Das NIS2 Umsetzungsgesetz
Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit liegt seit Frühling 2023 als Entwurf vor, als NIS2UmsuCG. EU NIS2 definiert EU-weite Mindeststandards für Cybersecurity, die vom Umsetzungsgesetz in nationale Regulierung überführt werden. Etwa 30.000 Unternehmen werden betroffen sein, mit höheren Cybersecurity-Anforderungen und mehr Befugnissen des BSI.
Das Gesetz liegt als zweiter Referentenentwurf vor, es muss nach Abstimmung in der Bundesregierung noch die Gesetzgebung auf Bundesebene durchlaufen. Das NIS2UmsuCG ist ein Änderungsgesetz, das die Artikel verschiedener anderer Gesetze umstrukturiert, ändert und ergänzt – primär das BSI-Gesetz. Ergänzend reguliert das KRITIS-Dachgesetz Resilienz bei kritischen Betreibern regulieren.
Die Ausführungen beruhen auf einem Referentenentwurf von Juli 2023 auf ag.kritis.info. Der Entwurf selbst und die Analyse sind als work in progress mit etwas Vorsicht zu genießen.
Die Umsetzung von NIS2
Neue Cybersecurity-Regulierung in 2023
Das NIS2-Umsetzungsgesetz ändert die deutsche KRITIS-Regulierung deutlich – neben den Betreibern kritischer Anlagen wird es besonders wichtige Einrichtungen
und wichtige Einrichtungen
geben.
Für etwa 30.000 betroffene Unternehmen in Deutschland steigen die Security-Pflichten.
- Betreiber: Betroffen sind Betreiber kritischer Anlagen (KRITIS) und die neuen besonders wichtigen und wichtigen Einrichtungen (Identifikation über Unternehmensgröße). Ebenfalls betroffen sind Bundeseinrichtungen und einige Sonderfälle.
- Sektoren: Die KRITIS-Sektoren der kritischen Anlagen bleiben bestehen, die Sektoren der neuen Einrichtungen erweitern sich analog zu NIS2 und werden deutlich mehr.
- UBI: Die Unternehmen im besonderen öffentlichen Interesse entfallen und werden in wichtige und teils auch besonders wichtige Einrichtungen integriert.
- Cybersecurity: Pflichten für Unternehmen werden konkreter und etwas detaillierter: u.a. Risikomanagement, Vorfallsmeldungen, technische Maßnahmen und Governance.
- Aufsicht: Erweitert wird die staatliche Aufsicht durch Registrierungspflicht, Nachweise, Meldepflichten und verbindlichen Informationsaustausch. Die geteilte Regulierung über verschiedene Behörden wie BSI, BNetzA etc. soll aber vereinfacht werden.
- Sanktionen: Erweiterte Sanktionsvorschriften mit neuen Bußgeldtatbeständen und erhöhten Bußgeldern, die wie bisher mehrstufig verhängt werden. Die Höhe beträgt zwischen 100.000 und 20 Millionen EUR und ist bei wichtigen oder besonders wichtigen Einrichtungen teils an den weltweiten Gesamtumsatz im Vorgeschäftsjahr gekoppelt.
- Haftung: Geschäftsführer haften teilweise persönlich für die Umsetzung (und
Billigung
) der Sicherheitsmaßnahmen in ihrer Einrichtung.
Die bestehende KRITIS-Regulierung wird durch die NIS2-Umsetzung deutlich erweitert mit einem Mehrklassen-System an Betreibern mit unterschiedlichen Stufen von Pflichten.
Änderungen der Referentenentwürfe
Es gab bisher zwei öffentliche Referentenentwürfe aus April und Juli 2023. Die Änderungen nachzuvollziehen ist nicht ganz einfach, unser bisheriger Stand:
Juli 2023 vs. April 2023
- Weltraum wird analog zum KRITIS-Dachgesetz ein neuer Sektor, Digitale Infrastruktur heißt wieder IT und TK, Bankwesen ist wieder Finanz- und Versicherungswesen.
- Für technische und organisatorische Maßnahmen nach §30 wird neben Verhältnismäßigkeit nun explizit Eignung und Wirksamkeit gefordert.
- Betreiber kritischer Anlagen müssen bei der Angemessenheit von Maßnahmen die aktuellen Lageberichte und Bewertungen des BSI zu Bedrohungsszenarien für die Versorgungssicherheit berücksichtigen.
- Die Frist für erstmalige Nachweise wurde etwas verlängert, auf nun (spätestens) vier Jahre nach Inkrafttreten.
- Geschäftsleiter besonders wichtiger Einrichtungen im Teilsektor Zentralregierung werden aus der sogenannten Managerhaftung ausgeschlossen.
- Die angestrebte Vereinfachung der Regulierung im Energiesektor mit BSI und BNetzA wird (leider) wieder aufgelöst: die bisherige Regulierung soll bestehen bleiben, Maßnahmen zum Risikomanagement und verschärfte Meldepflichten aus dem NIS2UmsuCG sollen stattdessen ins EnWG durchgereicht werden.
Betroffene Unternehmen
Unternehmen in Deutschland
Es gibt zwei Hauptgruppen von betroffenen Unternehmen in der NIS2-Umsetzung, die im neuen BSI-Gesetz reguliert werden. Diese beiden Gruppen müssen viele (teils neue) Cybersecurity-Pflichten erfüllen, die über bisherige KRITIS-Pflichten hinausgehen.
- Betreiber kritischer Anlagen (KRITIS-Betreiber) §28 (2-5) müssen mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung feststellen.
- Besonders wichtige §28 (6) und wichtige Einrichtungen §28 (7) werden nach Größe des Unternehmens identifiziert, es gibt dabei mittlere und große Unternehmen:
- Mittlere Unternehmen, zwei Möglichkeiten:
50 bis 249 Mitarbeiter und Umsatz weniger 50 Mio EUR oder Bilanz weniger 43 Mio EUR oder
Weniger 50 Mitarbeiter und Umsatz 10-50 Mio EUR und Bilanz 10-43 Mio EUR - Großunternehmen, zwei Möglichkeiten:
Mindestens 250 Mitarbeiter oder ab 50 Mio. EUR Umsatz und Bilanz ab 43 Mio EUR
- Mittlere Unternehmen, zwei Möglichkeiten:
Neben den kritischen Betreibern und Einrichtungen werden auch Bundeseinrichtungen vom BSI-Gesetz mit bestimmten Pflichten reguliert. §29 Einige andere Betreiber (digitale Dienste, UBI) gehen in die Gruppe der Einrichtungen 2 auf.
