NIS2 Umsetzungsgesetz

Workshop picture

Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cyber­sicherheit, das NIS2UmsuCG, wird ab 2024 in Kraft treten. Es überführt die EU-weiten Mindest­standards für Cybersecurity der EU-Direktive NIS2 in deutsche Regulierung. Die NIS2-Umsetzung wird große Teile der deutschen Wirtschaft mit knapp 30 Tsd. Unternehmen betreffen.

  1. Unternehmen
  2. Cybersecurity
  3. Informationen
  4. Staat und BSI
  5. Ausblick
  6. in English

Das Gesetz liegt als Referentenentwurf vom Mai 2024 vor und muss bis Oktober 2024 die Gesetz­gebung auf Bundesebene durchlaufen. Neben NIS2 wird das KRITIS-Dachgesetz kritische Betreiber mit Resilienz, und EU DORA Finanzunternehmen regulieren.

Das OpenKRITIS-Mapping von NIS2 auf ISO 27001 und KRITIS erleichtert die Umsetzung.

Skyline picture

NIS2 und KRITIS-Dachgesetz: Was kommt auf Unternehmen zu?

Ausblick auf die neue KRITIS, NIS2 und CER-Regulierung ab 2024
Deutsch ∙ PDF ∙ März 2024 ∙ OpenKRITIS-Briefing

Die Umsetzung von NIS2

Neue Cybersecurity-Regulierung ab 2024

Das NIS2-Umsetzungsgesetz ändert die deutsche KRITIS-Regulierung deutlich – neben den Betreibern kritischer Anlagen die besonders wichtigen und wichtige Einrichtungen. Für über 30.000 betroffene Unternehmen in Deutschland steigen die Security-Pflichten.

Stand der Dinge

Einige öffentliche Entwürfe des NIS2-Umsetzungsgesetzes sind bekannt, Änderungen unten.

Versionen NIS2UmsuCG, Stand Mai 2024
Nr. Version Datum Kommentar
1. Referentenentwurf April 2023
2. Referentenentwurf Juli 2023
3. Diskussionspapier September 2023 unvollständig
3a. Werkstattgespräch Oktober 2023 Abstimmung Wirtschaft und BMI
4. Referentenentwurf Dezember 2023
5. Referentenentwurf Mai 2024 aktuell, Verbändeabstimmung

Wann und ob weitere Referentenentwürfe zu erwarten sind, ist unklar – auch im Zusammenhang mit dem KRITIS-Dachgesetz. Es scheint Bewegung in die Gesetzgebung gekommen zu sein.

up

Betroffene Unternehmen

Unternehmen in Deutschland

Die von NIS2 betroffenen Unternehmen in Deutschland bestehen aus drei (vier) Gruppen: Die bestehenden Betreiber kritischer Anlagen (KRITIS), die besonders wichtigen sowie die wichtigen Einrichtungen und einige Bundeseinrichtungen: §28

  1. Besonders wichtige Einrichtungen nach Größe des Unternehmens in Sektoren Anlage 1
    G Unternehmen ab 250 Mitarbeitern oder
    G Unternehmen über 50 Mio. EUR Umsatz und Bilanz über 43 Mio. EUR
    U Sonderfälle: qTSP, TLD, DNS, TK-Anbieter, kritische Anlagen
  2. Wichtige Einrichtungen nach Größe des Unternehmens in Sektoren aus Anlage 1 2
    M Unternehmen ab 50 Mitarbeitern oder
    M Unternehmen über 10 Mio. EUR Umsatz und Bilanz über 10 Mio. EUR
    U Vertrauensdienste
  3. Betreiber kritischer Anlagen (KRITIS-Betreiber) stellen weiterhin mit KRITIS-Methodik die Betroffenheit einzelner Anlagen fest, auch im KRITIS-Dachgesetz
       KRITIS-Anlage über Schwellenwert, in der Regel ≥ 500 Tsd. versorgte Personen
  4. Neben Einrichtungen werden auch Bundeseinrichtungen mit Pflichten reguliert §29

up

Einrichtungen

Besonders wichtige und wichtige Einrichtungen

Die besonders wichtigen Einrichtungen §28 (1) sind Großunternehmen bestimmter Sektoren, einige Unternehmen unabhängig ihrer Größe und Betreiber kritischer Anlagen. Die wichtigen Einrichtungen §28 (2) sind Großunternehmen und mittlere Unternehmen in vielen Sektoren.

eigene Zusammenstellung Stand Mai 2024
Einrichtung Größe Sektoren
Besonders wichtig
§28 (1)
Großunternehmen
aus Anlage 1
Energie, Transport/Verkehr, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT und TK, Weltraum
unabhängig Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste
Mittlere Unternehmen Anbieter öffentlicher TK-Netze und TK-Dienste
unabhängig Betreiber kritischer Anlagen (KRITIS-Betreiber)
Wichtig
§28 (2)
Mittlere Unternehmen
aus Anlage 1
Energie, Transport/Verkehr, Finanzen/Versicherungen, Gesundheit, Wasser/Abwasser, IT und TK, Weltraum
Großunternehmen
Mittlere Unternehmen
aus Anlage 2
Post/Kurier, Siedlungsabfallentsorgung, Chemie, Lebensmittel, Verarbeitendes Gewerbe, Digitale Dienste, Forschung
unabhängig Vertrauensdienste

Weitere

Die Zentralregierung gehört nicht mehr zu besonders wichtigen Einrichtungen. Einrichtungen der Bundesverwaltung (Staat) sind dafür separat reguliert und erben Pflichten der besonders wichtigen Einrichtungen §29 sowie eigene Pflichten aus Kapitel 3.

