Das NIS2 Umsetzungsgesetz

Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit liegt seit Frühling 2023 als Entwurf vor, als NIS2UmsuCG. EU NIS2 definiert Mindest­standards für Cybersecurity, die vom Umsetzungsgesetz in die deutsche KRITIS-Regulierung überführt werden. Die Betroffenheit der deutschen Wirtschaft steigt deutlich – ebenso Cybersecurity-Anforderungen und Befugnisse des BSI.

  1. Betreiber
  2. Cybersicherheit
  3. Produkte
  4. Staat und BSI
  5. Roadmap

Ein Referentenentwurf zum Stand April 2023 des NIS2-Umsetzungsgesetzes liegt vor und muss nach Abstimmung in der Bundesverwaltung noch die Gesetzgebung auf Bundesebene durchlaufen. Das NIS2UmsuCG ist ein Änderungsgesetz, das die Artikel des BSI-Gesetzes deutlich umstrukturiert, ändert und ergänzt. Parallel wird das KRITIS-Dachgesetz Resilienz bei kritischen Betreibern regulieren.

Die Ausführungen beruhen auf einer Entwurfsversion von April 2023 von intrapol.org. Der Entwurf selbst und die Analysen unten sind als work in progress mit Vorsicht zu genießen.

Die Umsetzung von NIS2

Neue KRITIS-Regulierung in 2023

Das NIS2-Umsetzungsgesetz ändert die deutsche KRITIS-Regulierung deutlich – neben den (bisherigen) Betreibern kritischer Anlagen gibt es nun die besonders wichtigen und wichtigen Einrichtungen. Die Pflichten für Cybersicherheit bei betroffenen Unternehmen steigen und gehen über die bisherigen KRITIS-Pflichten hinaus.

Die bestehende KRITIS-Regulierung wird durch die NIS2-Umsetzung deutlich erweitert, die verschiedenen Gruppen an Betreibern führen zu einem Mehrklassen-System an Betreibern (und ggf. Unternehmensteilen) mit unterschiedlichen Stufen von Pflichten.

up

Betroffene Unternehmen

NIS2-Betreiber in Deutschland

Es gibt zwei Hauptgruppen von betroffenen Unternehmen in der NIS2-Umsetzung, die im neuen BSI-Gesetz reguliert werden. Diese beiden Gruppen müssen viele (teils neue) Cybersecurity-Pflichten erfüllen, die über bisherige KRITIS-Pflichten hinausgehen.

  1. Betreiber kritischer Anlagen (KRITIS-Betreiber) §28 (2-2c) müssen mit KRITIS-Methodik die Betroffenheit einzelner Anlagen nach KRITIS-Verordnung feststellen.
  2. Besonders wichtige §28 (3) und wichtige Einrichtungen §28 (4) werden nach Größe des Unternehmens identifiziert, es gibt dabei mittlere und große Unternehmen:
    1. Mittlere Unternehmen
      50 bis 249 Mitarbeiter und Umsatz bis zu 50 Mio. EUR oder Bilanz bis zu 43 Mio EUR
    2. Großunternehmen
      Mindestens 250 Mitarbeiter oder 50 Mio. EUR Umsatz oder Bilanz ab 43 Mio EUR

Neben den kritischen Betreibern und Einrichtungen werden auch Bundeseinrichtungen vom BSI-Gesetz mit bestimmten Pflichten reguliert. §27 Einige andere Betreiber (digitale Dienste, UBI) gehen in die Gruppe der Einrichtungen 2 auf.

Das BSI ist zuständig für Betreiber und Einrichtungen in Deutschland; bei bestimmten IT-Unternehmen, die in der EU tätig sind und ihren Hauptsitz in Deutschland haben, soll das BSI zentral innerhalb der EU zuständig sein. Einige andere Unternehmen werden (bleiben) von weiteren Aufsichtsbehörden reguliert – BNetzA, BaFin.

up

Betreiber kritischer Anlagen (KRITIS)

Die bisherigen KRITIS-Betreiber (Kritische Infrastrukturen) sind in der NIS2-Umsetzung als Betreiber kritischer Anlagen definiert. §28 (2) Diese Betreiber sind eine eigene Klasse an Unternehmen, die in KRITIS-Sektoren so genannte kritische Dienstleistungen auf einzeln definierten KRITIS-Anlagen erbringen. Die deutsche KRITIS-Logik bleibt hier bestehen.