Die NIS2-Sektoren weichen von den originalen EU NIS2-Sektoren ab und gehen über die bestehenden KRITIS-Sektoren hinaus. Es gibt diverse Ausschlüsse und Sonderfälle, die teils weiterer Regulierung oder besonderen Anforderungen unterliegen. Generell sind sind nicht mehr nur noch Infrastrukturen betroffen sondern große Teile der Wirtschaft.
KRITIS-Sektoren | Besonders wichtige Einrichtungen | Wichtige Einrichtungen | |
---|---|---|---|
Kritische Anlagen | Großunternehmen | Mittlere Unternehmen | Großunternehmen |
Energie | Energie | Energie | |
Transport und Verkehr | Transport | Transport | |
Finanz/Versicherungen | Finanz/Versicherungen | Finanz/Versicherungen | |
Gesundheit | Gesundheit | Gesundheit | |
Trinkwasser/Abwasser | Trinkwasser/Abwasser | Trinkwasser/Abwasser | |
IT und TK | IT und TK* | IT und TK | |
qTSP, TLD, DNS (alle ✝) | TSP | ||
Verwaltung IKT-Dienste | Verwaltung IKT-Dienste | ||
Zentralregierung✝ | |||
Weltraum | Weltraum | Weltraum | |
Ernährung | Ernährung | Ernährung | |
Entsorgung | Entsorgung | Entsorgung | |
Logistik | Logistik | ||
Digitale Dienste | Digitale Dienste | ||
Produktion | Produktion | ||
Chemie | Chemie | ||
Forschung | Forschung | ||
Rüstungsgüter und VS-IT (ex-UBI 1)✝ | |||
Betriebsbereich obere Klasse (ex-UBI 3)✝ |
Betreiber und Einrichtungen
Betreiber kritischer Anlagen (KRITIS)
Die bisherigen KRITIS-Betreiber (Kritische Infrastrukturen) sind in der NIS2-Umsetzung als Betreiber kritischer Anlagen definiert. §28 (2) Diese Betreiber sind eine eigene Klasse an Unternehmen, die in KRITIS-Sektoren so genannte kritische Dienstleistungen auf einzeln definierten KRITIS-Anlagen erbringen. Die deutsche KRITIS-Logik bleibt hier bestehen.
Kategorie | Größe | Sektoren |
---|---|---|
Kritische Anlagen §28 (2) |
Schwellenwerte | Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitsweisen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation*, Weltraum*, Siedlungsabfallentsorgung |
Die Betreiber kritischer Anlagen werden auch besonders wichtige Einrichtungen der neuen NIS2-Gruppe und erben damit auch deren Pflichten. §28 (6) Nr. 4
Besonders wichtige und wichtige Einrichtungen
Durch die NIS2-Umsetzung kommen zu den KRITIS-Betreibern zwei neue Gruppen von Unternehmen hinzu, die Einrichtungen §28 (6)-(7).
Die besonders wichtigen Einrichtungen sind Großunternehmen bestimmter Sektoren, einige Unternehmen unabhängig ihrer Größe und KRITIS-Betreiber. Die wichtigen Einrichtungen sind sowohl Großunternehmen und mittlere Unternehmen in vielen Sektoren sowie weitere Unternehmen unabhängig ihrer Größe.
Kategorie | Größe | Sektoren |
---|---|---|
Besonders wichtig §28 (6) |
Großunternehmen | Energie, Transport und Verkehr, Finanz-/Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, IKT-Dienste, Weltraum |
unabhängig | Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste | |
Mittlere Unternehmen | Anbieter öffentlicher TK-Netze und TK-Dienste | |
unabhängig | Betreiber kritischer Anlagen (KRITIS-Betreiber) | |
unabhängig | Zentralregierung (Bundesministerien und Bundeskanzleramt) | |
Wichtig §28 (7) |
Mittlere Unternehmen | Energie, Transport und Verkehr, Finanz/Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, IKT-Dienste, Weltraum |
Großunternehmen Mittlere Unternehmen |
Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, digitale Dienste, Forschung | |
unabhängig | Vertrauensdienste | |
unabhängig | Hersteller Rüstungsgüter und VS-IT (ex-UBI 1) | |
unabhängig | Betreiber Betriebsbereich obere Klasse (ex-UBI 3) |
Unternehmensgröße
Die Einrichtungen werden nach Unternehmensgröße unterschieden – die Definitionen von Großunternehmen §2 (1) Nr. 12 und mittleren §2 (1) Nr. 23 divergieren etwas (auch zum EU NIS2 Original). Bei mittleren Unternehmen zählen Mitarbeiter zusammen mit Umsatz oder Bilanz, bei Großunternehmen Mitarbeiter oder Umsatz und Bilanz.
Unternehmen | Mitarbeiter | Umsatz | Bilanz | |||
---|---|---|---|---|---|---|
Mittlere Unternehmen | a) b) |
50-249 bis 49 |
und und |
< 50 Mio. EUR 10-50 Mio. EUR |
oder und |
< 43 Mio. EUR 10-43 Mio. EUR |
Großunternehmen | c) d) |
≥ 250 |
≥ 50 Mio. EUR |
und |
≥ 43 Mio. EUR |
Die Unternehmen sind jeweils noch unterteilt – mittlere Unternehmen a) bis 249 Mitarbeiter und b) unter 49 Mitarbeitern (sowie Umsatz/Bilanzgrenzen) und Großunternehmen c) über 250 Mitarbeiter und d) über 50 Mio EUR Umsatz und 43 Mio EUR Bilanz.