Die Unternehmen im besonderen öffentlichen Interesse (UBI) fallen als separate Kategorie weg und gehen größtenteils in den Einrichtungen auf: UBI 1 Rüstung fallen größtenteils in den NIS2-Sektor verarbeitendes Gewerbe, UBI 2 volkswirtschaftliche Bedeutung verteilen sich über alle NIS2-Sektoren und UBI 3 Gefahrstoffe fallen in den Sektor Chemie.

up

Unternehmensgröße

Die Einrichtungen unterscheiden sich nach Unternehmens­größe: Mitarbeiter, Umsatz und Bilanz. Besonders wichtige Einrichtungen in §28 (1) und wichtige Einrichtungen in §28 (2).

Einrichtung Sektoren Größe Mitarbeiter Umsatz und Bilanz
Besonders wichtig 1 G Großunternehmen
G Großunternehmen
≥ 250

> 50 Mio. + > 43 Mio. EUR
Wichtig 1 2 M ab mittlere Unternehmen
M ab mittlere Unternehmen
≥ 50
> 10 Mio. + > 10 Mio. EUR

up

Betreiber kritischer Anlagen (KRITIS)

Die bisherigen KRITIS-Betreiber, die Kritischen Infrastrukturen, werden zu Betreibern kritischer Anlagen. §28 (6) Die KRITIS-Logik von KRITIS-Sektoren, kritischen Dienstleistungen und Anlagen mit Schwellenwerten bleibt hier erhalten. Die Betreiber werden gleichzeitig auch besonders wichtige Einrichtungen. §28 (1) Nr. 1

eigene Zusammenstellung Mai 2024
Betreiber Größe Sektoren
Kritische Anlagen
§28 (6)
Anlagen mit
Schwellenwerten
§28 (7)
Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitsweisen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum, Siedlungsabfallentsorgung

up

NIS2-Sektoren

In der NIS2-Umsetzung gibt es zwei Gruppen von Sektoren: Sektoren der Einrichtungen sind in Anlage 1 und 2 definiert, KRITIS-Sektoren für kritische Anlagen separat in §28 (7). Für Einrichtungen sind 1 Sektoren hoher Kritikalität und 2 Sonstige kritische Sektoren.

eigene Zusammenstellung Mai 2024
KRITIS Sektoren hoher Kritikalität 1
und Teilsektoren
Sonstige kritische Sektoren 2
und Teilsektoren
Energie Energie
Stromversorgung, Fernwärme/-kälte, Kraftstoff/Heizöl, Gas
Transport/Verkehr Transport/Verkehr
Luftverkehr, Schienenverkehr, Schifffahrt, Straßenverkehr
Transport/Verkehr
Post und Kurier
Finanzen/Versicherung Finanzen/Versicherung
Banken, Finanzmarkt-Infrastruktur
Chemie
Herstellung, Importeure (NACE 20)
Gesundheit Gesundheit
Dienstleistungen, Referenzlabore, F&E, Pharma (NACE C 21), Medizinprodukte,
Forschung
Forschungseinrichtungen
Wasser/Abwasser Wasser/Abwasser
Trinkwasser, Abwasser
Verarbeitendes Gewerbe
Medizin/Diagnostika; DV, Elektro, Optik (NACE C 26 und 27); Maschinen­bau (NACE C 28), Kfz/Teile (NACE C 29), Fahrzeugbau (NACE C 30)
IT und TK IT und TK
IXPs, DNS, TLD, Cloud Provider, RZ-Dienste, CDNs, TSP, elektronische Kommunikation/Dienste, Managed Services und Security Services
Digitale Dienste
Marktplätze, Suchmaschinen, soziale Netzwerke
Weltraum Weltraum
Bodeninfrastrukturen
Ernährung Lebensmittel
Großhandel, Produktion, Verarbeitung
Entsorgung Entsorgung
Abfallbewirtschaftung

Zusätzlich sind Einrichtungen der Bundesverwaltung separat reguliert: §29

eigene Zusammenstellung aus NIS2-Referentenentwurf Mai 2024
Sektor Einrichtungen
Bundesverwaltung Stellen des Bundes;
Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts
Ausgeschlossen: Institutionen der sozialen Sicherung, berufsständische Körperschaften (öR), Industrie- und Handelskammern (IHK)

up

Cybersecurity

Pflichten von Betreibern und Einrichtungen

Die Anforderungen an Betreiber und Einrichtungen ändern sich mit der NIS2-Umsetzung deutlich. Die bisherigen KRITIS-Pflichten aus dem BSI-Gesetz bleiben in Grundzügen erhalten, werden teils präzisiert, teils verschärft und neu strukturiert.

eigene Zusammenstellung Stand Dezember 2023
* - implizit, da Betreiber kritischer Anlagen auch besonders wichtige Einrichtungen sind
Pflicht Betreiber kritischer
Anlagen
Besonders wichtige
Einrichtung
Wichtige
Einrichtung
Geltungsbereich Anlage (?) Unternehmen Unternehmen
Maßnahmen Risikomanagement §30 *
Höhere Maßstäbe für KRITIS §31 (1)
Besondere Maßnahmen SzA §31 (2)
Meldepflichten §32 *
Registrierung §33 §34
Unterrichtungspflichten (Kunden) §35 *
Leitungsorgane §38 *
Nachweise §39 tw. (§65) tw. (§66)

Ein Mapping von NIS2 auf ISO 27001 erleichtert Einrichtungen die Umsetzung der Vorgaben.

