen Unternehmen in den verschiedenen Gruppen aus, von denen erst 17 Prozent (vorige Schätzung 40) im Grundsatz ausreichende
Maßnahmen ergriffen haben.
Abzüglich der bestehenden Betreiber haben laut Prognose über 20.000 Unternehmen damit (neuen) Handlungsbedarf.
Begründung A. VI.
Der Gesetzesentwurf prognostiziert betroffene Unternehmen:
- Besonders wichtige Einrichtungen: 8.100 Unternehmen
- davon 4.693 digitale Dienste und Betreiber Kritischer Infrastrukturen (KRITIS)
- davon rund 3.400 neue besonders wichtige Einrichtungen
- davon rund 2.950 mit Nachholaufwand (83% von 3.550 [?] neuen Einrichtungen)
- Wichtige Einrichtungen: 20.900 Unternehmen
- davon rund 20.900 neue wichtige Einrichtungen
- davon rund 17.900 mit Nachholaufwand (83% von 21.600 [?] neuen Einrichtungen)
Die Anzahl der neuen Einrichtungen (beide Gruppen) widerspricht sich im Gesetzesentwurf
Wirtschaft
Für die Wirtschaft rechnet der Gesetzesentwurf mit diversen Annahmen zur notwendigen Anpassung digitaler Geschäftsprozesse. Die Zahl an Unternehmen mit neuem Erfüllungsaufwand weicht von den beiden oben genannten Zahlengruppen ebenfalls wieder ab.
Einrichtungen | Aufwand | Rechnung | Summe |
---|---|---|---|
Besonders wichtig (neue) |
Personalkosten jährlich |
2.000 Unternehmen × 143.929 EUR | 288 Mio. EUR |
Besonders wichtig (neue) |
Sachkosten jährlich |
2.000 Unternehmen × 52 Tsd. EUR | 104 Mio. EUR |
Besonders wichtig | Nachweispflichten jährlich |
3.550 Unternehmen × 35.211 EUR | 125 Mio. EUR |
Wichtig | Personalkosten jährlich |
12.500 Unternehmen × 57.582 EUR | 720 Mio. EUR |
Wichtig | Sachkosten jährlich |
12.500 Unternehmen × 21 Tsd. EUR | 263 Mio. EUR |
alle (neue) | Meldepflichten jährlich |
25.157 Unternehmen × 2.400 Vorfälle | 946 Tsd. EUR |
alle | Schulungen jährlich |
29.850 Unternehmen × 5.326 EUR | 159 Mio. EUR |
alle | Registrierungspflichten | diverse | diverse |
alle | Einmaliger Aufwand | freie Annahme | 2 Mrd. EUR |
Für bestehende KRITIS-Betreiber geht der Entwurf von einem jährlichen Personalaufwand von durchschnittlich 344 Tagen und 60 Tsd. EUR Sachkosten aus.
Bundesverwaltung
Der Bedarf an Sach- und Personalmitteln sowie Planstellen und Stellen wird finanziell und stellenmäßig im Gesamthaushalt ausgeglichen.
Betreibergruppen
Die Zwei/Dreiteilung in Betreiber und Einrichtungen und das Beibehalten der kritischen Anlagen (KRITIS) wird mit dem Gleichklang mit dem KRITIS-Dachgesetz begründet, das Betreiber kritischer Anlagen reguliert.
Andererseits habe die Evaluierung ergeben, dass NIS2 zu einer so starken Ausweitung
von Betroffenheit führe, dass weiterhin eine differenzierte Bestimmung mit Fokus Versorgungsrelevanz erfolgen solle.
Zu §57 (1)
Fristen und Umsetzung
Im Gesetz sind verschiedene Fristen zur Umsetzung der Anforderungen vorgesehen. Das Gesetz NIS2UmsuCG selbst soll im Oktober 2024 in Kraft treten.