Unternehmen im besonderen öffentlichen Interesse
Die Unternehmen im besonderen öffentlichen Interesse (UBI) fallen als separate Kategorie weg und gehen in den Einrichtungen auf. Das IT-Sicherheitsgesetz 2.0 hatte drei Gruppen:
- Rüstung (UBI 1): Hersteller von Rüstung und Produkten für Verschlusssachen (VS) werden zu wichtigen Einrichtungen §28 (7) Nr. 4
- Wertschöpfung (UBI 2): Unternehmen erheblicher volkswirtschaftlicher Bedeutung werden nun nach Unternehmensgröße zu besonders wichtigen oder wichtigen Einrichtungen.
- Gefahrstoffe (UBI 3): Betreiber von Betriebsbereichen der oberen Klasse (Gefahrstoffen) werden zu wichtigen Einrichtungen §28 (7) Nr. 5
Cybersecurity
Pflichten von Betreibern und Einrichtungen
Die Anforderungen an Betreiber und Einrichtungen ändern sich mit der NIS2-Umsetzung deutlich. Die bisherigen KRITIS-Pflichten aus dem BSI-Gesetz bleiben in Grundzügen erhalten, werden teils präzisiert, teils verschärft und neu strukturiert.
Pflicht | Betreiber kritischer Anlagen |
Besonders wichtige Einrichtung |
Wichtige Einrichtung |
---|---|---|---|
Geltungsbereich | Anlage(n) | Unternehmen | Unternehmen |
Maßnahmen Risikomanagement §30 | ✓ | ✓ | ✓ |
Höhere Maßstäbe für KRITIS §30 (3) | ✓ | ||
Besondere Maßnahmen SzA §39 | ✓ | ||
Registrierung §32 §33 | ✓ | ✓ | ✓ |
Meldepflichten §31 | ✓ | ✓ | ✓ |
Nachweise §34 | * | ✓ | |
Informationsaustausch §35 §36 | * | ✓ | ✓ |
Governance Leitungsorgane §38 | * | ✓ | ✓ |
Auswirkungen
Die Auswirkungen des NIS2-Umsetzungsgesetzes werden in großen Teilen der deutschen Wirtschaft spürbar werden – vor allem in der sehr großen Gruppe der Einrichtungen. Es gibt jedoch Unterschiede in der Betroffenheit und konkreten Pflichten.
Der genaue Geltungsbereich bei betroffenen Unternehmen für Maßnahmen (§§ 30-39) ist (noch) nicht exakt ausformuliert. Bei Betreibern kritischer Anlagen scheinen die Anlagen weiter der Scope zu sein, bei den besonders wichtigen und wichtigen Einrichtungen dann (wahrscheinlich) das ganze Unternehmen in Form der registrierten Legaleinheit.
Wie das in weiteren Entwürfen oder der Rechtsverordnung bestehen bleibt, wird sich zeigen. Der Geltungsbereich bestimmt der Aufwand von Maßnahmen, Nachweisen und Prüfungen
Ausschlüsse
Für diverse Unternehmen bestehen Ausnahmen und Sonderregeln zu Pflichten in §30-39.
- Von §30 (1) ausgeschlossen sind: DNS, TLD, Cloud-Computing, Rechenzentren, Content Delivery Networks, Managed Services und Managed Security Services, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke und Vertrauensdienste.
Für diese Unternehmen wird ein Durchführungsrechtsakt der EU-Kommission bis Oktober 2024 verbindliche Maßnahmen festlegen. §30 (5) - Betreiber öffentlicher TK-Netze und TK-Dienste sind von §30 und §31 ausgeschlossen.
- Betreiber von Energieversorgungsnetzen oder Energieanlagen sind von §30 und §31 ausgeschlossen, die EnWG/BNetzA-Sicherheitskataloge sollen die Inhalte aber aufgreifen.
- Die gematik ist von §30 und §31 ausgeschlossen.
- Bestimmte Einrichtungen dürfen zur Wahrung nationaler Sicherheitsinteressen durch die Bundesregierung von §31, §32 und §33 befreit werden. §37
- Von den besonders wichtigen und wichtigen Einrichtungen ausgeschlossen werden Einrichtungen gem. Art. 2 (4) der Verordnung (EU) 2022/2554 (DORA).
Risikomanagement
Besonders wichtige und wichtige Einrichtungen müssen geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um IT und Prozesse ihrer Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. §30 (1)
Maßnahmen
Die von Betreibern und Einrichtungen umzusetzenden Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der IT, Komponenten, Prozesse und Umwelt dieser Systeme vor Sicherheitsvorällen schützt.
Die Maßnahmen müssen mindestens die folgenden Themen umfassen: §30 (4)
- Risikoanalyse und Sicherheit für Informationssysteme
- Bewältigung von Sicherheitsvorfällen
- Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
- Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
- Sicherheit in der Entwicklung, Beschaffung und Wartung, Management von Schwachstellen
- Bewertung der Effektivität von Cybersicherheit und Risiko-Management
- Schulungen Cybersicherheit und Cyberhygiene
- Kryptografie und Verschlüsselung
- Personalsicherheit, Zugriffskontrolle und Anlagen-Management
- Multi-Faktor Authentisierung und kontinuierliche Authentisierung
- Sichere Kommunikation (Sprach, Video- und Text)
- Sichere Notfallkommunikation
Die Maßnahmen sind sicherlich gleichzeitig generisch und in Teilen sehr spezifisch. Hier wird der Staat (hoffentlich) noch Details und Erwartungen präzisieren.
Konkretisierung
Eine genaue Konkretisierung der Maßnahmen durch EU, BSI oder Verbände ist noch nicht bekannt, hier ist bis 2024 sicherlich noch Bewegung zu erwarten zum Stand der Technik. Ebenso sind noch keine offizielle Ableitungen auf existierende Cybersecurity Standards wie ISO 27001 oder C5 verfügbar, welche die Maßnahmen in Rahmenwerke einordnen.
Sicherlich sind existierende ISMS-Zertifizierungen nicht ohne weiteres schon hinreichend für NIS2-Maßnahmen – der Geltungsbereich (Scope) von NIS2 könnte über bestehende Zertifikate hinausgehen, die genannten Maßnahmen sind teils tiefer und teils weiter als übliche Rahmenwerke.