Ausschlüsse

Es gibt diverse Ausnahmen und Sonderregeln für Unternehmen zu NIS2-Pflichten.

eigene Zusammenstellung Mai 2024
weitere Einzelausschlüsse sind möglich
Einrichtung Fundort Ausschluss von
DNS, TLD, Cloud-Computing, Rechenzentren, CDNs, Managed Services und Security Services, Marktplätze, Suchmaschinen, soziale Netzwerke, Vertrauensdienste (Internet im Sektor IT) §30 (3) Einzelmaßnahmen §30 (2)
(Vorrang Implementing Act)
Betreiber öffentlicher TK-Netze und TK-Dienste §28 (4) KRITIS‑Anforderungen
Meldepflichten, Kunden
Nachweise §§31, 32, 35, 39
Betreiber Energieversorgungsnetze und Energieanlagen §28 (4)
Finanzunternehmen nach DORA (EU) 2022/2554 §28 (5) NIS2 und KRITIS-Pflichten
Meldepflichten, Kunden
Nachweise, Leitung
§§30, 31, 32, 35, 36, 38, 39
gematik §28 (5)
Nationale Sicherheit, öffentliche Sicherheit, Verteidigung, Strafverfolgung §37 Risikomanagement und Meldepflichten §§30,32
+ Registrierung §§33-34
Bundesverwaltung (separat in §29) §28 (1) §28 (2) Wichtige und besonders wichtige Einrichtungen
Cloud Provider, RZ, TSP, Managed Services und Security – im Eigentum von Ländern/Kommunen, keine Dienstleistungen für den Bund erbringen, durch Landesrecht reguliert. §28 (9)

In einzelnen Sektoren entsteht trotz Ausschlüssen eine Mehrfach-Regulierung in NIS2 mit unter­schiedlichen Anforderungen je nach Anwendungsbereich von NIS2, KRITIS und Sektorgesetzen.

up

Sicherheit und Risikomanagement

Besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer erbrachten Dienste zu schützen, Störungen der Verfügbarkeit, Integrität und Vertraulichkeit zu vermeiden und Auswirkungen von Sicherheits­vorfällen gering zu halten. §30 (1)

Betreiber sollen das Ausmaß der Risikoexposition, Größe der Einrichtung, Umsetzungskosten, Eintritts­wahrscheinlichkeit und Schwere von Sicherheits­vorfällen sowie die gesellschaftlichen und wirtschaftlichen Auswirkungen berücksichtigen. §30 (1)

Geltungsbereich

Der Geltungsbereich in betroffenen Unternehmen wird durch NIS2 deutlich erweitert. In der NIS2-Umsetzung fallen große Teile innerhalb von Unternehmen unter die Regulierung – dort müssen Einrichtungen Risiko-Management und Maßnahmen nach §30ff umsetzen.

Der Geltungsbereich von wichtigen und besonders wichtigen Einrichtungen wird in NIS2 sehr umfangreich: Begründung zu §30

Der Geltungsbereich von Betreibern kritischer Anlagen ist im Gesetz nicht genau definiert und war eigentlich begrenzter: Begründung zu §30

Maßnahmen

Die von Betreibern und Einrichtungen umzusetzenden Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen und sollen europäische und internationale Normen berücksichtigen. Die Maßnahmen sollen den Stand der Technik einhalten und müssen mindestens die folgenden Themen umfassen: §30 (2)

Dokumentation

Einrichtungen müssen die Umsetzung der Maßnahmen dokumentieren. §30 (1)

Sektorregelungen

Bestimmte Sektoren sind von den Vorgaben zu Risikomanagement §30 und §31 teilweise ausgeschlossen. Für diese werden die entsprechenden Maßnahmen durch sektor-spezifische Regulierung äquivalent umgesetzt oder konkretisiert.

Konkretisierung

Eine genaue Konkretisierung der Maßnahmen durch EU, BSI oder Verbände ist noch nicht bekannt, hier ist bis 2024 sicherlich noch Bewegung zu erwarten. Ebenso sind noch keine offizielle Ableitungen auf existierende Cybersecurity Standards wie ISO 27001 oder C5 verfügbar, welche die Maßnahmen in Rahmenwerke einordnen.

Existierende ISMS-Zertifizierungen werden meist nicht ohne weiteres hinreichend für NIS2-Maßnahmen sein – der Geltungsbereich von NIS2 könnte über bestehende Zertifikate hinausgehen, die genannten Maßnahmen sind teils tiefer und weiter als übliche Rahmenwerke.

Implementing Acts der EU

Die Kommission kann nach Art. 21 (5) NIS2 in Durchführungs­rechtsakten (Implementing Acts) konkretere technische und methodische Anforderungen erlassen, die dann direkt verbindlich werden und dann vor der obigen Liste §30 (2) Vorrang haben. §30 (4) Das Innenministerium kann, falls die Rechtsakte nicht abschließend sind, eigene Konkretisierungen erlassen. §30 (5)

Für Betreiber von DNS, TLD, Cloud, Rechenzentren, CDNs, Managed Services und Managed Security Services, Online-Marktplätzen, Suchmaschinen, soziale Netzwerke und Vertrauens­dienste wird die EU-Kommission bis Oktober 2024 in einem separaten Implementing Act verbindliche Maßnahmen festlegen, §30 (2) gilt für diese lediglich nachrangig. §30 (3)

Betreiber kritischer Anlagen

Für Betreiber kritischer Anlagen gelten bei der Auswahl von Maßnahmen und Bewertung der Angemessenheit höhere Maßstäbe und weitere Anforderungen:

up

Produkte

Zertifizierte Produkte

Verwenden besonders wichtige oder wichtige Einrichtungen bestimmte, noch zu benennende, IKT-Produkte, Dienste oder Prozesse, müssen diese über eine Cybersicherheits-Zertifizierung gem. Art. 49 EU 2019/881 verfügen §30 (6). Welche Produkte, Dienste oder Prozesse betroffen sind, wird noch in der Rechtsverordnung nach §58 (4) bestimmt.

