NIS 2-Umsetzungsgesetz: Neuer Entwurf und DIHK-Stellungnahme

Das Bundesinnenministerium hat einen neuen Referentenentwurf für das NIS2-Umsetzungsgesetz veröffentlicht. Der Neuanlauf ist nötig, weil das Gesetz in der letzten Legislaturperiode zwar noch im Bundestag diskutiert, aber letztlich nicht mehr verabschiedet wurde. Es soll noch im Juli im Bundeskabinett verabschiedet werden. Die europäische NIS-2-Richtlinie hätte bis 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Von der NIS-2-Regelungen sollen rund 29.500 Unternehmen aus insgesamt 18 Sektoren direkt betroffen sein. Die DIHK hat zum neuen Referentenentwurf eine Stellungnahme abgegeben, der die bisherige Stellungnahme aus dem letzten Jahr ergänzt.

Wesentliche Änderungen

Wesentliche Änderungen für Unternehmen, die der neue Entwurf gegenüber dem Regierungsentwurf vom Herbst 2024 enthält:
  • Ergänzt wird eine Regelung zum Anwendungsbereich: Bei der Betroffenheitsprüfung können Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung „vernachlässigbar” sind.
  • Bei den Risikomanagementmaßnahmen wird der Begriff Cyberhygiene gestrichen und wird zu "Schulungen und Sensibilisierungsmaßnahmen".
  • Es erfolgt eine Klarstellung hinsichtlich der Definition Domain Name System-Diensteanbieter (DNS), Managed Security Service Provider (MSSP) und Managed Service Provider (MSP).
  • Die Wirtschaft wird verpflichtend in die Gestaltung der konkretisierenden Verordnung einbezogen.
  • Das Bundesamt für Sicherheit in der Infoamtionstechnik (BSI) soll mehr Mitspracherechte in Bezug auf die IT-Sicherheit von Energieunternehmen erhalten. Bislang musste die Bundesnetzagentur (BNetzA), die die Sicherheitsvorgaben für den Energiebereich macht, das BSI nur informieren, wenn sie die Sicherheitskataloge ändert. Jetzt ist „Einvernehmen“ vorgesehen.
  • Für den Energiebereich ist eine weitere Änderung vorgesehen: Künftig müssen auch Betreiber sogenannter digitaler Energiedienste einen angemessenen Schutz der IT-Systeme vor Bedrohungen gewährleisten - auch in Bezug auf die Anschaffung von Anlagegütern und Dienstleistungen. Bei einem solchen Dienst handelt es sich um eine Anlage, die einen zentralen Zugriff auf die Steuerung von Energieanlagen oder einen Zugriff auf die Steuerung dezentraler Energieverbrauchsanlagen möglich macht, etwa Wechselrichter, die häufig von chinesischen Firmen stammen.
  • Im Gesetz sind alle Verweise auf das KritisDachG gestrichen. Die gemeinsame Meldeplattform von BSI und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe soll aber wohl weiterhin geschaffen werden.

DIHK-Einschätzung

Die DIHK hat zum neuen Referentenentwurf eine Stellungnahme abgegeben, der die bisherige Stellungnahme aus dem letzten Jahr ergänzt.

