Referentenentwurf zum NIS 2-Umsetzungsgesetz: Cybersicherheit stärken

Das Bundesministerium für Inneres und Heimat hat Anfang Mai den Referentenentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vorgelegt und zur Konsultation gestellt. Hintergrund ist die europäischen NIS-2-Richtlinie, die bis Oktober 2024 in nationales Recht umgesetzt werden muss. Von der NIS-2-Regelungen sollen ca. 30.000 Unternehmen aus insgesamt 18 Sektoren betroffen sein.
Durch die Umsetzung der NIS-2-Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) werden die Regelungen zum Cyberschutz von kritischen Infrastrukturen weiterentwickelt.
Zentrale Regelungen für die Wirtschaft
  • organisatorische und technische Anforderungen
  • Registrierungs-, Melde-, Berichts- und Nachweispflichten
  • Pflicht der Rückmeldung und dem „Angebot“ der Unterstützung durch das BSI
  • Billigungs-, Überwachungs- und Schulungspflichten der Leitung
  • Sanktions- und Bußgeldvorschriften
Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist ein Artikelgesetz, das vor allem darauf abzielt, kritische Anlagen ebenso wie wichtige Unternehmen besser vor Cyberangriffen zu schützen. Der Entwurf enthält neben einer Novelle des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) auch eine Anpassung diverser Fachgesetze.

Wer ist betroffen?

Von den Regelungen sollen schätzungsweise ca. 30.000 Unternehmen aus insgesamt 18 Sektoren betroffen sein wie Energie, Transport und Verkehr, Finanz-, Versicherungs-, Gesundheitswesen, Trink- oder Abwasser, Informationstechnik und Telekommunikation, Verwaltung von IKT-Diensten oder Weltraum (Sektoren mit hoher Kritikalität) sowie Post- und Kurierdienste, Siedlungsabfallentsorgung, Produktion, Herstellung und Handel mit chemischen Stoffen, Ernährung, verarbeitendes Gewerbe, Anbieter digitaler Dienste oder Forschung (sonstige kritische Sektoren). Sie werden unterschieden in „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“.

Als „besonders wichtige Einrichtung“ gelten

  1. Betreiber kritischer Anlagen (nach § 28 Absatz 7),
  2. qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter
  3. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder öffentliche Telekommunikationsnetze, die
a) mindestens 50 Mitarbeiter beschäftigen oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen;
  1. natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten, die einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 250 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.

Als „wichtige Einrichtungen“ gelten

  1. Vertrauensdiensteanbieter
  2. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die
a) weniger als 50 Beschäftigte haben und
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen.
  1. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 50 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.

Technische und organisatorische Anforderungen

Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen künftig einen umfassenden Katalog von Mindestanforderungen erfüllen und unter anderem dazu in der Lage sein, Risiken zu analysieren, Sicherheitsvorfälle zu bewältigen, ihren Betrieb etwa durch Backup-Management aufrechtzuerhalten oder wiederherzustellen, die Lieferkette zu sichern und Schwachstellen offenzulegen.
Obwohl nicht direkter Adressat dürften sich die Verpflichtungen auch auf kleinere Zulieferer auswirken, wenn möglicherweise Cybersicherheitsvorgaben vertraglich weitergeben werden.

Meldepflichten im Notfall (§ 32)

Zudem soll ein dreistufiges Meldesystem eingeführt werden. Danach müsste unverzüglich, spätestens aber innerhalb von 24 Stunden nach Kenntnis von einem "erheblichen Sicherheitsvorfall" eine "frühe Erstmeldung" an ein Online-Portal des BSI und des BBK erfolgen. Spätestens nach 72 Stunden müsste die Meldung bestätigt oder aktualisiert und eine erste Bewertung inklusive des "Schweregrads und seiner Auswirkungen" abgegeben werden. Spätestens einen Monat nach der Meldung des Sicherheitsvorfalls soll eine "Abschlussmeldung" mit einer ausführlichen Beschreibung des Vorfalls und der ihm zugrundeliegenden Ursache erfolgen. Falls der Sicherheitsvorfall noch andauert, legt die betroffene Einrichtung einen Monat nach der Meldung eine “Fortschrittsmeldung” und innerhalb eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls eine Abschlussmeldung vor.

Registrierungspflicht (§§ 33, 34)

„Besonders wichtige Einrichtungen“, „wichtige Einrichtungen“ und Domain-Name-Registry-Diensteanbieter sind verpflichtet, sich spätestens nach drei Monaten bei der gemeinsamen Registrierungsstelle des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu registrieren.

Bußgeldrahmen

Der Gesetzesentwurf sieht in Abhängigkeit von der Art der Ordnungswidrigkeit, der Bedeutung des Unternehmens und des Jahresumsatzes maximale Bußgelder zwischen 100.000 Euro und 10 Millionen Euro vor. Abweichend davon können Einrichtungen mit einem Jahresumsatz von mehr als 500 Millionen Euro mit einem Bußgeld von bis zu 2 Prozent des weltweit getätigten Jahresumsatzes des Unternehmens belegt werden.

Einschätzung der DIHK

Die DIHK hatte im Oktober letzten Jahres eine erste Abschätzung zum Diskussionspapier des BMI abgegeben. Positiv hervorzuheben sei demnach, dass der Anwendungsbereich direkt im Gesetz präzisiert werde und die Begrifflichkeiten aus der NIS2-Richtlinie übernommen werden.
Angesichts des Fachkräftemangels auch bei Dienstleistern stehe zu befürchten, dass viele, aber gerade kleinere Unternehmen die Anforderungen nur schwer stemmen könnten. Die Unternehmen sollten bei ihren Sicherheitsvorkehrungen aktiv vom BSI und angegliederten Einrichtungen wie z. B. der Allianz für Cybersicherheit oder der Transferstelle für Cybersicherheit im Mittelstand unterstützt werden. Das BSI sollte praxisnahe Umsetzungshilfen, Vorlagen, Muster und Leitfäden sowie eine Anlaufstelle zur Verfügung stellen.
Anpassungsbedarf sieht die DIHK unter anderem in den folgenden Bereichen:
  • Registrierungs- und Meldepflichten sollten durchgängig digital abgewickelt werden, und ohne Doppelerfassungen erfolgen.
  • Lageinformationen und unterstützende Handlungsempfehlungen zu analogen und digitalen Bedrohungen sollten den betroffenen Unternehmen aus einer Hand zielgerichtet zugänglich gemacht werden.
  • Effektive Zusammenarbeitsprozesse der Behörden sollten von Beginn an klar definiert und umgesetzt werden.
  • Es ist nicht nachvollziehbar, dass kommunale Eigenbetriebe den Verpflichtungen unterliegen, die Kommunen und Länder selbst aber nicht. Es sollte ein umfassender Ansatz verfolgt werden, der die öffentliche Hand insgesamt einbezieht.
  • Die Unternehmen erwarten eine effektive Ausgestaltung des Meldeverfahrens, die Doppelmeldungen und unnötige Statusaktualisierungen vermeidet. Alle Meldepflichten zu Cybersicherheitsvorfällen auch im Rahmen anderer Gesetze sollten harmonisiert werden und möglichst einfach, digital und im Idealfall nur einmal erfolgen.
(Quelle DIHK)