eigene Zusammenstellung
* - geht über KRITIS hinaus
Kategorie Sektoren
Kritische Anlagen KRITIS: Energie, Verkehr und Transport, Trinkwasser, Abwasser,
Gesundheitsweisen, Ernährung, Siedlungsabfallentsorgung,
Bankwesen, Finanzmärkte, Digitale Infrastruktur*

Die Sektoren der Betreiber werden in NIS2 leicht erweitert und teils auch umbenannt – unter anderen Digitale Infrastruktur, die leicht über Sektor IKT hinausgeht. Die Pflichten für Betreiber bleiben im Grunde bestehen (Identifikation, Registrierung, Meldungen bis zu Nachweisen), werden durch NIS2 aber leicht geändert.

Wichtig: Die Betreiber kritischer Anlagen werden automatisch auch zu Unternehmen der neuen NIS2-Gruppe besonders wichtigen Einrichtungen und erben damit auch deren Pflichten. §28 (3) Nr. 4

up

Besonders wichtige und wichtige Einrichtungen

Durch die NIS2-Umsetzung kommen zu den Betreibern kritischer Anlagen (KRITIS-Betreiber) zwei Gruppen von Unternehmen (Einrichtungen) hinzu §28 (3)-(4) – die besonders wichtigen Einrichtungen und wichtige Einrichtungen, mit eigenen Sektoren und Definitionen. Weitere Betreiber und auch KRITIS-Betreiber ordnen sich in diese Gruppen dann auch ein.

Es ist alles eher kompliziert.

Übersicht

Die besonders wichtigen Einrichtungen sind Großunternehmen bestimmter Sektoren, einige Unternehmen unabhängig ihrer Größe und KRITIS-Betreiber. Die wichtigen Einrichtungen sind sowohl Großunternehmen und mittlere Unternehmen in vielen Sektoren sowie weitere Unternehmen unabhängig ihrer Größe.

eigene Zusammenstellung
Kategorie Größe Sektoren
Besonders wichtig
§28 (3)
Großunternehmen Annex I: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Bankwesen, Finanzmärkte, Digitale Infrastruktur, IKT-Dienste, Weltraum
unabhängig Qualifizierte Vertrauensdienste, TLD-Registries, DNS-Dienste
Mittlere Unternehmen Anbieter öffentlicher TK-Netze und TK-Dienste
unabhängig Betreiber kritischer Anlagen (KRITIS-Betreiber)
unabhängig Zentralregierung (Bundesministerien und Bundeskanzleramt)
Wichtig
§28 (4)
Mittlere Annex I: Energie, Verkehr und Transport, Trinkwasser, Abwasser, Gesundheitsweisen, Bankwesen, Finanzmärkte, Digitale Infrastruktur, IKT-Dienste, Weltraum
Großunternehmen
Mittlere Unternehmen
Annex II: Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, digitale Dienste, Forschung
unabhängig Vertrauensdienste
unabhängig Hersteller Rüstungsgüter und VS-IT (UBI 1)
unabhängig Betreiber Betriebsbereich obere Klasse (UBI 3)

Unternehmensgröße

Die Einrichtungen werden nach Unternehmensgröße unterschieden – die Definitionen von Großunternehmen §2 (1) Nr. 12 und mittleren Nr. 23 divergieren etwas. Bei mittleren Unternehmen zählen Mitarbeiter und zusätzlich Umsatz oder Bilanz, bei Großunternehmen Mitarbeiter oder Umsatz oder Bilanz.