Zentrale Punkte

Das Ziel des Gesetzes, ein hohes gemeinsames Sicherheitsniveau aufrecht zu halten, unterstützt die DIHK ausdrücklich. Der vorliegende Gesetzentwurf kann nur ein Baustein unter vielen sein, um die Resilienz der Wirtschaft insgesamt auf ein höheres Niveau zu heben. Staat und Wirtschaft sind gemeinschaftlich gefordert. Angesichts der zunehmenden Gefährdungslage und der durch die Digitalisierung bedingten immer breiteren Angriffsfläche ist ein fähigkeitsbezogener Ansatz erforderlich, der Kapazitäten bündelt und gerade kleinere Unternehmen nicht überfordert. Das gemeinsame Ziel sollte in erster Linie durch praxistaugliche Unterstützungsangebote und aktuelle, relevante, zielgerichtete und konkret an den Bedarfen der Unternehmen ausgerichtete Lageinformationen und Umsetzungshilfen angestrebt werden. Darüberhinausgehende Verpflichtungen sowie zusätzliche Nachweis- und Meldepflichten für die Unternehmen sollten klar dem Angemessenheitsprinzip folgen und gerade kleinere Unternehmen nicht überfordern.
Die Unternehmen benötigen vor allem Planungs- und Rechtssicherheit. Insofern ist positiv, dass der neue Entwurf zumindest nicht wesentlich von den Vorgängerversionen abweicht. Denn einige Unternehmen haben ungeachtet der Verzögerungen im Gesetzgebungsverfahren bereits damit begonnen, zentrale NIS2-Maßnahmen, insbesondere zum Risikomanagement einzuleiten.
Deshalb ist eine zügige und klare Umsetzung der NIS2-Richtlinie erforderlich. Strikte EU-Konformität ist nicht nur für Unternehmen wichtig, die in mehreren EU-Ländern tätig sind. Der Gesetzentwurf enthält noch immer Definitionen und Kategorien, die zu Interpretationsschwierigkeiten und großer Komplexität führen, etwa bei der Betroffenheitsprüfung. Der neue Referentenentwurf enthält Abweichung von der EU-Richtlinie, etwa bei der Definition „wichtige Einrichtungen“. So stellen z. B. die „vernachlässigbaren Tätigkeiten“ einen Themenkomplex dar, der deutlich von der EU-Vorgabe abweicht, was ggf. zu weiteren Verzögerungen in der rechtskonformen Umsetzung führen kann.
Meldefristen, Meldeinhalte und Prozesse sollten mit den anderen relevanten Gesetzen harmonisiert werden. Besser als mit einem Omnibus-Verfahren im Rahmen des Cyber Security Acts wäre gewesen, dies von vornherein sicherzustellen. Zumindest NIS2UmsuCG und KRITIS-Dachgesetz sollten sowohl einheitliche Begriffe und Definitionen verwenden als auch einheitliche Vorgaben enthalten: Im Hinblick auf die Umsetzungsprozesse, Meldepflichten und in Bezug auf die Kompetenzen der beteiligten Behörden. Jede Abweichung oder Unklarheit führt in der Praxis zu einem erhöhten Dokumentationsaufwand für Unternehmen, die die Erfüllung der Vorgaben nachweisen müssen.
Für die öffentliche Hand sind abseits von Teilen der Bundesverwaltung keine Verpflichtungen vorgesehen. Das stößt bei den Unternehmen weiterhin auf großes Unverständnis. Für die Unternehmen ist wichtig, dass sie sich auf funktionierende Prozesse mit der Verwaltung verlassen können. Bund und Länder sind in der Pflicht, die entsprechenden Voraussetzungen zu schaffen. Unternehmen erwarten zumindest einen verbindlichen Umsetzungsplan mit konkreten Meilensteinen.

NIS-2-Umsetzungsgesetz

Durch die Umsetzung der NIS-2-Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) werden die Regelungen zur Cybersicherheit von kritischen Infrastrukturen weiterentwickelt.
Zentrale Regelungen für die Wirtschaft
  • organisatorische und technische Anforderungen
  • Registrierungs-, Melde-, Berichts- und Nachweispflichten
  • Pflicht der Rückmeldung und dem „Angebot“ der Unterstützung durch das BSI
  • Billigungs-, Überwachungs- und Schulungspflichten der Leitung
  • Sanktions- und Bußgeldvorschriften
Das NIS2UmsuCG ist ein Artikelgesetz, das vor allem darauf abzielt, kritische Anlagen ebenso wie wichtige Unternehmen besser vor Cyberangriffen zu schützen. Der Entwurf enthält neben einer Novelle des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) auch eine Anpassung diverser Fachgesetze.

Wer ist betroffen?

Von den Regelungen sollen fast 30.000 Unternehmen aus insgesamt 18 Sektoren betroffen sein:

Sektoren mit hoher Kritikalität

  1. Energieversorgung
  2. Verkehr
  3. Bankwesen
  4. Finanzmarktinfrastukturen
  5. Gesundheitswesen
  6. Trinkwasserversorgung
  7. Abwasserbeseitigung
  8. Informationstechnik und Telekommunikation
  9. Verwaltung von IKT-Diensten (B2B)
  10. öffentliche Verwaltung
  11. Weltraum

sonstige kritische Sektoren

  1. Post- und Kurierdienste
  2. Siedlungsabfallentsorgung
  3. Produktion, Herstellung und Handel mit chemischen Stoffen
  4. Ernährung
  5. Verarbeitendes Gewerbe (Herstellung von Medizinprodukten und In-vitro-Diagnostik, von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen, von elektrischen Ausrüstungen, von Kraftwagen und Kraftwagenteilen, Maschinenbau, Sonstiger Fahrzeugbau)
  6. Anbieter digitaler Dienste (Online-Marktplätze, Online-Suchmaschinen, Plattformen für Dienste sozialer Netzwerke)
  7. Forschungseinrichtungen
Sie werden unterschieden in „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“.