Kritische Komponenten

Der Einsatz sogenannter kritischer Komponenten muss durch Betreiber kritischer Anlagen vor Beginn des Einsatzes dem Innenministerium gemeldet werden §41 (1). Kritische Komponenten und Funktionen müssen in separaten Gesetzen festgelegt werden.

Das Innenministerium darf den Einsatz kritischer Komponenten untersagen aufgrund:

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung zur Vertrauenswürdigkeit des Herstellers eingesetzt werden, die von KRITIS-Betreibern dem Innen­ministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen ist. Die Erklärung muss durch den Hersteller gegenüber dem Betreiber abgegeben werden. §41 (3)

Der Einsatz bestimmter Komponenten oder Hersteller darf bei schwerwiegenden Verstößen auch längerfristig untersagt werden. §41 (6) (7)

up

Informationen

Registrierung und Kontaktstelle

Einrichtungen und Betreiber müssen sich selbst identifizieren und beim BSI registrieren. Für bestimmte Unternehmen gelten spezielle Registrierungs­regeln. §33 §34

Änderungen der registrierten Daten in (1) und (2) müssen jährlich an das BSI gemeldet werden, alle andere Angaben unverzüglich, innerhalb von zwei Wochen. §33 (5)

Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries von sich aus registrieren. Dazu kann das BSI Unterlagen und Einzelheiten anfordern, und das Verfahren noch genauer definieren. §33 (2) (6)

up

Meldewesen

Mit NIS2 kommen auf betroffene Einrichtungen viele Informations- und Meldepflichten zu, die über die bisherigen §8b BSIG Meldepflichten (KRITIS) hinausgehen.

Meldung von Sicherheitsvorfällen

Besonders wichtige Einrichtungen (damit auch Betreiber kritischer Anlagen) und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen: §32

Das BSI richtet die Melde­möglichkeit im Einvernehmen mit dem BBK ein, für NIS2 und das KRITIS-Dachgesetz, und kann weitere Vorgaben zum Meldeverfahren erlassen. §32 (4)

Meldungen an Kunden und Öffentlichkeit

Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden (Empfänger ihrer Dienste) zu unterrichten. §35 (1)

Einrichtungen aus den Sektoren Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, IKT-Dienste und Digitale Dienste müssen von einer erheblichen Cyberbedrohung potenziell betroffene Kunden unverzüglich informieren, einschließlich möglicher durch die Kunden zu ergreifenden Gegenmaßnahmen. §35 (2)

Das BSI meldet sich nach Möglichkeit innerhalb von 24h bei Unternehmen nach Eingang der Meldung zurück, ggf. mit möglichen Nachfragen, Unterstützungsangeboten und Informationen. §36 (1) Falls eine Sensibilisierung der Öffentlichkeit erforderlich oder im öffentlichen Interesse ist, so kann das BSI die Öffentlichkeit informieren oder Unternehmen dazu auffordern. §36 (2).

up

Nachweise und Prüfungen

Die Umsetzung der NIS2-Maßnahmen muss dem BSI von Betreibern kritischer Anlagen alle drei Jahre nachgewiesen werden. Abhängig von der eigenen Registrierung muss es dann alle drei Jahre Prüfungen geben, analog zu bisherigen KRITIS-Nachweis­prüfungen.

eigene Zusammenstellung nach Referentenentwürfen, Stand Dezember 2023
Betreiber kritischer Anlagen Einrichtungen
Besonders wichtig Wichtig
Gesetz NIS2UmsuCG DachG NIS2UmsuCG NIS2UmsuCG
Zeitraum ab 2024 ab 2026 ab 2024 ab 2024
Pflicht §39 (1) §11 §65 §66
Form Audits Audits Stichproben durch BSI
Inhalt IT-Sicherheit
Meldepflicht
SzA
Resilienz IT-Sicherheit
Meldepflicht
IT-Sicherheit
Meldepflicht
Scope Kritische Anlage Kritische Anlage Unternehmen Unternehmen
Frequenz alle drei Jahre Stichproben Stichproben bei Anlass
Empfänger BSI BBK BSI BSI

Betreiber kritischer Anlagen

Die Betreiber von kritischen Anlagen müssen Nachweise für die Maßnahmen nach §30 (1), §31 und §31 (2) Angriffserkennung durch Audits, Prüfungen oder Zertifizierungen nach §39 (1) alle drei Jahre dem BSI nachweisen, wie bisher bei KRITIS-Prüfungen.