Unternehmen Mitarbeiter Umsatz Bilanz
Mittlere Unternehmen 50-249 und < 50 Mio. EUR oder < 43 Mio. EUR
Großunternehmen ≥ 250 oder ≥ 50 Mio. EUR oder ≥ 43 Mio. EUR

De facto gibt es damit zwei Gruppen von Großunternehmen – a) über 250 Mitarbeitern und b) über 50 Mio EUR Umsatz bzw. 43 Mio EUR Bilanz.

up

Auswirkungen auf Unternehmen

Die Auswirkungen des NIS2-Umsetzungsgesetzes werden in großen Teilen der deutschen Wirtschaft spürbar werden – vor allem in der sehr großen Gruppe der Einrichtungen. Es gibt jedoch Unterschiede in der Betroffenheit und konkreten Pflichten.

eigene Zusammenstellung, Stand April 2023
* - implizit, da Betreiber kritischer Anlagen auch besonders wichtige Einrichtungen sind
Pflicht Betreiber kritischer
Anlagen
Besonders wichtige
Einrichtung
Wichtige
Einrichtung
Geltungsbereich Anlage(n) Unternehmen Unternehmen
Maßnahmen (Risikomanagement) §30
Höhere Maßstäbe §30 (3)
Besondere Maßnahmen (SzA) §39
Registrierung §32 §33
Meldepflichten §31
Nachweise §34 *
Informationsaustausch §35 §36 *
Governance Leitungsorgane §38 *

Geltungsbereich

Der genaue Geltungsbereich bei betroffenen Unternehmen für Maßnahmen (§§ 30-39) ist (noch) nicht exakt ausformuliert. Bei Betreibern kritischer Anlagen scheinen die Anlagen weiter der Scope zu sein, bei den besonders wichtigen und wichtigen Einrichtungen dann (wahrscheinlich) das ganze Unternehmen in Form der registrierten Legaleinheit.

Wie das in weiteren Entwürfen oder der Rechtsverordnung bestehen bleibt, wird sich zeigen. Der Geltungsbereich bestimmt der Aufwand bei der Umsetzung von Maßnahmen, Nachweise und Prüfungen

Ausschlüsse

Für einige Betreiber gibt es bestimmte Ausnahmen zu den NIS2-Maßnahmen:

  1. Von §30 (1) ausgeschlossen sind: DNS, TLD, Cloud-Computing, Rechenzentren, Content Delivery Networks, Managed Services und Managed Security Services, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke und Vertrauensdienste §30 (5)
  2. Betreiber öffentlicher TK-Netze und TK-Dienste sind von §31 und §32 ausgeschlossen
  3. Die gematik ist von §31 und §32 ausgeschlossen
  4. Bestimmte Einrichtungen dürfen zur Wahrung nationaler Sicherheitsinteressen durch die Bundesregierung von §31, §32 und §33 befreit werden nach §37
  5. Von den besonders wichtigen und wichtigen Einrichtungen ausgeschlossen werden Einrichtungen gem. Art. 2 (4) der Verordnung (EU) 2022/2554 (DORA)

Unternehmen im besonderen öffentlichen Interesse

Die Unternehmen im besonderen öffentlichen Interesse (UBI) fallen als separate Kategorie weg und gehen in den wichtigen Einrichtungen auf. Die UBI wurden im IT-Sicherheitsgesetz 2.0 in drei Gruppen definiert:

up

Cybersecurity

Pflichten von Betreibern und Einrichtungen

Die Anforderungen an Betreiber und Einrichtungen ändern sich mit der NIS2-Umsetzung deutlich. Die bisherigen KRITIS-Pflichten bleiben in Grundzügen erhalten, werden teils präzisiert, teils verschärft und neu struktureirt.

In Kapitel 2 vom NIS2UmsuCG werden diese Pflichten aus dem BSI-Gesetz neu strukturiert und umfassen für Betreiber und Einrichtungen mindestens:

Die Auswirkungen und Regelungsbedarf unterscheiden sich zwischen Betreibern kritischer Anlagen (KRITIS) und auch zwischen den beiden Gruppen von Einrichtungen. Es bestehen Unterschiede im Geltungsbereich (kritische Anlage bei den Betreibern, Unternehmen bei den Einrichtungen) und der Auswahl geeigneter Maßnahmen

up

Risikomanagement

Besonders wichtige und wichtige Einrichtungen müssen technische und organisatorische Maßnahmen ergreifen, um die IT und Prozesse ihrer Dienste zu schützen, Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen gering zu halten. §30 (1)

Maßnahmen

Die von Betreibern und Einrichtungen umzusetzenden Maßnahmen müssen auf einem gefahrenübergreifenden Ansatz beruhen, der IT, Komponenten, Prozesse und Umwelt dieser Systeme vor Sicherheitsvorällen schützt. Die Maßnahmen müssen mindestens die folgenden Themen umfassen – welche von der EU noch erweitert werden könnten: §30 (4)

Eine genaue Konkretisierung der Maßnahmen ist noch nicht bekannt.