Implementing Acts der EU
Die EU-Kommission kann nach Art. 21 (5) NIS2 in Durchführungsrechtsakten (Implementing Acts) konkretere technische und methodische Anforderungen erlassen, die dann direkt verbindlich werden und dann vor der obigen Liste (4) Vorrang haben. §30 (6)
Für Betreiber von DNS, TLD, Cloud, Rechenzentren, CDNs, Managed Services und Managed Security Services, Online-Marktplätzen, Suchmaschinen, soziale Netzwerke und Vertrauensdienste wird die EU-Kommission bis Oktober 2024 in einem separaten Implementing Act verbindliche Maßnahmen festlegen, § (4) gilt für diese lediglich nachrangig. §30 (5)
Angemessenheit und Wirksamkeit
Die Maßnahmen müssen geeignet, verhältnismäßig und wirksam §30 (1) sowie dem Risiko angemessen sein und den Stand der Technik einhalten. Sie sollen internationale und europäische Normen einhalten und dabei Umsetzungskosten vor dem Hintergrund gesellschaftlicher und wirtschaftlicher Auswirkungen von Ausfällen berücksichtigen. §30 (2)
Betreiber kritischer Anlagen
Für Betreiber kritischer Anlagen gelten bei der Auswahl von Maßnahmen und Bewertung der Angemessenheit höhere Maßstäbe zum Schutz der IT, Komponenten und Prozesse der betriebenen Anlagen. Insbesondere müssen sie bei der Wahl von Maßnahmen die in den aktuellen Lageberichten und Bewertungen des BSI genannten Bedrohungsszenarien für die Versorgungssicherheit berücksichtigen. §30 (3)
Betreiber kritischer Anlagen müssen darüberhinaus weitere Anforderungen umsetzen:
- Systeme zur Angriffserkennung §39 (1)
- Nachweispflichten für SzA und KRITIS-Dachgesetz §39 (2)
Produkte
Zertifizierte Produkte
Verwenden besonders wichtige oder wichtige Einrichtungen bestimmte IKT-Produkte, Dienste oder Prozesse, müssen diese über eine Cybersicherheitszertifizierung gem. Art. 49 EU 2019/881 verfügen §30 (9)(9a). Welche Produkte, Dienste oder Prozesse betroffen sind, wird noch in der Rechtsverordnung nach §57 (6) bestimmt.
Qualität von Produkten
Zur Gewährleistung der Sicherheit der Lieferkette (§30 (4) 4) müssen besonders wichtige Einrichtungen die spezifischen Schwachstellen von Anbietern und Diensteanbietern sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis inkl. der Sicherheit der Entwicklungsprozesse berücksichtigen §30 (8).
Dabei muss die koordinierte Risikobewertung kritischer Lieferketten auf Ebene der Union (Art. 22 NIS2-Richtlinie) berücksichtigt werden.
Kritische Komponenten
Der Einsatz sogenannter kritischer Komponenten muss durch Betreiber kritischer Anlagen dem Innenministerium gemeldet werden §41 (1). Kritische Komponenten und Funktionen müssen in Gesetzen festgelegt werden (bis jetzt nur im TK-Sektor durch das TKG 2021).
Das Innenministerium darf den Einsatz kritischer Komponenten untersagen aufgrund:
Beeinträchtigung der öffentlichen Ordnung und Sicherheit
— wenn der Hersteller von der Regierung, staatlichen Stellen oder den Streitkräften eines Drittstaats kontrolliert wird, annachteiligen Aktivitäten
gegen die öffentliche Ordnung und Sicherheit Deutschlands, der EU, EFTA oder NATO beteiligt war oder ist, oder wenn der Einsatz nicht mitsicherheitspolitischen Zielen
Deutschlands, der EU oder der NATO im Einklang ist. §41 (2)- Fehlender Vertrauenswürdigkeit des Herstellers durch Garantieerklärung, Sicherheitstests und Schwachstellen und Manipulationen in den betreffenden Produkten. §41 (4) (5)
Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung zur Vertrauenswürdigkeit des Herstellers eingesetzt werden, die von KRITIS-Betreibern dem Innenministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen ist. §41 (3)
Der Einsatz bestimmter Komponenten oder Hersteller darf bei schwerwiegenden Verstößen auch längerfristig untersagt werden. §41 (6) (7)
Informationen
Nachweise und Prüfungen
Die Umsetzung der NIS2-Maßnahmen muss dem BSI von besonders wichtigen Einrichtungen und Betreiber kritischer Anlagen alle zwei Jahre nachgewiesen werden. Die Zeitleiste dafür hängt von der eigenen Registrierung und dem Inkrafttreten der neuen Gesetze ab. Der Modus ist analog zu den bisherigen KRITIS-Prüfungen mit Audits, Prüfungen oder Zertifizierungen.
Pflicht | Betreiber kritischer Anlagen |
Besonders wichtige Einrichtung |
Wichtige Einrichtung |
---|---|---|---|
Nachweispflicht | §34 (1) §39 (2) | §34 (1) | - |
Inhalt | Maßnahmen Meldepflicht SzA |
Maßnahmen Meldepflicht |
- |
Frequenz | alle zwei Jahre | alle zwei Jahre | - |
Form | Audits | Audits | - |
Empfänger | BSI, ggf. BBK | BSI | - |
Die bisherigen KRITIS-Audits (und Zyklen) für Betreiber bleiben vorerst bestehen, es wird zwischen 2024 und 2028 sicherlich Übergangsfristen und den Versuch einer Synchronisation zum KRITIS-Dachgesetz geben. Nach Prognose werden 8.100 Einrichtungen und Betreiber in Zukunft regelmäßig auditiert werden müssen.
Besonders wichtige Einrichtungen
Besonders wichtige Einrichtungen (einschließlich Betreiber kritischer Anlagen) müssen dem BSI die Umsetzung der §30 (1) Maßnahmen und §31 Meldepflichten nach der Registrierung alle zwei Jahre nachweisen.
