Der Staat

Der Sektor Staat und öffentliche Verwaltung gehört seit langem zu den Kritischen Infrastrukturen. Obwohl in vielen Gesetzen definiert, waren staatliche Organe und die öffentliche Verwaltung von den KRITIS-Pflichten meist ausgenommen. Mit NIS2 und KRITIS-Dachgesetz wird die Bundesverwaltung ab 2024 teilweise reguliert.

  1. Bundesebene
  2. Länder
  3. Kommunen

Während die EU-Direktive NIS2 große Teile der Regierung in mehreren Ebenen reguliert, gibt es im Bundesgesetz dafür viele Ausnahmen. Länder und Kommunen sind nicht explizit vom deutschen NIS2-Umsetzungsgesetz benannt, es soll aber NIS2-Landesgesetze geben. Viele Teile der Verwaltung bleiben außen vor.

Die in NIS2 neu definierten Einrichtungen gehen über die bisherigen Betreiber Kritischer Infrastrukturen hinaus – mit mehr betroffenen Sektoren, viel mehr Unternehmen und umfangreicheren Cybersecurity-Pflichten. Die NIS2-Regulierung in Deutschland setzt ab 2024 neue EU-Regulierung um, kann sich als Entwurf bis dahin aber noch verändern.

Kommunale Betriebe (AöR, GmbHs) fallen möglicherweise als Einrichtung unter NIS2-Pflichten.

Öffentliche Verwaltung

Bundesebene

Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung deutlich. Der Sektor Zentralregierung (Staat) ist ab 2024 neu in NIS2 reguliert.

Einrichtungen

Der Sektor ist in NIS2 und KRITIS-Dachgesetz auf verschiedenen Wegen definiert:

  1. Einrichtungen der Bundesverwaltung sind in NIS2 in §29 definiert
       Stellen des Bundes
       Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie Vereinigungen    Öffentliche Unternehmen im Mehrheitseigentum des Bundes, die IT-Dienstleistungen für die Bundesverwaltung erbringen
  2. Einrichtungen der Bundesverwaltung sind im KRITIS-Dachgesetz in §5 (1) definiert
       Bundesministerien
       Bundeskanzleramt

Pflichten

Die folgenden Pflichten ergeben sich ab 2024 für betroffene Einrichtungen:

eigene Zusammenstellung Stand Dezember 2023
Thema Bundesverwaltung   Bundesverwaltung  
Gesetz KRITIS-Dachgesetz NIS2-Umsetzung
Fristen ab 2026? ab 2024
Scope Einrichtung Einrichtung
Pflichten §§6, 9-13, 17-18
Registrierung
Vorfallsmeldungen
Sanktionen
§§30-37, 39-42
Registrierung
Vorfallsmeldungen
Sanktionen
§§43-50
ISMS und ISB
Vorgaben durch BSI
Digitalisierung
Koordination
Ausnahmen §§7, 10 (6), 14
Europäische Relevanz
B3S, Geschäftsleiter
§§38, 64
Geschäftsleiter
Durchsetzungspflichten
Maßnahmen §10
Resilienz
Risikomanagement
Physische Sicherheit
§30
Informationssicherheit
Risikomanagement
IT-Sicherheit
Nachweise Stichproben Stichproben
Regulator BBK BSI

Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.

Ausschlüsse

Viele Einrichtungen des Bundes sind in NIS2 und KRITIS nicht, nur teilweise oder anderswo reguliert, und damit außerhalb der Regulierung Kritischer Infrastrukturen, u.a.:

up

Länder

Die deutschen Bundesländer sind im NIS2-Umsetzungsgesetz und dem KRITIS-Dachgesetz praktisch nicht definiert. Ein größer Teil der öffentlichen Verwaltung fällt damit nicht direkt unter die NIS2-Regulierung Kritischer Infrastrukturen.

Öffentliche Verwaltung

Eine lange Liste an Einrichtungen und Körperschaften der Landesebene ist nicht Teil der NIS2-Umsetzung und fällt damit wohl nicht explizit unter EU- oder Bundesvorgaben nach NIS2:

Landesgesetze

Es gibt Bestrebungen einzelner Bundesländer, NIS2 durch Landesgesetze umzusetzen. Einige dieser Gesetze sind schon bekannt, andere in Arbeit, teilweise ist auch nichts bekannt:

Stand Februar 2024, basierend auf: HK2 Rechtsanwälte
Bundesland NIS2-Gesetz Bestehende Gesetze
Baden-Württemberg - Anpassung vielleicht
Brandenburg unklar -
Bremen Gesetz geplant -
Hessen - Anpassung geplant
Mecklenburg-Vorpommern Gesetz geplant -
Niedersachsen nichts geplant vorhanden
Nordrhein-Westfalen ggf. -
Saarland - Anpassung vielleicht
Sachsen - Anpassung geplant
Sachsen-Anhalt Gesetz geplant -
Thüringen nichts geplant -

up

Kommunen

Die Kommunen in Deutschland sind im NIS2-Umsetzungsgesetz und dem KRITIS-Dachgesetz praktisch nicht definiert. Ein größer Teil der kommunalen öffentlichen Verwaltung fällt damit nicht direkt unter die NIS2-Regulierung Kritischer Infrastrukturen.

Einrichtungen

Kommunale Eigenbetriebe können als Einrichtungen (AöR, GmbH) unter NIS2 und auch KRITIS fallen, wenn sie die NIS2-Unternehmensgröße oder KRITIS-Schwellenwerte überschreiten, u.a.:

Öffentliche Verwaltung

Eine lange Liste an öffentlichen Einrichtungen auf kommunaler Ebene ist nicht explizit Teil der NIS2-Umsetzung und fällt damit wahrscheinlich nicht unter EU- oder Bundesvorgaben NIS2:

up

Weitere Informationen

Literatur

  1. Wie die Länder NIS-2 umsetzen, Tagesspiegel Background, Benjamin Stiebel, 29.2.2024

Quellen

  1. Wo stehen die Länder bei der Umsetzung der NIS-2-Richtlinie? HK2 Rechtsanwälte, Stand 28.2.2024
  2. Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
  3. Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheits­stärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informations­sicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
  4. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheits­niveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022