Angemessenheit

Die Maßnahmen müssen dem Risiko angemessen sein und den Stand der Technik einhalten. Sie sollen internationale und europäische Normen einhalten und dabei Umsetzungs­kosten vor dem Hintergrund gesellschaftlicher und wirtschaftlicher Auswirkungen von Ausfällen berücksichtigen. §30 (2)

Betreiber kritischer Anlagen

Für Betreiber kritischer Anlagen gelten bei der Auswahl von Maßnahmen und Bewertung der Angemessenheit höhere Maßstäbe zum Schutz der IT, Komponenten und Prozesse der betriebenen Anlagen. §30 (3)

Betreiber kritischer Anlagen müssen darüberhinaus weitere Anforderungen umsetzen:

up

Nachweise und Prüfungen

Die Umsetzung von Cybersecurity Maßnahmen muss dem BSI nachgewiesen werden.

Besonders wichtige Einrichtungen

Besonders wichtige Einrichtungen (einschließlich Betreiber kritischer Anlagen) müssen dem BSI die Umsetzung der §30 (1) Maßnahmen nach der Registrierung und dann alle zwei Jahre nachweisen. Der Nachweis kann durch Audits, Prüfungen oder Zertifizierungen erfolgen, analog der bisherigen KRITIS-Prüfungen. §34

Der Nachweis umfasst die festgestellten Mängel, einen Umsetzungsplan zur Beseitigung und ggf. Nachweise der Behebung von Mängeln. Im Gegensatz zu KRITIS-Prüfung werden die §34 Nachweisprüfungen nicht (unbedingt) auf eine bestimmte Anlage bzw. einen bestimmten Geltungsbereich beschränkt sein.

Betreiber kritischer Anlagen

Die Betreiber von kritischen Anlagen müssen, da sie auch besonders wichtige Einrichtungen sind, den Nachweis der §30 (1) Maßnahmen ebenfalls alle zwei Jahre dem BSI nachweisen.

Der Nachweis von Betreibern kritischer Anlagen soll analog der bisherigen KRITIS-Prüfungen erfolgen durch Audits, Prüfungen oder Zertifizierungen. Zusätzlich müssen Betreiber kritischer Anlagen die Umsetzung von Systemen zur Angriffserkennung (SzA) als Teil des Nachweises erbringen. §39 (3)

Das BSI hat nach wie vor die Befugnis, von sich aus Betreiber kritischer Anlagen zu prüfen §39 (3) und Standards und Vorgaben für Nachweis-Prüfungen festzulegen. §39 (4) (5?).

up

Informationen und Meldewesen

Mit der NIS2-Umsetzung kommen auf die betroffenen Einrichtungen umfangreiche Informations- und Meldepflichten zu.

Meldung von Sicherheitsvorfällen

Besonders wichtige und wichtige Einrichtungen müssen dem BSI Sicherheitsvorfälle melden – in sehr kurzen Fristen (24h) und mit stufenweisen Folgemeldungen: §31

Die vom BSI eingerichtet Meldemöglichkeit soll (ist?) im Einvernehmen mit dem BBK eingerichtet werden – potenziell für das KRITIS-Dachgesetz.

Meldungen an Kunden und Öffentlichkeit

Bei erheblichen Sicherheitsvorfällen kann das BSI besonders wichtige und wichtige Einrichtungen anweisen, ihre Kunden (Empfänger ihrer Dienste) zu unterrichten. §35

Einrichtungen aus dem Bankweisen, Digitalen Infrastruktur, Managed Services und Digitale Dienste müssen von einer erheblichen Cyberbedrohung potenziell betroffene Kunden unverzüglich informieren, einschließlich möglicher Gegenmaßnahmen. §35 (2)

Das BSI meldet sich nach Möglichkeit innerhalb von 24h bei Unternehmen nach Eingang der Meldung zurück, ggf. mit möglichen Nachfragen, Unterstütsungsangeboten und Informationen. Falls eine Sensibilisierung der Öffentlichkeit erforderlich oder im öffentlichen Interesse ist, so kann das BSI Betreiber auffordern, dies zu tun.