Für Betreiber, die bereits als KRITIS-Betreiber geprüft werden, wird das BSI den Zeitpunkt der Nachweiserbringung auf frühestens drei Jahre nach Erbringung des letzten Nachweises nach §8a (3) BSIG festlegen – der nächste Nachweis verschiebt sich also ggf. um ein Jahr. §39 (3)

Das BSI hat die Befugnis, von sich aus Betreiber kritischer Anlagen als besonders wichtige Einrichtung zu prüfen §65 und kann Vorgaben für Nachweis-Prüfungen festlegen. §39 (2)

Einrichtungen

Einrichtungen müssen die Umsetzung der Maßnahmen dokumentieren. §30 (1)

Sie müssen dem BSI die Umsetzung der §30 Maßnahmen und §32 Meldepflichten nicht regelmäßig nachweisen. Das BSI kann Einrichtungen aber zu Audits, Prüfungen oder Zertifizierungen verpflichten, Nachweise verlangen und selbst prüfen (lassen). §65 (1) (3) (5)

Für Nachweise hat das BSI Durchsetzungsrechte gegenüber besonders wichtigen und wichtigen Einrichtungen. §65 §66

Bei der Auswahl der Einrichtungen soll das BSI risikoorientiert vorgehen, und das Ausmaß der Risiko­exposition, die Größe der Einrichtung sowie die Eintritts­wahrscheinlichkeit und Schwere von möglichen Sicherheits­vorfällen sowie ihre möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen in Betracht ziehen. §65 (4)

Das BSI kann Vorgaben für diese Nachweis-Prüfungen festlegen. §65 (2)

up

Staat und BSI

Aufsicht und Zuständigkeit

Das BSI ist die zuständige Aufsichtsbehörde für besonders wichtige und wichtige Einrichtungen mit Niederlassung in Deutschland, für Betreiber kritischer Anlagen auf deutschem Hoheits­gebiet und Einrichtungen der Bundesverwaltung.

Für Betreiber kritischer Anlagen wird auch das BBK mit dem KRITIS-Dachgesetz zuständig.

EU-Betreiber

Für bestimmte Einrichtungen, die in der Europäischen Union tätig sind und ihre Hauptniederlassung in Deutschland haben, ist das BSI zentral in der EU zuständig (Territorialitätsprinzip): §64

Die Mitgliedstaat der Hauptniederlassung ist im Gesetz als der Ort definiert, wo: §64 (2)

Bietet ein §64-Unternehmen Dienste in der EU an, hat aber keine Niederlassung in der Union, muss das Unternehmen einen Vertreter benennen, der in der EU niedergelassen ist. §64 (3)

Das BSI muss Amtshilfeersuchen anderer Behörden zu §64-Unternehmen in Deutschland nachkommen und dann Aufsichts- und Durchsetzungsmaßßnahmen einleiten. Dies gilt auch für Einrichtungen, die ihren Hauptsitz analog in der EU haben und dort reguliert werden. §64 (5)

Überwachung

Das BSI hat umfangreiche Aufsichts- und Durchsetzungs­maßnahmen bei Einrichtungen zur Überwachung der NIS2-Compliance. §65 §66

Für besonders wichtige Einrichtungen darf das BSI:

Für wichtige Einrichtungen darf das BSI: §66

Meldestelle

Das BSI ist zentrale Meldestelle für Bundesbehörden §4 und für Einrichtungen. §40 Das BSI darf zur Abwehr von Gefahren Informationen sammeln, auswerten und mit anderen Behörden austauschen.

up

Sanktionen und Bußgelder

Die Struktur der Bußgeldvorschriften wurde im Stand von Mai 2024 angepasst und unterscheidet nicht mehr zwischen allgemeinen und spezifischen Tatbeständen für Einrichtungs-Gruppen. Die Anwendbarkeit muss über die referenzierten Pflichten je nach Gruppe geprüft werden.

Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §61. Die KRITIS-Bußgelder werden dabei um neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht.

Geschäftsleitung

Geschäftsleitungen von Einrichtungen müssen die Risikomanagement-Maßnahmen für Cyber­security billigen und die Umsetzung in der Einrichtung überwachen. §38 (1) Werden diese Pflichten verletzt, ergibt sich aus allgemeinen Grundsätzen (bspw. §93 AktG) eine Binnenhaftung der Geschäftsleitung gegenüber der Einrichtung B. Besonderer Teil, zu §38 (2).

Die Einrichtung kann Ersatzansprüche stellen, ein Verzicht oder ein in einem groben Missverhältnis zu einer bestehenden Ungewissheit über das Rechtsverhältnis stehender Vergleich ist unwirksam. §38 (2)

Geschäftsleiter müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Bewertung von Risiken und Maßnahmen sicherzustellen. §38 (3) Leiter von Einrichtungen der Bundesverwaltung gelten nicht als Geschäftsleitung.

Tatbestände

Die Bußgeldtatbestände nach §61 (5)-(7) gelten meist für alle Einrichtungs-Gruppen – einzelne Stellen unterscheiden in der Bußgeldbewährung zwischen den Gruppen.