Besonders wichtige Einrichtungen
- Registrierung innerhalb von drei Monaten nach Identifizierung §33 (1)
- Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten §30 (7)
Wichtige Einrichtungen
- Registrierung innerhalb von drei Monaten nach Identifizierung §33 (1)
Betreiber kritischer Anlagen
- Registrierung innerhalb von drei Monaten nach Identifizierung §33 (1) und §33 (2)
- Erstmaliger Nachweis über Maßnahmenumsetzung spätestens zu einem vom BSI und BBK bei der Registrierung festgelegten Zeitpunkt: frühestens drei Jahre nach Inkrafttreten des Gesetzes §39 (1), d.h. ab 2027.
- Fortlaufende Nachweise über Maßnahmenumsetzung anschließend alle drei Jahre §39 (1)
- Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten §30 (7)
Rechtsverordnung
Verschiedene Anforderungen aus dem NIS2UmsuCG sollen durch eine oder mehrere Rechtsverordnungen konkretisiert oder definiert werden: §57
- Als kritisch anzusehende Dienstleistungen, deren Versorgungsgrad sowie welche Anlagen oder Teile davon als kritische Anlagen im Sinne des Gesetzes gelten §57 (4)
- Details über die Erteilung von Sicherheitszertifikaten und Anerkennung nach §54 §57 (1)
- Einzelheiten des IT-Sicherheitskennzeichens nach §52, sowie Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben und der Freigabe §57 (2)
- Produkte, Dienste oder Prozesse, die von besonders wichtigen oder wichtige Einrichtungen eingesetzt werden, die über eine Zertifizierung §30 (6) verfügen müssen §57 (3)
Die Rechtsverordnung soll im Einklang mit dem KRITIS-Dachgesetz definiert werden und Betreiber und Einrichtungen in einer Verordnung zusammenfassen, damit betroffene Unternehmen zentral in einer Tabelle
relevante Kategorien und Schwellenwerte finden.
Ein Entwurf der Rechtsverordnung(en) ist noch nicht verfügbar.
EU-Vorgaben und Umsetzungsakte
Die EU-Kommission kann zur Definition der §30 (2) Maßnahmen noch eigene Vorgaben durch Durchführungsrechtsakte (Implementing Acts) erlassen, welche dann Vorrang vor nationalem Recht hätten, generell in §30 (4) und speziell für einige IT-Betreiber in §30 (3).
Falls dies nicht eintritt, soll das Bundesinnnenministerium selbst technische, methodische und sektorale Definitionen zur Konkretisierung erlassen. §30 (5)
Branchenstandards
Besonders wichtige Einrichtungen, d.h. auch Betreiber kritischer Anlagen, können weiterhin branchenspezifische Sicherheitstandards (B3S) zur Umsetzung der §30 (1) Maßnahmen vorschlagen. Das BSI stellt die Eignung der B3S fest. §30 (9)
Auswirkung auf weitere Gesetze
Telekommunikationsgesetz
Bis jetzt sind nur aktualisierte Verweise enthalten – inhaltliche Veränderungen noch nicht. Das TKG und der TK-Sicherheitskatalog werden für NIS2 noch aktualisiert werden müssen.
Energiewirtschaftsgesetz
Die Regulierung für Energiebetreiber wird mit der BNetzA geteilt bleiben. Das EnWG und der Energie-Sicherheitskatalog werden für NIS2 noch aktualisiert werden müssen.
Weitere Gesetze
Gesetz | Änderung | NIS2UmsuCG |
---|---|---|
BSI-Gesetz | Komplette Änderungen oben | Art. 1 |
BSI-Gesetz | Ermächtigung Rechtsverordnung | Art. 2 |
BND-Gesetz, SÜFV, TTDSG, GleibWV | Verweise | Art. 3-6 |
IT-Sicherheitsgesetz 2.0 | Evaluierung zum 1. Mai 2025 gestrichen | Art. 7 |
BSIZertV, BSI-ITSiKV, De-Mail-Gesetz, PassDEÜV, PAuswV, KassenSichV, ATG, | Verweise | Art. 8-15 |
EnWG | Änderungen siehe oben | Art. 16 |
MsbG, EnSiG, SGB V, DiGAV , SGB VI, BFSGV, TKG, KHSFV, MessEV, AWV, VDG, | Verweise und Definitionen | Art. 17-27 |
Änderungen der Referentenentwürfe
Es gab bisher zwei öffentliche Referentenentwürfe aus April und Juli 2023. Die Änderungen nachzuvollziehen ist nicht ganz einfach, unser bisheriger Stand, noch ohne den Teilentwurf des Diskussionspapier aus September 2023.