Registrierung

Einrichtungen und Betreiber müssen sich selbst identifizieren und beim BSI registrieren. Für bestimmte Unternehmen gelten spezielle Registrierungs­regeln. §32 §33

Besonders wichtige und wichtige Einrichtung sowie DNS-Registries müssen sich innerhalb von drei Monaten beim BSI registrieren. Zu den Daten gehören Name, Rechtsform, Kontaktdaten, Mail/Telefon, IP-Adressbereiche (!), Sektor und Teilsektor, EU-Staaten mit Geschäftsaktivitäten. §32 (1)

Betreiber kritischer Anlagen müssen sich direkt nach Identifikation kritischer Anlagen beim BSI registrieren (am ersten Werktag danach). §32 (3)

Das BSI kann besonders wichtige und wichtige Einrichtung sowie DNS-Registries von sich aus registrieren, ebenfalls Betreiber kritischer Anlagen. Dazu kann das BSI Unterlagen und Einzelheiten anfordern, und das Verfahren noch genauer definieren. §32 (2) (4), (5-7)

Bestimmte Einrichtungen müssen sich bis zum 17. Januar 2025 beim BSI registrieren. §33 Dies umfasst EU-Betreiber, die in Deutschland nach §63 zentral vom BSI reguliert werden: DNS und TLD, Cloud Computing, Rechenzentren, CDNs, MSP und Managed Service und Security Service Provider, Online-Marktplätze, Online-Suchmaschinen, soziale Netzwerke

Informationsaustausch

Besonders wichtige Einrichtungen müssen am Informationsaustausch über die zentrale Austauschplattform des BSI (BISP) teilnehmen.

up

Standards und Produkte

Vorgaben

EU-Vorgaben und Umsetzungsakte

Die EU-Kommission kann zur Definition der §30 (4) Maßnahmen noch eigene Vorgaben durch Durchführungs­rechtsakte (Implementing Acts) erlassen, welche dann Vorrang vor nationalem Recht hätten. Falls dies nicht eintritt, soll das Bundes­innnenministerium selbst technische, methodische und sektorale Definitionen zur Konkretisierung erlassen.

Branchenstandards

Besonders wichtige Einrichtungen, d.h. auch Betreiber kritischer Anlagen, können weiterhin branchenspezifische Sicherheitstandards (B3S) zur Umsetzung der §30 (1) Maßnahmen vorschlagen.

up

Produkte

Zertifizierte Produkte

Verwenden besonders wichtige oder wichtige Einrichtungen ein bestimmtes IKT-Produkt, Dienst oder Prozess, die in der Rechtsverordnung nach §57 (6) bestimmt werden, müssen diese über eine Cybersicherheits­zertifizierung gemäß Art. 49 der EU-Verordnung 2019/881 verfügen §30 (9) (9a).

Welche Produkte, Dienste oder Prozesse konkret betroffen sein werden, hängt dann noch von der Verordnung ab.

Qualität von Produkten

Zur Gewährleistung der Sicherheit der Lieferkette (§30 (4) 4) müssen besonders wichtige Einrichtungen die spezifischen Schwachstellen von Anbietern und Diensteanbietern sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis inkl. der Sicherheit der Entwicklungsprozesse berücksichtigen §30 (8).

Dabei muss die koordinierte Risikobewertung kritischer Lieferketten auf Ebene der Union (Art. 22 NIS2-Richtlinie) berücksichtigt werden.

Kritische Komponenten

Der Einsatz so genannter kritischer Komponenten muss durch Betreiber kritischer Anlagen (KRITIS-Betreiber) dem Innenministerium gemeldet werden §41 (1). Kritische Komponenten und Funktionen müssen in Gesetzen festgelegt werden – bis jetzt nur im TK-Sektor durch das TKG 2021.