Der Nachweis kann durch Audits, Prüfungen oder Zertifizierungen
erfolgen, analog der bisherigen KRITIS-Prüfungen. §34 (1)
Der Zeitpunkt des (ersten/neuen) Nachweises wird vom BSI nach Registrierung festgelegt, spätestens vier Jahre nach Inkrafttreten des Gesetzes, d.h. zwischen 2024 und 2028.
Der Nachweis umfasst die festgestellten Mängel, einen Umsetzungsplan zur Beseitigung und ggf. Nachweise der Behebung von Mängeln. Im Gegensatz zu KRITIS-Prüfung werden die §34 Nachweisprüfungen nicht (unbedingt) auf eine bestimmte Anlage bzw. einen bestimmten Geltungsbereich beschränkt sein.
Das BSI kann Standards und Vorgaben für diese Nachweis-Prüfungen festlegen. §34 (2)
Betreiber kritischer Anlagen
Die Betreiber von kritischen Anlagen müssen, da sie auch besonders wichtige Einrichtungen sind, Nachweise durch Audits, Prüfungen oder Zertifizierungen
nach §34 alle zwei Jahre dem BSI nachweisen, wie bisher bei KRITIS-Prüfungen.
Zusätzlich müssen Betreiber kritischer Anlagen den Einsatz von Systemen zur Angriffserkennung (SzA) als Teil des Nachweises erbringen. §39 (2)
Fallen Betreiber auch unter das KRITIS-Dachgesetz (Resilienz), können sie die Nachweise nach §34 (1) und §39 (2) zum selben Zeitpunkt der Nachweise für das KRITIS-Dachgesetz (dort §11 (8)) erbringen. §39 (2)
Das BSI hat nach wie vor die Befugnis, von sich aus Betreiber kritischer Anlagen zu prüfen §39 (3) und Standards und Vorgaben für Nachweis-Prüfungen festzulegen. §39 (4).
Meldewesen
Mit der NIS2-Umsetzung kommen auf die betroffenen Einrichtungen umfangreiche Informations- und Meldepflichten zu, die über die KRITIS-Meldepflichten hinausgehen.
Meldung von Sicherheitsvorfällen
Besonders wichtige Einrichtungen (+ Betreiber kritischer Anlagen) und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen: §31
- Erstmeldung (
frühe
) bei erheblichen Sicherheitsvorfällen innerhalb von 24h - Meldung über einen erheblichen Sicherheitsvorfall innerhalb von 72h mit Bewertung der Erstmeldung (Schwere, Auswirkungen, Indikatoren)
- Zwischenmeldungen auf Nachfrage des BSI
- Abschlussmeldung oder Fortschrittsmeldung innerhalb eines Monats mit Beschreibung, Ursachen, Maßnahmen, grenzüberschreitenden Auswirkungen
- Vertrauensdienste müssen unverzüglich,
in jedem Fall innerhalb von 24 Stunden
melden - Betreiber kritischer Anlagen müssen zusätzlich die Anlagen, kritische Dienstleistung und Auswirkungen melden
Das BSI richtet die Meldemöglichkeit im Einvernehmen mit dem BBK ein – potenziell für das KRITIS-Dachgesetz.
Meldungen an Kunden und Öffentlichkeit
Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden (Empfänger ihrer Dienste
) zu unterrichten. §35 (1)
Einrichtungen aus den Sektoren Finanz- und Versicherungswesen, Informationstechnik und Telekommunikation, IKT-Dienste und Digitale Dienste müssen von einer erheblichen Cyberbedrohung
potenziell betroffene Kunden unverzüglich informieren, einschließlich möglicher Gegenmaßnahmen. §35 (2)
Das BSI meldet sich nach Möglichkeit
innerhalb von 24h bei Unternehmen nach Eingang der Meldung zurück, ggf. mit möglichen Nachfragen, Unterstütsungsangeboten und Informationen.
Falls eine Sensibilisierung der Öffentlichkeit erforderlich oder im öffentlichen Interesse ist, so kann das BSI Betreiber auffordern, dies zu tun.
Registrierung und Kontaktstelle
Einrichtungen und Betreiber müssen sich selbst identifizieren und beim BSI registrieren. Für bestimmte Unternehmen gelten spezielle Registrierungsregeln. §32 §33
Besonders wichtige und wichtige Einrichtung sowie DNS-Registries müssen sich innerhalb von drei Monaten beim BSI registrieren. Zu den Daten gehören Name, Rechtsform, Kontaktdaten, Mail/Telefon, IP-Adressbereiche, Sektor und Teilsektor, EU-Staaten mit Geschäftsaktivitäten. §32 (1)
Betreiber kritischer Anlagen müssen sich am ersten Werktag nach Identifikation kritischer Anlagen beim BSI registrieren und eine jederzeit erreichbare Kontaktstelle benennen. §32 (3)
Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries von sich aus registrieren, ebenfalls Betreiber kritischer Anlagen. Dazu kann das BSI Unterlagen und Einzelheiten anfordern, und das Verfahren noch genauer definieren. §32 (2) (4), (5-7)
Bestimmte Einrichtungen müssen sich bis zum 17. Januar 2025 beim BSI registrieren. §33 Dies umfasst EU-Betreiber, die in Deutschland nach §63 zentral vom BSI reguliert werden: DNS und TLD, Cloud Computing, Rechenzentren, CDNs, MSP und Managed Service und Security Service Provider, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke
Informationsaustausch
Besonders wichtige Einrichtungen müssen ab 1 Jahr nach Inkrafttreten des Gesetzes am Informationsaustausch über die zentrale Austauschplattform des BSI teilnehmen. §30 (10)
Staat und BSI
Aufsicht
Zuständigkeiten
