Wagen 0
Das Bundeskabinett hat am 24.07.2024 den vorgelegten Referenten-Entwurf für ein Gesetz zur Stärkung der Cybersicherheit beschlossen. Damit wird die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) im deutschen Recht umgesetzt. Dies bedeutet für rund 30.000 deutsche Unternehmen, dass verschärfte IT-Sicherheitsvorkehrungen berücksichtigt werden müssen.
Am 16. Januar 2023 ist die NIS2-Richtlinie („The Network and Information Security (NIS) Directive“) in Kraft getreten. Bis Oktober 2024 sind die EU-Mitgliedstaaten dazu angehalten, diese in nationales Recht zu überführen. In Deutschland wurde hierzu am 24. Juli der Regierungsentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) veröffentlicht.
Nie NIS2-Vorgaben sehen dabei zahlreiche Mindestanforderungen vor, die von betroffenen Unternehmen umgesetzt werden müssen. Diese Vorgaben sehen dabei vor, dass unter anderem Risikoanalysekonzepte und Maßnahmen zur Aufrechterhaltung des Betriebs implementiert werden müssen. Ebenfalls sieht das Gesetz eine dreistufige Meldepflicht für Sicherheitsvorfälle vor, die Unternehmen verpflichtet Sicherheitsvorfälle in der ersten Stufe innerhalb von 24 Stunden zu melden, einen vorläufigen Bericht binnen 72 Stunden bereitzustellen und innerhalb eines Monats einen Abschlussberichts zu erstellen.
Darüber hinaus verpflichtet das Gesetz die Geschäftsleitung dazu, die Anforderungen umzusetzen, zu überwachen und sich schulen zu lassen. Ein Unterlassen dieser Vorgaben kann dabei schlimmstenfalls mit einer persönlichen Haftung sanktioniert werden.
Ob ein Unternehmen betroffen ist oder nicht, muss dabei selbst identifiziert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat hierzu eine Betroffenheitsprüfung veröffentlicht, in welcher eine erste Abschätzung hinsichtlich einer möglichen Betroffenheit geprüft werden kann.
Betroffene Unternehmen sind mit Inkrafttreten des Gesetzes verpflichtet innerhalb von 3 Monaten eine Registrierung vorzunehmen. Vorgesehen ist dabei, dass das nationale Gesetz Oktober 2024 in Kraft tritt. Mit der Veröffentlichung des Regierungsentwurfs vom 24.07.2024 ist wieder Fahrt in der nationalen Gesetzgebung aufgenommen worden. Ob die Frist bis Oktober 2024 eingehalten werden kann, ist dabei jedoch noch nicht absehbar.
Im Vergleich zum jüngsten Referentenentwurf weist der Regierungsentwurf nur wenige inhaltliche Regelungen auf.
Die wichtigsten Änderungen haben wir folgend zusammengefasst:
| Paragraph | Abschnitt | Änderungen |
| § 1 | Bundesamt für Sicherheit in der Informationstechnik | Keine Änderungen |
| § 2 | Begriffsbestimmungen | Ergänzung um „berechtigte Zugangsnachfrager“Kleinere ErgänzungenStreichung des Abs. 2 |
| § 3 | Aufgaben des Bundesamtes | Kleinere ErgänzungenNeu: Nr. 29 – Kooperation mit der Bundesanstalt für Finanzdienstleistungsaufsicht |
| § 4 | Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes | Keine Änderungen |
| § 5 | Allgemeine Meldestelle für die Sicherheit in der Informationstechnik | Redaktionelle Anpassungen |
| § 6 | Informationsaustausch | Keine Änderungen |
| § 7 | Kontrolle der Kommunikationstechnik des Bundes, Betretensrechte | Redaktionelle AnpassungenÄnderung in Abs. 4: Das Bundesamt informiert über das Ergebnis seiner Kontrolle den Informationssicherheitsbeauftragten des Ressorts und der Rechts- und Fachaufsicht nicht nur im Falle einer Einrichtung der BundesverwaltungÄnderung in Abs. 5: Bundesamt kann Einrichtungen der Bundesverwaltung eine Frist zur Umsetzung der Verbesserungsvorschläge setzen |
| § 8 | Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes | Änderung: sonstige Gefahren müssen nun „erheblich“ seinRedaktionelle Anpassungen |
| § 9 | Verarbeitung von Protokollierungsdaten der Kommunikationstechnik des Bundes | Redaktionelle Anpassungen |