Das Innenministerium darf den Einsatz kritischer Komponenten untersagen: §41 (2) (4)

Die kritischen Komponenten dürfen in KRITIS-Anlagen nur mit einer Garantieerklärung der Vertrauenswürdigkeit des Herstellers eingesetzt werden. Die Erklärung muss Mindestanforderungen des Innenministeriums erfüllen und ist von KRITIS-Betreibern dem Innenministerium bei der Anzeige vom Einsatz in KRITIS-Anlagen vorzulegen. §41 (3)

Der Einsatz bestimmter Komponenten oder Hersteller darf bei schwerwiegenden Verstößen auch längerfristig untersagt werden. §41 (6) (7)

up

Staat und BSI

Aufsicht

Zuständigkeiten

Das BSI ist zuständig für besonders wichtige und wichtige Einrichtungen und Betreiber kritischer Anlagen in Deutschland: §62

Für bestimmte Betreiber, die in der Europäischen Union tätig sind und ihren Hauptsitz in Deutschland haben, ist das BSI für diese Einrichtungen zentral in der EU zuständig. §63

Überwachung

Das BSI hat für Einrichtungen Aufsichts- und Durchsetzungs­maßnahmen zur Überwachung der Vorgaben und Sicherstellung der Einhaltung. §64 §65

Für besonders wichtige Einrichtungen darf das BSI:

Für wichtige Einrichtungen darf das BSI:

Meldestelle

§4 legt das BSI als zentrale Meldestelle für Bundesbehörden, §5 als zentrale allgemeine Meldestelle für Sicherheit in der IT, §40 als zentrale Meldestelle für Betreiber kritischer Anlagen und Einrichtungen für fest. Das BSI darf deshalb zur Abwehr von Gefahren Informationen sammeln und auswerten und sich mit anderen Behörden austauschen.

up

Sanktionen und Bußgelder

Das NIS2-Umsetzungsgesetz definiert Bußgeldvorschriften in §60 (fälschlicherweise §59 im Entwurf?). Die bisherigen KRITIS-Bußgelder werden dabei um einige neue Tatbestände erweitert und bestehende Bußgelder teils deutlich erhöht. Die Bußgelder und Sanktionen differenzieren zwischen den verschiedenen Gruppen von Betreibern:

Persönliche Haftung

Neben Bußgeldern für Unternehmen gibt es im NIS2-Umsetzungsgesetz auch persönliche Haftung von Geschäftführern besonders wichtiger und wichtiger Einrichtungen §38. Diese müssen die vorgeschriebenen Risikomanagement-Maßnahmen für Cybersicherheit billigen und die Umsetzung in der Einrichtung überwachen. Eine Auslagerung dieser Aufgaben an Dritte ist nicht zulässig.

Verletzen Geschäftsleiter ihre Billigungs- und Überwachungspflicht, haften sie der Einrichtung für den entstandenen Schaden. Die Amtshaftung bleibt davon unberührt.

Allgemeine Tatbestände

Allgemeine Bußgeldtatbestände nach §60 (5) unterscheiden in der Bußgeldbewährung nicht zwischen den unterschiedlichen Betreiber-Gruppen.

eigene Zusammenstellung, Stand April 2023
Höhe Verstöße
2 Mio. EUR
  • Hersteller von IT-Systemen: durch das BSI angewiesene Mitwirkung an der Wiederherstellung der Sicherheit oder Funktionsfähigkeit eines IT-Systems wird verweigert §11 (6
  • TK-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen §16 (1) 1 auch i.V.m. §16 (1) 3
  • TMD-Anbieter: durch das BSI angewiesene Maßnahmen zur Abwehr konkreter erheblicher Gefahren werden nicht getroffen §17
  • Besonders wichtige Einrichtungen: durch das BSI verlangte Dokumentationen, Mängelbeseitigungspläne oder Nachweise werden nicht vorgelegt bzw. Sicherheitsmängel nicht beseitigt §34 (1) Satz 5
Hinweis: Anwendung von §30 (2) 3 OWiG
500.000 EUR
  • Zuwiderhandlung gegen Anordnung §40 (6) 1 auch i.V.m. §40 (6) 2
  • Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt
  • Tätigwerden als Konformitätsbewertungsstelle ohne Genehmigung
  • Verwendung des IT-Sicherheitskennzeichen ohne Freigabe
  • Vorgabe, Inhaber einer Zertifizierung zu sein, ohne dass diese besteht
  • Vorgabe, Inhaber eines europäischen Cybersicherheitszertifikats oder Aussteller einer EU-Konformitätserklärung zu sein, obwohl diese nicht besteht, wiederrufen oder für ungültig erklärt wurde
Hinweis: §40 (6) ist im aktuellen Entwurf nicht enthalten
100.000 EUR
  • Zuwiderhandlung durch Hersteller gegen Anordnung zur Auskunft zu Produkten und Sytemen, insb. auch technischen Details §14 (2) 1
  • Nachweise werden nicht oder nicht rechtzeitig erbracht