Das BSI ist zuständig für besonders wichtige und wichtige Einrichtungen und Betreiber kritischer Anlagen in Deutschland: §62
- Besonders wichtige und wichtige Einrichtungen, die in Deutschland niedergelassen sind
- Betreiber kritischer Anlagen, die auf deutschem Hoheitsgebiet betrieben werden
Für bestimmte Betreiber, die in der Europäischen Union tätig sind und ihren Hauptsitz in Deutschland haben, ist das BSI für diese Einrichtungen zentral in der EU zuständig. §63
- DNS-Dienste, Domain Registries und TLD Registries
- Cloud Computing (Provider), Anbieter von Rechenzentren und Content Delivery Networks
- Managed Service und Managed Security Service Provider
- Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke
Überwachung
Das BSI hat für Einrichtungen Aufsichts- und Durchsetzungsmaßnahmen zur Überwachung der Vorgaben und Sicherstellung der Einhaltung. §64 §65
Für besonders wichtige Einrichtungen darf das BSI:
- Überprüfung der Umsetzung von Anforderungen bei den Einrichtungen §64 (1)
- Anweisungen zur Verhütung oder Behebung von Sicherheitsvorfällen §64 (2)
- Verbindliche Anweisungen der Umsetzung der Verpflichtung nach Gesetz §64 (3)
- Unterrichtung von Personen und Unternehmen durch die Einrichtungen über Maßnahmen gegen Cyberbedrohungen §64 (4)
- Überwachungsbeauftragter zur Überwachung der Pflichten nach §§28, 29, 37 (?) §64 (5)
- Entzug der Zulassung bei Nicht-Nachkommen von Anforderungen trotz Fristsetzung und Untersagung Leitungsaufgabe der Geschäftsführung §64 (6)
- und weiteres
Für wichtige Einrichtungen darf das BSI:
- Überprüfung der Einhaltung von Anforderungen (§30 Absatz 1 und §29) bei Einrichtungen, wenn das BSI Kenntnis erlangt §65 (1) und analog §64 Satz 2-4
- Verbindliche Anweisungen zur Umsetzung der Verpflichtung nach Gesetz §65 (1) Nr. 2
- Informationen anfordern um die Einhaltung zu Überprüfen §65 (2)
- Unterrichtung von Personen und Unternehmen durch die Einrichtungen über Maßnahmen gegen Cyberbedrohungen §65 (3)
Meldestelle
§4 legt das BSI als zentrale Meldestelle für Bundesbehörden, §5 als zentrale allgemeine Meldestelle für Sicherheit in der IT, §40 als zentrale Meldestelle für Betreiber kritischer Anlagen und Einrichtungen für fest. Das BSI darf deshalb zur Abwehr von Gefahren Informationen sammeln und auswerten und sich mit anderen Behörden austauschen.
Sanktionen und Bußgelder
Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §60. Die bisherigen KRITIS-Bußgelder werden dabei um einige neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht. Die Bußgelder und Sanktionen unterscheiden sich nach Gruppe:
- Persönliche Haftung von Geschäftsführern §38
- Allgemeine Tatbestände §60 (5)
- Bußgelder für wichtige Einrichtungen §60 (6)
- Bußgelder für Betreiber kritischer Anlagen und besonders wichtige Einrichtungen §60 (7)
Persönliche Haftung
Neben Bußgeldern für Unternehmen gibt es im NIS2-Umsetzungsgesetz auch persönliche Haftung von Geschäftsführern besonders wichtiger und wichtiger Einrichtungen §38.
Diese müssen die vorgeschriebenen Risikomanagement-Maßnahmen für Cybersicherheit billigen
und die Umsetzung in der Einrichtung überwachen. Eine Auslagerung dieser Aufgaben an Dritte ist nicht zulässig.
Verletzen Geschäftsleiter ihre Billigungs- und Überwachungspflicht, haften sie der Einrichtung für den entstandenen Schaden. Die Amtshaftung bleibt davon unberührt.
Allgemeine Tatbestände
Allgemeine Bußgeldtatbestände nach §60 (5) unterscheiden in der Bußgeldbewährung nicht zwischen den unterschiedlichen Betreiber-Gruppen.
Höhe | Verstöße |
---|---|
2 Mio. EUR |
|
500.000 EUR |
|
100.000 EUR |
|
Wichtige Einrichtungen
Folgende zusätzliche Bußgelder sind nach §60 (6) für wichtige Einrichtungen definiert.
Höhe | Verstöße |
---|---|
7 Mio. EUR oder 1,4 Prozent Umsatz |
|
500.000 EUR |
Registrierungspflicht bereits über allgemeine Bußgelder geregelt |
100.000 EUR |
|
Betreiber kritischer Anlagen und besonders wichtige Einrichtungen
Folgende zusätzliche Bußgelder sind nach §60 (7) für Betreiber kritischer Anlagen oder besonders wichtige Einrichtungen definiert.
Höhe | Verstöße |
---|---|
10 Mio. EUR oder 2 Prozent Umsatz |
|
500.000 EUR |
|
100.000 EUR |
|
Bundeseinrichtungen
Die Pflichten besonders wichtiger Einrichtungen sind auf Einrichtungen der Bundesverwaltung anzuwenden, sofern keine expliziten Abweichungen geregelt sind §29.
Einrichtungen der Bundesverwaltung im Sinne von NIS2 sind:
- Stellen des Bundes
- Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts
- Öffentliche Unternehmen, die mehrheitlich im Eigentum des Bundes stehen und die IT-Dienstleistungen für die Bundesverwaltung erbringen
Wichtig: Teile der Bundesverwaltung können parallel als besonders wichtige Einrichtung und teils auch als KRITIS reguliert werden. Hier bleiben die konkreten Festlegungen aus der Rechtsverordnung nach §57 abzuwarten.