| § 10 | Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen | Keine Änderungen |
| § 11 | Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen | Redaktionelle Anpassungen |
| § 12 | Bestandsdatenauskunft | Redaktionelle Anpassungen |
| § 13 | Warnungen | Keine Änderungen |
| § 14 | Untersuchung der Sicherheit in der Informationstechnik, Auskunftsverlangen | Redaktionelle Anpassungen |
| § 15 | Detektion von Angriffsmethoden und von Sicherheitsrisiken für die Netz- und IT-Sicherheit | Redaktionelle AnpassungenAbs. 1: Schwachstellen müssen nun „bekannt“ seinNeu: Abs. 4: Auf Anfrage: Vorlage der Liste der geprüften Systeme bei Bundesbeauftragten für Datenschatz und Informationssicherheit |
| § 16 | Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von Telekommunikationsdiensten | Streichung: „konkret“ |
| § 17 | Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von digitalen Diensten | Redaktionelle Anpassungen |
| § 18 | Anordnungen von Maßnahmen des Bundesamtes gegenüber Herstellern von IKT-Produkten | IKT-Produkte müssen nun von „erheblichen Sicherheitsvorfällen“ betroffen sein |
| § 19 | Bereitstellung von IT-Sicherheitsprodukten | Keine Änderungen |
| § 20 | Verarbeitung personenbezogener Daten | Keine Änderungen |
| § 21 | Beschränkungen der Rechte der betroffenen Person | Keine Änderungen |
| § 22 | Informationspflicht bei Erhebung von personenbezogenen Daten | Keine Änderungen |
| § 23 | Auskunftsrecht der betroffenen Person | Keine Änderungen |
| § 24 | Recht auf Berichtigung | Keine Änderungen |
| § 25 | Recht auf Löschung | Keine Änderungen |
| § 26 | Recht auf Einschränkung der Verarbeitung | Keine Änderungen |
| § 27 | Widerspruchsrecht | Keine Änderungen |
| § 28 | Besonders wichtige Einrichtungen und wichtige Einrichtungen | Redaktionelle AnpassungenAnpassungen in Abs. 4: Ausschluss der Anwendbarkeit einzelner Vorschriften für bestimmte Einrichtungen Streichung der bisherigen Absätze 7, 8 und 9; werden teilweise im neuen Absatz 8 aufgefangen |
| § 29 | Einrichtungen der Bundesverwaltung | Redaktionelle Anpassungen |
| § 30 | Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Änderung in Absatz 1: Verhältnismäßigkeit von Maßnahmen sind zu bewerten |
| § 31 | Besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen | Redaktionelle Anpassungen |
| § 32 | Meldepflichten | Redaktionelle Anpassungen Neu: Abs. 6: Bundesamt kann meldenden Einrichtungen Angebote zur Unterstützung machen |
| § 33 | Registrierungspflicht | Redaktionelle Anpassungen |
| § 34 | Besondere Registrierungspflicht für bestimmte Einrichtungsarten | Änderung in Abs. 1: Festsetzung einer Frist zu Übermittlung von Angaben auf 3 Monate |
| § 35 | Unterrichtungspflichten | Redaktionelle Anpassungen |
| § 36 | Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen | Änderung in Abs. 2: Ermächtigung des Bundesamts die Öffentlichkeit unter Vorliegen bestimmten Voraussetzungen die Öffentlichkeit selbst zu informieren |
| § 37 | Ausnahmebescheid | Redaktionelle Anpassungen |
| § 38 | Umsetzungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen | Bisheriger Begriff der „Billigung“ wurde ersetzt durch „Umsetzung“Abs. 1: Die Geschäftsleitung hat die zu ergreifenden Risikomanagementmaßnahmen umzusetzenNeuformulierung Abs. 2: Geschäftsleitungen, die ihre Pflichten nach Absatz 1 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach Satz 1 enthalten. |
| § 39 | Nachweispflichten für Betreiber kritischer Anlagen | Redaktionelle Anpassungen |
| § 40 | Nationale Verbindungsstelle sowie zentrale Melde- und Anlaufstelle für besonders wichtige und wichtige Einrichtungen | Redaktionelle Anpassungen |
| § 41 | Untersagung des Einsatzes kritischer Komponenten | Redaktionelle Anpassungen |
| § 42 | Auskunftsverlangen | Keine Änderungen |