eigene Zusammenstellung aus NIS2-Referentenentwurf Stand Mai 2024
Höhe Verstöße
10 Mio. EUR
  • Betreiber kritischer Anlagen: Nachweise über Erfüllung der Anforderungen werden nicht richtig oder nicht vollständig erbracht. §39 (1) Satz 1 i.V.m. VO §58 (4) Satz 1
  • Betreiber kritischer Anlagen: Nachweise über Erfüllung der Anforderungen werden nicht erbracht. §39 (1) Satz 1 i.V.m. VO nach §58 (4) Satz 1
  • Besonders wichtige Einrichtungen: Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) i.V.m. VO 58 (4) Satz 1
    wenn Umsatz größer 500 Mio. Euro: Bußgeldhöhe 2% vom weltweiten Umsatz
  • Besonders wichtige Einrichtungen: Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1)
    wenn Umsatz größer 500 Mio. Euro = Bußgeldhöhe 2% vom weltweiten Umsatz
7 Mio. EUR
  • Wichtige Einrichtungen: Vorkehrungen zur Cybersicherheit nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen. §30 (1) i.V.m. VO 58 (4) Satz 1
    wenn Umsatz größer 500 Mio. Euro = Bußgeldhöhe 1,4% vom weltweiten Umsatz
  • Wichtige Einrichtungen: Meldungen werden nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §32 (1)
    wenn Umsatz größer 500 Mio. Euro = Bußgeldhöhe 1,4% vom weltweiten Umsatz
2 Mio. EUR
  • Hersteller von IT-Systemen: durch BSI angewiesene Mitwirkung an Wieder­herstellung der Sicherheit oder Funktionsfähigkeit eines IT-Systems wird verweigert. §11 (6)
  • TK-Anbieter: durch BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §16 (1) 1 auch i.V.m. §16 (3)
  • Telemedien: durch BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen. §17
  • Betreiber kritischer Anlagen: geeigneter Nachweis über die erfolgte Mängelbeseitigung wird nicht vorgelegt. §39 (1) Satz 6

Hinweis: Anwendung von §30 (2) 3 OWiG

500.000 EUR
  • Hersteller von IT-Systemen: durch BSI angewiesene Mitwirkung an der Beseitigung oder Vermeidung von erheblichen Sicherheitsvorfällen bei IKT-Produkten verweigert. §18
  • Besonders wichtige und wichtige Einrichtungen: durch BSI angewiesene erforderliche Maßnahmen zur Verhütung oder Behebung eines Sicherheitsvorfalls oder Mangels oder die Berichterstattung darüber werden verweigert. §65 (6) Satz 1-2 oder i.V.m. §66
  • Besonders wichtige und wichtige Einrichtungen: durch BSI geforderter Nachweis wird nicht oder nicht rechtzeitig erbracht. §65 (3) Satz 1 oder i.V.m. §66
  • Angabe oder Änderung bei Registrierung wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt. §33 (1) oder (2) i.V.m. VO nach §58 (4) Satz 1, oder §34 (1)
  • Das BSI wird über Änderungen an Registrierungsdaten nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterichtet. §34 (2)
  • Betreiber kritischer Anlagen: Nachweise über Erfüllung der Anforderungen werden nicht rechtzeitig erbracht. §39 (1) Satz 1 i.V.m. VO nach §58 (4) Satz 1
  • Ein Nachweis ggü. dem BSI über eine vollständige Datenbank wird nicht erbracht. §51 (1)
  • Auf Anträge wird nicht oder nicht rechtzeitig geantwortet oder der Zugang nicht gewährt. §52 Satz 1
  • Erforderliche Angaben werden nicht öffentlich gemacht. §51 (3)(4), §52 (2) Satz 1
  • Vorgabe, Inhaber einer Sicherheits- oder Personenzertifizierung oder einer Zertifizierung als IT-Sicherheitsdienstleister zu sein, ohne dass diese besteht. §54 (2)
  • Vorgabe, Aussteller einer Konformitätserklärung zu sein, obwohl diese nicht besteht, widerrufen oder für ungültig erklärt wurde. §55 (1)
  • Tätig als akkreditierte Konformitätsbewertungsstelle ohne Erlaubnis. §55 (3) Satz 2
  • Vorsätzlicher oder fahrlässiger Verstoß gegen (EU) 2019/881 über ENISA und Zertifizierung: Angaben oder Information nicht, nicht richtig, nicht vollständig oder nicht unverzüglich nach Feststellung einer Schwachstelle. Falsche Angaben als Inhaber eines europäischen Cybersicherheitszertifikats oder Aussteller EU-Konformitätserklärung.
100.000 EUR
  • Zuwiderhandlung durch Hersteller gegen Anordnung zur Auskunft zu Produkten und Sytemen, insb. auch technischen Details. §14 (2) Satz 1
  • Zuwiderhandlung gegen Anordnung zur Unterrichtung von Kunden und Einsetzung eines Überwachungs­beauftragen. §64 (8) oder i.V.m. §66
  • Zuwiderhandlung gegen Anordnung nach §40 (4) Satz 1
    Ggf. ein Fehler im Entwurf – vermutlich ist §40 (5) gemeint: "durch das BSI zur Bewältigung einer Störung verlangte notwendige Informationen inkl. personenbezogenen Daten nicht herausgegeben".
  • Besonders wichtige und wichtige Einrichtungen: Zuwiderhandlung gegen Anordnung zur Umsetzung von im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen. §65 (7) Satz 2 oder i.V.m. §66
  • Kontaktstelle ist nicht erreichbar. §33 (2) Satz 2
  • Tätigwerden als Konformitätsbewertungsstelle ohne Erlaubnis. §56 (2) Satz 2
  • Betreiber kritischer Anlagen: Fahrlässig einen Nachweis nicht richtig oder nicht vollständig erbringen. §39 (1) Satz 1

up

Bundeseinrichtungen

Im Sektor Staat sind in der NIS2-Umsetzung Einrichtungen der Bundesverwaltung reguliert. Diese übernehmen die Pflichten besonders wichtiger Einrichtungen und erhalten zusätzlich eigene Pflichten.