Differenzierung und Ausschlüsse
Betreffende Einrichtungen der Bundesverwaltung werden wie folgt differenziert:
- Einrichtungen der Bundesverwaltung müssen die Anforderungen besonders wichtiger Einrichtungen aus Kapitel 2 (§§ 30-42) umsetzen §29 (2)
- Einrichtungen der Bundesverwaltung, die gemäß Rechtsverordnung nach §57 dem Sektor Zentralregierung angehören, müssen die Anforderungen aus Kapitel 2 umsetzen §29 (3)
- Einrichtungen der Bundesverwaltung, die besonders wichtige oder wichtige Einrichtungen sind, müssen Anforderungen aus Kapitel 2 (§§ 30-42) und Kapitel 3 umsetzen §29 (4)
Aus den regulierten Bundeseinrichtungen sind ausgeschlossen:
- Streitkräfte und militärischer Abschirmdienst
Anforderungen
Unter Berücksichtigung der genannten Differenzierung werden an alle Bundeseinrichtungen folgende Anforderungen an Cybersicherheit gestellt:
- alle Risikomanagementmaßnahmen nach §30
- Meldepflichten für Sicherheitsvorfälle nach §31
- Registrierungspflichten nach §32 §33
- Nachweispflichten nach §34
- Unterrichtungspflichten nach §35
- Billigungs- und Überwachungspflichten nach §38
- (§39 Angriffserkennung ist wohl nicht relevant)
Bundeseinrichtungen, die nach §28 besonders wichtige oder wichtige Einrichtungen sind, müssen zusätzlich erfüllen:
- Informationssicherheitsmanagement unter Berücksichtigung von IT-Grundschutz bzw. Mindeststandards für die Sicherheit der Informationstechnik des Bundes §43 §44 (1)
Steuerung
Es müssen weiterhin Strukturen auf Bundesebene und bei Einrichtungen geschaffen werden:
- Bundes-CISO: Es soll einen Koordinator für Informationssicherheit auf Bundesebene, gestellt durch die Bundesregierung geben. §48 §49 §50
- ISB von Einrichtungen der Bundesverwaltung ist für den Aufbau und die Aufrechterhaltung des Informationssicherheitsprozesses der Einrichtung verantwortlich §45
- ISB der Ressorts initiiert und koordiniert die Fortschreibung von Informationssicherheitsleitlinien für sein oder ihr Ressort §46
- ISB für wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes wegen der zunehmenden Bedeutung und Größe als eigene ISBs §47
Ausblick
Gesetzgebung
Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, NIS2UmsuCG, ändert das
BSI-Gesetz als Artikelgesetz deutlich, da die Anforderungen der Richtlinie deutlich über die Bestimmungen des IT-SiG 2.0 hinausgehen oder sie teilweise ersetzen
.
Das NIS2-Umsetzungsgesetz soll am 1. Oktober 2024 in Kraft treten, das bisherige BSIG dann außer Kraft. Seit Sommer 2023 sind Referentenentwürfe vom NIS2UmsuCG publik.
Version | Status | Datum | Akteur |
---|---|---|---|
NIS | Deadline nationale Umsetzung | Mai 2018 | Mitgliedstaaten |
IT-Sicherheitsgesetz 2.0 | Inkrafttreten | Mai 2021 | Bundesrat |
NIS2 | EU 2022/2555 Final | Dez 2022 | Amtsblatt |
NIS2-Umsetzungsgesetz | Referentenentwurf | Apr 2023 | Innenministerium |
NIS2-Umsetzungsgesetz | Referentenentwurf | Jul 2023 | Innenministerium |
NIS2-Umsetzungsgesetz | Verabschiedung | noch 2023? | Innenministerium |
Rechtsverordnung(en) | fehlt noch | bis Okt 2024 | Innenministerium |
NIS2-Umsetzungsgesetz | Inkrafttreten, geplant | Okt 2024 | Innenministerium |
NIS2 | Deadline Umsetzung | Okt 2024 | Mitgliedstaaten |
Evaluierung
In der NIS2-Umsetzung ist keine Evaluierung in Deutschland vorgesehen, da EU NIS2 selbst (Art. 40) durch die Europäische Kommission evaluiert werden soll, Begründung A. VII.
und eine (auf den Mitgliedstaat Deutschland isolierte) Evaluierung der Umsetzung nicht zielführend
sei.
Zu Art. 7
Zusätzlich wird im Umsetzungsgesetz die weitere Evaluierung des IT-Sicherheitsgesetzes 2.0 zum Mai 2025 gestrichen (aufgehoben).
Art. 7
Die Evaluierung dieser Vorschriften erübrigen sich, weil diese in weiten Teilen im Zuge der NIS-2-Umsetzung geändert
werden.
Zu Art. 7
Die Ergebnisse der teilweisen Evaluierung des IT-Sicherheitsgesetzes 2.0 flossen in das NIS2-Umsetzungsgesetz wohl ein, so die Begründung.
Auswirkungen
In Deutschland geht der Gesetzgeber von etwa 30.000 betroffenen Unternehmen in den verschiedenen Gruppen aus, von denen erst 40 Prozent im Grundsatz ausreichende
Maßnahmen ergriffen haben.
Abzüglich der bestehenden Betreiber haben laut Prognose über 14.500 Unternehmen damit (neuen) Handlungsbedarf.
Begründung A. VI.
Betreiber
Der Gesetzesentwurf prognostiziert betroffene Unternehmen:
- Besonders wichtige Einrichtungen: 8.100 Unternehmen
- davon 4.693 digitale Dienste und Betreiber Kritischer Infrastrukturen (KRITIS)
- davon rund 3.400 neue besonders wichtige Einrichtungen
- Wichtige Einrichtungen: 20.900 Unternehmen
Aufwände
Der Entwurf vom NIS2-Umsetzungsgesetz schätzt Aufwände für die Umsetzung von NIS2 in der Wirtschaft und der Verwaltung. Die Zahlen basieren auf einer Folgekostenschätzung des statistischen Bundesamts. Begründung A. IV.
Für die Wirtschaft:
- Jährlicher Erfüllungsaufwand von (
erhöht sich um
) 1,65 Mrd. EUR - Einmalige Aufwand von 1,37 Mrd. EUR
fast ausschließlich [zur] Einführung oder Anpassung digitaler Prozessabläufe
- davon 121 Mio. EUR Bürokratiekosten für Informationspflichten
Für die Bundesverwaltung:
- Planstellen noch nicht bekannt
Betreibergruppen
Die Zwei/Dreiteilung in Betreiber und Einrichtungen und das Beibehalten der kritischen Anlagen (KRITIS) wird mit dem Gleichklang mit dem KRITIS-Dachgesetz begründet, das Betreiber kritischer Anlagen reguliert.