| § 43 | Informationssicherheitsmanagement | Abs. 2: Konkretisierung auf RisikomanagementpraktikenRedaktionelle Anpassungen |
| § 44 | Vorgaben des Bundesamtes | Neuformulierungen der Absätze 1 und 2: Verpflichtung des Bundeskanzleramts und der Bundesministerien zur Einhaltung von BSI-StandardsStreichung des „Koordinators“ |
| § 45 | Informationssicherheitsbeauftragte der Einrichtungen der Bundesverwaltung | Sprachliche Konkretisierungen |
| § 46 | Informationssicherheitsbeauftragte der Ressorts | Redaktionelle Anpassungen |
| § 47 | Wesentliche Digitalisierungsvorhaben und Kommunikationsinfrastrukturen des Bundes | Konkretisierungen |
| § 48 | Amt des Koordinators für Informationssicherheit | Keine Änderungen |
| § 49 | Aufgaben des Koordinators | Ersatzlos gestrichen |
| § 50 | Befugnisse des Koordinators | Ersatzlos gestrichen |
| § 49 (neu) | Pflicht zum Führen einer Datenbank | Redaktionelle AnpassungenNeu: Abs. 5: Das Bundesamt kann die Erfüllung der Vorgaben überprüfen. |
| § 50 (neu) | Verpflichtung zur Zugangsgewährung | Redaktionelle Anpassungen Neu: Abs. 4: Das Bundesamt kann die Erfüllung der Vorgaben überprüfen. |
| § 51 (neu) | Kooperationspflicht | Redaktionelle Anpassungen |
| § 52 (neu) | Zertifizierung | Konkretisierungen Redaktionelle Anpassungen |
| § 53 (neu) | Konformitätsbewertung und Konformitätserklärung | Konkretisierungen Redaktionelle Anpassungen |
| § 54 (neu) | Nationale Behörde für die Cybersicherheitszertifizierung | Redaktionelle AnpassungenErgänzung in Abs. 6: Widerrufene Cybersicherheitszertifikate oder für ungültig erklärte EU-Konformitätserklärungen nach Satz 1 dürfen nicht verwendet werden. |
| § 55 (neu) | Freiwilliges IT-Sicherheitskennzeichen | Redaktionelle Anpassungen |
| § 56 neu | Ermächtigung zum Erlass von Rechtsverordnungen | Redaktionelle AnpassungenNeu: Abs. 5 und Abs. 6 |
| § 57 | Einschränkung von Grundrechten | Keine Änderungen |
| § 58 (neu) | Berichtspflichten des Bundesamtes | Streichung von Abs. 4, und 6 |
| § 59 | Zuständigkeit des Bundesamtes | Redaktionelle Anpassungen |
| § 60 (neu) | Zentrale Zuständigkeit in der Europäischen Union für bestimmte Einrichtungsarten | Redaktionelle Anpassungen |
| § 61 (neu) | Aufsichts- und Durchsetzungsmaßnahmen für besonders wichtige Einrichtungen | Redaktionelle Anpassungen Ergänzung in Abs. 3: Zusatzregelung für Krankenhäuser |
| § 62 (neu) | Aufsichts- und Durchsetzungsmaßnahmen für wichtige Einrichtungen | Redaktionelle Anpassungen |
| § 63 (neu) | Verwaltungszwang | Redaktionelle Anpassungen |
| § 64 (neu) | Zuwiderhandlungen durch Institutionen der sozialen Sicherung | Redaktionelle Anpassungen |
| § 65 (neu) | Bußgeldvorschriften | |
| Anlage 1 | Informationstechnik und Telekommunikation umbenannt in: Digitale InfrastrukturRedaktionelle Anpassungen Ergänzung von Referenzen |
Wie geht es nun weiter?
Die NIS2-Richtlinie gibt den EU-Mitgliedstaaten vor, die Vorgaben bis spätestens 17.10.2024 in die nationale Rechtsordnung zu überführen. Deutschland zeigt mit der Veröffentlichung des Regierungsentwurfs das Bestreben, diese gesetzte Frist einzuhalten.
Angesichts der drohenden Bußgelder sollten Unternehmen jetzt bereits beginnen sich mit den gesetzlichen Anforderungen auseinanderzusetzen und beginnen entsprechende Maßnahmen zu implementieren. Übergangsfristen zur Umsetzung der Vorgaben werden Unternehmen dabei nicht eingeräumt. Sofern das Gesetz im Oktober 2024 in Kraft tritt, haben betroffene Unternehmen, die als „besonders wichtige“ oder „wichtige“ Einrichtung angesehen werden drei Monate Zeit, um sich zu registrieren. Die einzuhaltenden Vorgaben gelten dabei ab der Registrierung.
Sollten Sie sich unsicher sein, ob Ihr Unternehmen von NIS2 betroffen ist oder bei der Umsetzung der NIS2-Vorgaben Unterstützung benötigen, kommen Sie gerne auf uns zu.