In der Bundes­verwaltung reguliert werden, sofern es keine expliziten Ausnahmen gibt: §29

Es gibt diverse Ausschlüsse und Abgrenzungen bei Einrichtungen der Bundesverwaltung:

Anforderungen

An Bundeseinrichtungen werden damit folgende Anforderungen an Cybersicherheit gestellt:

Bundeseinrichtungen müssen zusätzlich erfüllen:

Steuerung

Es müssen weiterhin Strukturen auf Bundesebene und bei Einrichtungen geschaffen werden:

Länder und Kommunen

Länder und Kommunen sind in der deutschen NIS2-Umsetzung nicht direkt reguliert – der Gesetzgeber (Bund) verweist auf Zuständigkeit der Länder und dortige Gesetzgebung.

Aus der Definition der normalen Einrichtungen sind explizit öffentliche IT-Dienstleister ausgeschlossen, die sich 100 Prozent im Besitz von Ländern oder Kommunen befinden, keine Dienstleistungen für den Bund erbringen und durch Landesgesetze reguliert werden. §28 (9)

up

Ausblick

Gesetzgebung

Das NIS2-Umsetzungsgesetz soll am 1. Oktober 2024 in Kraft treten, das bisherige BSIG dann außer Kraft. Seit Sommer 2023 sind Referentenentwürfe vom NIS2UmsuCG publik.

Ablauf NIS2, Stand März 2024
Version Status Datum Akteur
NIS Deadline nationale Umsetzung Mai 2018 Mitglied­staaten
IT-Sicherheitsgesetz 2.0 Inkrafttreten Mai 2021 Bundesrat
NIS2 EU 2022/2555 Final Dez 2022 Amtsblatt
NIS2-Umsetzungsgesetz Referentenentwurf Apr 2023 Innenministerium
NIS2-Umsetzungsgesetz Referentenentwurf Jul 2023 Innenministerium
NIS2-Umsetzungsgesetz Diskussionspapier Sep 2023 Innenministerium
NIS2-Umsetzungsgesetz Referentenentwurf Dez 2023 Innenministerium
NIS2-Umsetzungsgesetz Referentenentwurf Mai 2024 Innenministerium
NIS2-Umsetzungsgesetz Verkündung unsicher Bundestag
Rechtsverordnung(en) fehlt noch unsicher Innenministerium
NIS2-Umsetzungsgesetz Inkrafttreten geplant Okt 2024 Bundestag
NIS2-Umsetzungsgesetz Inkrafttreten unsicher Bundesgesetzblatt
NIS2 Deadline Umsetzung Okt 2024 Mitglied­staaten

Evaluierung

In der NIS2-Umsetzung ist keine Evaluierung in Deutschland vorgesehen, da EU NIS2 durch die Europäische Kommission evaluiert werden soll Begründung A. VII. und eine (auf ... Deutschland isolierte) Evaluierung der Umsetzung nicht zielführend sei. Zu Art. 7

Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen (aufgehoben). Art. 7 Die Evaluierung dieser Vorschriften erübrigen sich, weil diese in weiten Teilen im Zuge der NIS-2-Umsetzung geändert werden. Zu Art. 7

Die Ergebnisse der teilweisen Evaluierung des IT-Sicherheitsgesetzes 2.0 flossen in das NIS2-Umsetzungsgesetz wohl ein, so die Begründung.

up

Auswirkungen

Wirtschaft

In Deutschland geht der Gesetzgeber von etwa 30 Tausend betroffenen Unternehmen aus, von denen nur 17 Prozent im Grundsatz ausreichende Maßnahmen ergriffen haben.

Abzüglich der bestehenden Betreiber haben über 20 Tausend Unternehmen Handlungsbedarf. Dafür berechnet der Entwurf Aufwände für Unternehmen für neue Pflichten und Anpassung von Prozessen: 2,1 Mrd. EUR einmalige Kosten und 2,1 Mrd. EUR jährliche Kosten.

Bundesverwaltung

Bei Bundeseinrichtungen kalkuliert der Gesetzgeber für die Umsetzung der NIS2-Pflichten zusätzliche Aufwände analog zu Unternehmen. Behörden gehen von 1.396 zusätzlichen Stellen aus mit einmaligen Aufwand von 286 Mio. EUR.

Für die Regulierungsbehörden kalkuliert der Gesetzgeber zusätzliche Vollzugsaufwände bei BSI, BBK, BNetzA, BfDI und BMI für NIS2: zusätzliche 931 Stellen und Sachkosten von 73 Mio. jährlich und 36 Mio. EUR einmalig. Begründung A. VI.

Betreibergruppen

Die Aufteilung in Betreiber und Einrichtungen und das Beibehalten der kritischen Anlagen (KRITIS) wird mit dem Gleichklang mit dem KRITIS-Dachgesetz begründet. Die Evaluierung habe ergeben, dass NIS2 zu einer so starken Ausweitung von Betroffenheit führe, dass weiterhin eine differenzierte Bestimmung mit Fokus Versorgungsrelevanz erfolgen solle. Zu §58 (1)

up

Fristen und Umsetzung

Das Gesetz NIS2UmsuCG soll, nach dem aktuellen Entwurf, am 1. Oktober 2024 in Kraft treten. Die NIS2-Pflichten für Unternehmen (Einrichtungen) gelten ab dann, mit wenigen Fristen. Es gibt keine Übergangsfristen zur Umsetzung der Pflichten.