Andererseits habe die Evaluierung ergeben, dass NIS2 zu einer so starken Ausweitung
von Betroffenheit führe, dass weiterhin eine differenzierte Bestimmung mit Fokus Versorgungsrelevanz erfolgen solle.
Zu §57 (1)
Fristen und Umsetzung
Im Gesetz sind verschiedene Fristen zur Umsetzung der Anforderungen vorgesehen. Das Gesetz NIS2UmsuCG selbst soll zum 1. Oktober 2024 in Kraft treten.
Besonders wichtige Einrichtungen
- Registrierung innerhalb von 3 Monaten nach Identifizierung §32 (1)
- Erstmaliger Nachweis über Maßnahmenumsetzung spätestens zu einem vom Bundesamt bei der Registrierung festgelegten Zeitpunkt: spätestens vier Jahre nach Inkrafttreten des Gesetzes §34 (1), d.h. zwischen 2024-2028.
- Fortlaufende Nachweise über Maßnahmenumsetzung anschließend alle 2 Jahre §34 (1)
- Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten §30 (10)
Wichtige Einrichtungen
- Registrierung innerhalb von 3 Monaten nach Identifizierung §32 (1)
Betreiber kritischer Anlagen
- Registrierung am nächsten Werktag nach Identifizierung §32 (3)
- Erstmaliger Nachweis über Maßnahmenumsetzung spätestens zu einem vom BSI (oder BBK im DachG) bei der Registrierung festgelegten Zeitpunkt: spätestens vier Jahre nach Inkrafttreten des Gesetzes §34 (1), d.h. zwischen 2024-2028.
- Fortlaufende Nachweise über Maßnahmenumsetzung anschließend alle 2 Jahre §34 (1)
- Teilnahme am Informationsaustausch innerhalb eines Jahres nach Inkrafttreten §30 (10)
Rechtsverordnung
Verschiedene Anforderungen aus dem NIS2UmsuCG sollen durch eine oder mehrere Rechtsverordnungen konkretisiert oder definiert werden: §57
- Die relevanten Sektoren und Dienstleistungen (KRITIS und NIS2), Anlagen und Schwellenwerte (KRITIS) sowie Einrichtungsarten und Größenregeln (NIS2).
- Als kritisch anzusehende Dienstleistungen, deren Versorgungsgrad sowie welche Anlagen oder Teile davon als kritische Anlagen im Sinne des Gesetzes gelten §57 (1) 1
- Konkrete Einrichtungsarten, die besonders wichtige Einrichtungen sind §57 (1) 2
- Konkrete Einrichtungsarten, die wichtige Einrichtungen sind §57 (1) 3
- Details über die Erteilung von Sicherheitszertifikaten und Anerkennung nach §54 §57 (2)
- Einzelheiten des IT-Sicherheitskennzeichens nach §52, sowie Feststellung der Eignung branchenabgestimmter IT-Sicherheitsvorgaben und der Freigabe §57 (3)
- Produkte, Dienste oder Prozesse, die von besonders wichtigen oder wichtige Einrichtungen eingesetzt werden, die über eine Zertifizierung §30 (9) verfügen müssen §57 (4)
Die Rechtsverordnung soll im Einklang mit dem KRITIS-Dachgesetz definiert werden und Betreiber und Einrichtungen in einer Verordnung zusammenfassen, damit betroffene Unternehmen zentral in einer Tabelle
relevante Kategorien und Schwellenwerte finden.
Versorgungsgrad und Schwellenwerte werden wohl analog der bisherigen KRITIS-Anlagen definiert, Einrichtungen, Sektoren und Dienstleistungen noch offen.
Zu §57 (1)
Ein Entwurf der Rechtsverordnung(en) ist noch nicht verfügbar.
EU-Vorgaben und Umsetzungsakte
Die EU-Kommission kann zur Definition der §30 (4) Maßnahmen noch eigene Vorgaben durch Durchführungsrechtsakte
(Implementing Acts) erlassen, welche dann Vorrang vor nationalem Recht hätten.
Falls dies nicht eintritt, soll das Bundesinnnenministerium selbst technische, methodische und sektorale Definitionen zur Konkretisierung erlassen.
Branchenstandards
Besonders wichtige Einrichtungen, d.h. auch Betreiber kritischer Anlagen, können weiterhin branchenspezifische Sicherheitstandards (B3S) zur Umsetzung der §30 (1) Maßnahmen vorschlagen. Das BSI stellt die Eignung der B3S fest. §30 (12)
Auswirkung auf weitere Gesetze
Telekommunikationsgesetz
Bis jetzt sind nur aktualisierte Verweise enthalten – inhaltliche Veränderungen noch nicht.
Energiewirtschaftsgesetz
Der Entwurf von April 2023 sah noch vor, dass die geteilte Regulierung von Energiebetreibern durch BNetzA und BSI zentralisiert werden soll. Der neuere Entwurf von Juli 2023 geht revers – nach letztem Stand ist vorgesehen, dass die Regulierung wie bislang bei der BNetzA verbleibt. § 11 (1a)-(1c) EnWG werden lediglich bezüglich der Risikomanagementmaßnahmen und Meldepflichten konkretisiert.
Weitere Gesetze
Gesetz | Änderung | NIS2UmsuCG |
---|---|---|
BSI-Gesetz | Komplette Änderungen oben | Art. 1 |
BSI-Gesetz | Ermächtigung Rechtsverordnung | Art. 2 |
BND-Gesetz, SÜFV, TTDSG, GleibWV | Verweise | Art. 3-6 |
IT-Sicherheitsgesetz 2.0 | Evaluierung zum 1. Mai 2025 gestrichen | Art. 7 |
BSIZertV, BSI-ITSiKV, De-Mail-Gesetz, PassDEÜV, PAuswV, KassenSichV, ATG, | Verweise | Art. 8-15 |
EnWG | Änderungen siehe oben | Art. 16 |
MsbG, EnSiG, SGB V, DiGAV , SGB VI, BFSGV, TKG, KHSFV, MessEV, AWV, VDG, | Verweise und Definitionen | Art. 17-27 |
Weitere Informationen
Literatur
- Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
- Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022
Quellen
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Intrapol, 3. April 2023
- Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022