Als „besonders wichtige Einrichtung“ gelten

  1. Betreiber kritischer Anlagen (nach § 28 Absatz 7),
  2. qualifizierte Vertrauensdiensteanbieter, Top Level Domain Name Registries oder DNS-Diensteanbieter
  3. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder öffentliche Telekommunikationsnetze, die
a) mindestens 50 Mitarbeiter beschäftigen oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen;
  1. natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbieten, die einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 250 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen.

Als „wichtige Einrichtungen“ gelten

1. Vertrauensdiensteanbieter
2. Anbieter öffentlich zugänglicher Telekommunikationsdienste oder Betreiber öffentlicher Telekommunikationsnetze, die
a) weniger als 50 Beschäftigte haben und
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils 10 Millionen Euro oder weniger aufweisen.
3. eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlagen 1 und 2 bestimmten Einrichtungsarten zuzuordnen ist und die
a) mindestens 50 Mitarbeiter beschäftigt oder
b) einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweist.

Sind alle anderen Unternehmen nicht betroffen?

Die NIS 2-Richtlinie gilt für alle übrigen Unternehmen nicht unmittelbar. Von NIS2 betroffene Einrichtungen müssen allerdings die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern beachten. Sie müssen die spezifischen Schwachstellen der einzelnen unmittelbaren (Dienste-)Anbieter sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter und Diensteanbieter, einschließlich der Sicherheit ihrer Entwicklungsprozesse, berücksichtigen.
Damit müssen auch Dienstleister und Lieferanten von betroffenen Unternehmen Sicherheitsvorkehrungen treffen und einhalten. Das Bundesamt für Sicherheit in der Informationstechnik informiert in den Broschüren “Cybersicherheit für KMU” und “IT-Grundschutz über sinnvolle Maßnahmen des Basisschutzes, um für eine höhere Cybersicherheit im Unternehmen zu sorgen.

Betroffenheitsprüfung

In der NIS-2-Betroffenheitsprüfung des BSI werden konkrete, an der Richtlinie orientierte Fragen gestellt, um das eigene Unternehmen einzuordnen. Die Fragen sind kurz und präzise gehalten und werden bei Bedarf eingehender erläutert. Nachdem der Fragenkatalog durchlaufen ist, erhalten Anfragende ein auf den eigenen Angaben basierendes Ergebnis. Dieses gibt eine automatisierte Ersteinschätzung, ob das eigene Unternehmen von der NIS-2-Richtlinie betroffen ist und erläutert, was dieser Status bedeutet und welche Pflichten durch den EU-Gesetzgeber vorgezeichnet sind.
Das Ergebnis ist rechtlich nicht verbindlich. Die NIS-2-Betroffenheitsprüfung ersetzt die Prüfung zur Selbst-Identifizierung nicht und hat für eventuelle Verfahren keine Indizwirkung.
Die Betroffenheitsprüfung basiert auf dem Entscheidungsbaum des BSI:

Technische und organisatorische Anforderungen

Besonders wichtige Einrichtungen und wichtige Einrichtungen müssen künftig einen umfassenden Katalog von Mindestanforderungen erfüllen und unter anderem dazu in der Lage sein, Risiken zu analysieren, Sicherheitsvorfälle zu bewältigen, ihren Betrieb etwa durch Backup-Management aufrechtzuerhalten oder wiederherzustellen, die Lieferkette zu sichern und Schwachstellen offenzulegen.
Sie müssen gemäß Artikel 21 “geeignete” und “verhältnismäßige” technische, operative und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der genutzten Netz- und Informationssysteme zu beherrschen und die Auswirkungen von Sicherheitsvorfällen auf die Empfänger ihrer Dienste und auf andere Dienste zu verhindern oder möglichst gering zu halten. Die Maßnahmen müssen unter Berücksichtigung des Stands der Technik, einschlägiger Normen sowie der Kosten der Umsetzung ein Sicherheitsniveau gewährleisten, das dem bestehenden Risiko angemessen ist. Die Maßnahmen umfassen mindestens
  • Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme;
  • Bewältigung von Sicherheitsvorfällen;
  • Aufrechterhaltung des Betriebs und Krisenmanagement;
  • Sicherheit der Lieferkette
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von IKT
  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen;
  • grundlegende Verfahren der Cyberhygiene und Schulungen zur Cybersicherheit;
  • Einsatz von Kryptografie und ggf. Verschlüsselung;
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle;
  • Multi-Faktor-Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation
Obwohl nicht direkter Adressat dürften sich die Verpflichtungen auch auf kleinere Zulieferer auswirken, wenn möglicherweise Cybersicherheitsvorgaben vertraglich weitergeben werden.