Besonders wichtige Einrichtungen

Wichtige Einrichtungen

Betreiber kritischer Anlagen

up

Rechtsverordnung

Verschiedene Anforderungen aus dem NIS2UmsuCG sollen durch eine oder mehrere Rechtsverordnungen konkretisiert oder definiert werden: §58

Die Rechtsverordnung soll im Einklang mit dem KRITIS-Dachgesetz definiert werden und Betreiber und Einrichtungen in einer Verordnung zusammenfassen, damit betroffene Unternehmen zentral in einer Tabelle relevante Kategorien und Schwellenwerte finden.

Ein Entwurf der Rechtsverordnung(en) ist noch nicht verfügbar.

EU-Vorgaben und Umsetzungsakte

Die EU-Kommission kann zur Definition der §30 (2) Maßnahmen noch eigene Vorgaben durch Durchführungs­rechtsakte (Implementing Acts) erlassen, welche dann Vorrang vor nationalem Recht hätten, generell in §30 (4) und speziell für einige IT-Betreiber in §30 (3).

Falls dies nicht eintritt, soll das Bundes­innnenministerium selbst technische, methodische und sektorale Definitionen zur Konkretisierung erlassen. §30 (5)

Branchenstandards

Besonders wichtige Einrichtungen, d.h. auch Betreiber kritischer Anlagen, können weiterhin branchenspezifische Sicherheitstandards (B3S) zur Umsetzung der §30 (1) Maßnahmen vorschlagen. Das BSI stellt die Eignung der B3S fest. §30 (8)(9)

up

Auswirkung auf weitere Gesetze

Telekommunikationsgesetz

Das TKG wird mit der NIS2-Umsetzung angepasst, der Referentenentwurf von Mai 2024 enthält die entsprechenden Änderungen in Artikel 23. Dort sind einige Klarstellungen und Anpassungen des TKG enthalten, ebenso werden die §30 BSIG-E Sicherheits­maßnahmen aus NIS2 analog in §165 (2a) TKG-E überführt.

Anbieter von TK-Diensten und Netzen müssen damit als NIS2-Einrichtungen über das TKG analoge Maßnahmen umsetzen. Die Änderungen im Gesetz sprechen dafür, ebenso die Begründung zu Aufwänden bei der BNetzA. Dort wird auch der TK-Sicherheitskatalog nicht erwähnt, anscheinend wird es nicht unbedingt einen neuen TK-Sicherheitskatalog geben.

Energiewirtschaftsgesetz

Das EnWG wird mit der NIS2-Umsetzung angepasst, der Entwurf von Mai 2024 enthält die Änderungen in Artikel 16. Dort ist ein neuer §5c EnWG-E vorgesehen, der Inhalte des bisherigen §11 EnWG entsprechend der NIS2-Vorgaben anpasst. Unter anderem werden die §30 BSIG-E Sicherheits­maßnahmen aus NIS2 analog in §5c (3) EnWG-E überführt

Die Regulierung für Energie­betreiber bleibt zwischen BSI und BNetzA geteilt: Registrierung und Nachweispflichten vermutlich bei der BNetzA, Meldung von Sicherheitsvorfällen ans BSI. Analog zu den bisherigen IT-Sicherheitskatalogen soll die BNetzA anscheinend zwei aktualisierte (oder neue) IT-Sicherheitskataloge nach §5c (1) bzw. §5c (2) EnWG-E erstellen.

Weitere Gesetze

Gesetzesänderungen, Stand Mai 2024
Gesetz Änderung NIS2UmsuCG
BSI-Gesetz NIS2-Änderungen Art. 1
BSI- und TK-Gesetz Verweis Dachgesetz und Anlagen Art. 2
BND-Gesetz, SÜFV, TTDSG, GleibWV Verweise Art. 3-6
IT-Sicherheitsgesetz 2.0 Evaluierung zum 1. Mai 2025 gestrichen Art. 7
BSIZertV, BSI-ITSiKV, De-Mail-Gesetz, PassDEÜV, PAuswV, KassenSichV, ATG, Verweise Art. 8-15
EnWG NIS2-Änderungen Art. 16
TKG NIS2-Änderungen Art. 23
MsbG, EnSiG, SGB V, DiGAV , SGB VI, BFSGV, TKG, KHSFV, MessEV, AWV, VDG, Verweise und Definitionen Art. 17-27
NIS2UmsuCG Evaluierung Art. 28
NIS2UmsuCG Inkrafttreten Art. 29

up

Änderungen der Referentenentwürfe

Es gab bisher fünf bekannte Entwürfe von NISUmsuCG seit April 2023:

Mai 2024 (fünfter Entwurf, zur Verbändeabstimmung) zu Dezember 2023:

Dezember 2023 (vierter Entwurf) zu September 2023:

September 2023 (dritter Entwurf, Diskussionspapier) zu Juli 2023:

Juli 2023 (zweiter Entwurf) zu April 2023:

April 2023 (erster Entwurf): Erste NIS2-Umsetzung.

up

Weitere Informationen

Literatur

  1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
  2. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
  3. Referentenentwurf des BMI: NIS2UmsuCG, verschiedene Versionen, AG KRITIS 2023

Quellen

  1. Entwurf eines NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetzes, Referentenentwurf, Innenministerium, Intrapol, 07.05.2024
  2. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Version Dezember 2023, Intrapol, 7. März 2023
  3. Werkstattgespräch– Diskussions­papier, des BMI für wirtschafts­bezogene Regelungen zur Umsetzung der NIS-2-RL, Innenministerium, Intrapol, 26.10.2023
  4. Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
  5. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
  6. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung, Intrapol, 3. April 2023
  7. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheits­niveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
  8. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022