Wichtige Einrichtungen

Folgende zusätzliche Bußgelder sind nach §60 (6) für wichtige Einrichtungen definiert.

eigene Zusammenstellung, Stand April 2023
Höhe Verstöße
7 Mio. EUR oder
1,4% Umsatz
  • Vorkehrungen zur Cybersicherheit nicht richtig, nicht vollständig oder nicht rechtzeitig getroffen
  • Meldungen erfolgen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig
500.000 EUR
  • Nachweise über Erfüllung der Anforderungen werden nicht oder nicht rechtzeitig erbracht
  • Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt
  • Informationen zur Bewältigung einer Störung werden nicht herausgegeben
Hinweis: Nachweiserbringung nach §34 (1) 1 oder §39 (2) 1 und Informations­herausgabe nach §40 (4a) 1 eigentlich nicht relevant für wichtige Betreiber.
Registrierungs­pflicht bereits über allgemeine Bußgelder geregelt
100.000 EUR
  • Änderungen notwendiger Angaben werden nicht fristgerecht übermittelt
  • Verbindlichen Anweisungen zur Umsetzung der Gesetzesanforderungen nach §65 (1) 2 wird nicht nachgekommen
  • Anweisungen zur Veröffentlichung von Verstößen nach §65 (3) wird nicht nachgekommen

Betreiber kritischer Anlagen und besonders wichtige Einrichtungen

Folgende zusätzliche Bußgelder sind nach §60 (7) für Betreiber kritischer Anlagen oder besonders wichtige Einrichtungen definiert.

eigene Zusammenstellung, Stand April 2023
Höhe Verstöße
10 Mio. EUR oder
2% Umsatz
  • Nachweise über Erfüllung der Anforderungen werden nicht richtig oder nicht vollständig erbracht
  • Vorkehrungen zur Cybersicherheit werden nicht richtig, nicht volländig oder nicht rechtzeitig getroffen
  • Nachweise über Erfüllung der Anforderungen werden nicht oder nicht rechtzeitig erbracht
  • Meldungen erfolgen nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig
500.000 EUR
  • Das Betreten eines Raums wird nicht gestattet, eine Unterlage wird nicht oder nicht rechtzeitig vorgelegt, eine Auskunft wird nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder Unterstützung wird nicht oder nicht rechtzeitig gewährt
  • Registrierung wird nicht oder nicht rechtzeitig vorgenommen oder erforderliche Stelle nicht oder nicht rechtzeitig benannt
  • Änderungen notwendiger Angaben werden nicht fristgerecht übermittelt
  • Informationen zur Bewältigung einer Störung werden nicht herausgegeben
  • Verbindlichen Anweisungen zur Umsetzung der Gesetzesanforderungen nach §64 (3) wird nicht nachgekommen
100.000 EUR
  • Kontaktstelle ist nicht erreichbar
  • Anweisungen zur Veröffentlichung von Verstößen nach §64 (4) oder Mitwirkungspflichten eines Überwachungsbeauftragten nach §64 (5) wird nicht nachgekommen
Hinweis: Erreichbarkeit der Kontaktstelle und Herausgabe von Informationen zur Störungsbewältigung nur für KRITIS-Betreiber relevant

up

Bundeseinrichtungen

Die Pflichten besonders wichtiger Einrichtungen sind auf Einrichtungen der Bundes­verwaltung anzuwenden, sofern keine expliziten Abweichungen geregelt sind §29 (fälschlicherweise §27 im Entwurf?).

Einrichtungen der Bundesverwaltung im Sinne von NIS2 sind:

Wichtig: Teile der Bundesverwaltung können parallel als besonders wichtige Einrichtung und teils auch als KRITIS reguliert werden.