Meldepflichten im Notfall (§ 32)

Zudem soll ein dreistufiges Meldesystem eingeführt werden. Danach müsste unverzüglich, spätestens aber innerhalb von 24 Stunden nach Kenntnis von einem "erheblichen Sicherheitsvorfall" eine "frühe Erstmeldung" an ein Online-Portal des BSI und des BBK erfolgen. Spätestens nach 72 Stunden müsste die Meldung bestätigt oder aktualisiert und eine erste Bewertung inklusive des "Schweregrads und seiner Auswirkungen" abgegeben werden. Spätestens einen Monat nach der Meldung des Sicherheitsvorfalls soll eine "Abschlussmeldung" mit einer ausführlichen Beschreibung des Vorfalls und der ihm zugrundeliegenden Ursache erfolgen. Falls der Sicherheitsvorfall noch andauert, legt die betroffene Einrichtung einen Monat nach der Meldung eine “Fortschrittsmeldung” und innerhalb eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls eine Abschlussmeldung vor.

Registrierungspflicht (§§ 33, 34)

„Besonders wichtige Einrichtungen“, „wichtige Einrichtungen“ und Domain-Name-Registry-Diensteanbieter sind verpflichtet, sich spätestens nach drei Monaten bei der gemeinsamen Registrierungsstelle des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu registrieren.

Bußgeldrahmen

Der Gesetzesentwurf sieht in Abhängigkeit von der Art der Ordnungswidrigkeit, der Bedeutung des Unternehmens und des Jahresumsatzes maximale Bußgelder zwischen 100.000 Euro und 10 Millionen Euro vor. Abweichend davon können Einrichtungen mit einem Jahresumsatz von mehr als 500 Millionen Euro mit einem Bußgeld von bis zu 2 Prozent des weltweit getätigten Jahresumsatzes des Unternehmens belegt werden.

Wichtige Schritte zur Umsetzung

  1. Betroffenheit klären
  2. Ressourcen einplanen: Planen Sie Budget und personelle Ressourcen für die Umsetzung ein.
  3. Verantwortlichkeiten festlegen
    • Verantwortung der Leitungsorgane: Maßnahmen entscheiden, Umsetzung überwachen, persönliche Haftung
    • Operativ für die Umsetzung der Anforderungen hauptverantwortliche Person im Unternehmen benennen
    • Externe Partner einbeziehen, die bei der Umsetzung unterstützen
  4. Risikoanalyse und Gap-Analyse im Vergleich zu den Anforderungen der NIS 2-Richtlinie
  5. Notwendige Maßnahmen ermitteln
  6. Maßnahmen umsetzen
  7. Business-Continuity gewährleisten
  8. kontinuierliche Überprüfung und Verbesserung

NIS 2-Anlaufstelle NRW

Im Rahmen eines durch das Ministerium für Wirtschaft, Industrie, Klimaschutz und Energie des Landes Nordrhein-Westfalen (MWIKE NRW) geförderten Projektes, betreibt der Verein eurobits e.V. in Bochum eine Anlaufstelle für kleine und mittlere Unternehmen, die von der NIS2-Richtlinie betroffen sind. Die NIS 2-Anlaufstelle bietet Unternehmen mit 50 bis 250 Mitarbeitenden die Möglichkeit, sich umfassend auf die Anforderungen der NIS 2-Richtlinie vorzubereiten. Das Angebot umfasst eine kostenfreie Erstanalyse und Erstberatung mit Erstellung eines individuellen Maßnahmenplans.
(Quelle DIHK)