Dezember 2023 (vierter Entwurf) zu September 2023:
- Fehlende Paragraphen wieder enthalten
- Zentralregierung nicht mehr als besonders wichtige Einrichtung, dafür mit deren Pflichten
- Ausnahmen für Finanzen und Versicherungen (DORA) gestrafft
- Ausnahme und Überschneidung für EnWG/BNetzA-regulierte Energiebetreiber angepasst
- Frist für bestehende KRITIS-Prüfungen um ein Jahr verlängert
- Ausnahme für Energie-/TK-/Finanzunternehmen von §30 gestrichen (Ausnahmen gelten nun für §§31, 32, 35 und 39)
- Sanktionen gestrafft und Fehler behoben
- Nächste KRITIS-Prüfung um ein Jahr verlängert
September 2023 (dritter Entwurf) zu Juli 2023:
- Harmonisierung der Sektordefinitionen
- Vereinfachung der Unternehmensgrößen und Einrichtungen
- Nachweise bei Betreibern kritischer Anlagen (KRITIS) nur noch alle 3 Jahre, nicht mehr 2
- Keine regelmäßigen Nachweise bei besonders wichtigen und wichtigen Einrichtungen
- Konkrete Anhaltspunkte zur Maßnahmenauswahl: Risiken, Größe, Exposition, Kosten etc.
- Anforderungen an die Sicherheit in der Lieferkette wurden gelockert.
- Weitere Regulierung bestimmter Sektoren ist immer noch nicht geklärt (TK, Energie)
- Aufweichen und Wegfall der Pflichten von Geschäftsleitern (Dritte, Haftung)
- Aufweichen der Schulungspflichten
- Registrierungspflichten gelockert, teils in Verbindung mit dem KRITIS-Dachgesetz
Juli 2023 (zweiter Entwurf) zu April 2023:
- Weltraum wird analog zum KRITIS-Dachgesetz ein neuer Sektor, Digitale Infrastruktur heißt wieder IT und TK, Bankwesen ist wieder Finanz- und Versicherungswesen.
- Für technische und organisatorische Maßnahmen nach §30 wird neben Verhältnismäßigkeit nun explizit Eignung und Wirksamkeit gefordert.
- Betreiber kritischer Anlagen müssen bei der Angemessenheit von Maßnahmen die aktuellen Lageberichte des BSI zu Bedrohungen für die Versorgungssicherheit berücksichtigen.
- Die Frist für erstmalige Nachweise wurde verlängert auf vier Jahre nach Inkrafttreten.
- Geschäftsleiter besonders wichtiger Einrichtungen im Teilsektor Zentralregierung werden aus der sogenannten Managerhaftung ausgeschlossen.
- Die angestrebte Vereinfachung der Regulierung im Energiesektor mit BSI und BNetzA wird (leider) wieder aufgelöst: die bisherige Regulierung soll bestehen bleiben, Maßnahmen zum Risikomanagement und verschärfte Meldepflichten aus dem NIS2UmsuCG sollen stattdessen ins EnWG durchgereicht werden.
Weitere Informationen
Literatur
- Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
- Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
- Referentenentwurf des BMI: NIS2UmsuCG, verschiedene Versionen, AG KRITIS 2023
Quellen
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Version Dezember 2023, Intrapol, 7. März 2025
- Werkstattgespräch– Diskussionspapier, des BMI für wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-RL, Innenministerium, Intrapol, 26.10.2023
- Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Intrapol, 3. April 2023
- Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022