Differenzierung und Ausschlüsse

Betreffende Einrichtungen der Bundesverwaltung werden wie folgt differenziert:

Aus den regulierten Bundeseinrichtungen werden folgende ausgeschlossen:

Anforderungen

Unter Berücksichtigung der genannten Differenzierung werden an alle Bundeseinrichtungen folgende Anforderungen an Cybersicherheit gestellt:

Bundeseinrichtungen, die der Zentralregierung angehören, müssen zusätzlich erfüllen:

Steuerung

Es soll einen Koordinator für Informationssicherheit auf Bundesebene, gestellt durch die Bundesregierung geben – einen Bundes-CISO. §48§49§50 Einrichtungen der Bundesverwaltung müssen auf verschiedenen Ebenen einen ISB inkl. Vertretung bestellen:

up

Roadmap

Gesetzgebung

Das IT-Sicherheitsgesetz 2.0 nahm 2021 einige Änderungen von NIS2 schon vorweg — neue Sektoren, mehr Cyber Security Anforderungen und Sanktionen. Andere Vorkehrungen, die Betroffenheit mittlerer und großer Unternehmen und bestimmte Maßnahmen, fehlten jedoch noch und müssen durch ein Änderungs­gesetz noch umgesetzt werden.

Das Gesetz zur Umsetzung von EU NIS2 und Stärkung der Cybersicherheit, NIS2UmsuCG, ändert das BSI-Gesetz als Artikelgesetz deutlich, da die Anforderungen der Richtlinie deutlich über die Bestimmungen des IT-SiG 2.0 hinausgehen oder sie teilweise ersetzen.

Ablauf NIS2, Stand Mai 2023
Version Status Datum Akteur
NIS Deadline nationale Umsetzung Mai 2018 Mitglied­staaten
IT-Sicherheitsgesetz 2.0 Inkrafttreten Mai 2021 Bundesrat
NIS2 EU 2022/2555 Final Dez 2022 Amtsblatt
NIS2-Umsetzungsgesetz Entwurf NIS2-Umsetzung DE Mai 2023 Bundesverwaltung
Rechtsverordnung fehlt noch bis Oct 24 Bundesverwaltung
NIS2 Deadline Umsetzung bis Oct 24 Mitglied­staaten

In Deutschland wird NIS2 zu einer deutlichen Erweiterung der erfassten Einrichtungen führen und Befugnisse und Handlungs­möglichkeiten für die national zuständigen Behörden erweitert werden. Die deutsche KRITIS-Methodik von Anlagen wird in der Gruppe der kritischen Betreibern beibehalten: das BSI setzt sich dafür ein, dass dabei national weiterhin auch die BSI-Kritisverordnung berücksichtigt wird.

up

Aufwände

Der Entwurf vom NIS2-Umsetzungsgesetz schätzt Aufände für die Umsetzung von NIS2 in der Wirtschaft und der Verwaltung. Die Zahlen basieren auf einer Folgekostenschätzung des statistischen Bundesamts.

Wirtschaft

Verwaltung

up

Fristen und Umsetzung

Im Gesetz sind Fristen zur Umsetzung von Anforderungen als Entwurf vorgesehen. Viele Regelmaßnahmen bleiben bestehen, einige neue Maßnahmen müssen zwei oder drei Jahre nach Inkrafttreten des Gesetzes erstmalig umgesetzt werden: ab 2025 oder 2026.

Besonders wichtige Einrichtungen

Wichtige Einrichtungen

Betreiber kritischer Anlagen

up

Ergänzende Rechtsverordnung

Verschiedene Anforderungen aus dem NIS2UmsuCG sollen durch eine oder mehrere Rechtsverordnungen gemäß §57 konkretisiert werden:

Ein Entwurf der Rechtsverordnung(en) ist noch nicht verfügbar.

up

Weitere Informationen

Literatur

  1. Stellungnahme BSI - Cybersicherheit - Zuständigkeiten und Instrumente in der Bundes­republik Deutschland, Bundestag, öffentliche Anhörung Ausschuss für Digitales 25.01.2023
  2. Update für europäische Cyber-Sicherheit, Mit Sicherheit - BSI-Magazin 2022/02, 14.12.2022

Quellen

  1. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung, Intrapol-Mirror, Stand 3. April 2023
  2. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheits­niveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022
  3. Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), 27.12.2022