Ressortabstimmung gestartet
Neuer inoffizieller Entwurf zum NIS 2-Umsetzungsgesetz bekanntgeworden

Es ist erneut eine inoffizielle Version des NIS 2-Umsetzungsgesetz bekannt geworden. Dessen Regelungen sollen neben die Regelungen aus dem Kritis-Dachgesetz treten und stellen Vorgaben für die Cybersicherheit von kritischen Infrastrukturen auf.

20.07.23

Nachdem das Bundesministerium des Innern und für Heimat (BMI) einen Entwurf des Kritis-Dachgesetzes in die Ressortabstimmung gegeben hat, hat das BMI nunmehr auch einen Entwurf zum Umsetzungsgesetz der NIS 2-Richtlinie in die Ressortabstimmung gegeben.

Das Dokument datiert auf den 03.07.2023 und enthält einige interessante Änderungen gegenüber dem bisher bekannten Gesetzesentwurf vom 03.04.2023:

  • Es wird erstmals der Erfüllungsaufwand der Wirtschaft beziffert. Einmalig wird mit einem Aufwand von 1,37 Milliarden Euro gerechnet, der jährliche Erfüllungsaufwand wird mit rund 1,65 Milliarden Euro beziffert.
  • Es wurde für das BMI die Möglichkeit geschaffen, per Rechtsverordnung die Erheblichkeit eines Sicherheitsvorfalls zu definieren (§ 2 Abs. 2 BSIG).
  • Die erfassten Sektoren werden sprachlich leicht anders beschrieben. Im Bereich der kommunalen Unternehmen sind diese Änderungen allerdings wohl irrelevant (siehe insbesondere § 28 Abs. 3, 6, 7 BSIG)
  • Die wahrscheinlich wichtigste Änderung ist das veränderte Verhältnis von BSIG zum EnWG. Nach dem Gesetzesentwurf von April 2023 sollten die Verpflichtungen für Betreiber und Einrichtungen im Energiesektor zukünftig einheitlich im BSIG geregelt werden und die Aufsicht im Energiesektor durch das BSI erfolgt. Hier trifft der § 28 Abs. 8 BSIG nunmehr eine andere Regelung. Nach dieser Norm gelten die Vorgaben aus § 30 (Risikomanagementmaßnahmen) und § 31 (Meldepflichten) nicht, für Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des EnWG, soweit sie den Regelungen des § 11 des EnWG unterliegen. Der Energiesektor wird somit wie auch bisher überwiegend über das EnWG reguliert und die BNetzA ist weiterhin die grundsätzlich zuständige Regulierungsbehörde in diesem Bereich. Die bisherigen Grundsätze zur Abgrenzung von BSIG zum EnWG sollen wohl weiterhin gelten.
  • Es scheint zu einer interessanten Klarstellung im Bereich der kritischen Anlagen gekommen zu sein. Es besteht das Problem, dass kritische Anlagen gleichzeitig auch eine besonders wichtige Einrichtung darstellen (vgl. § 28 Abs. 6 Nr. 4 BSIG). Somit kommt es für die kritischen Anlagen zu einer deutlichen Ausweitung des Geltungsbereichs / Scopes im Rahmen einer Risikobetrachtung. Zukünftig müsste nicht nur die kritische Anlage / kritische Dienstleistung betrachtet werden, sondern das gesamte Unternehmen (also z.B. auch die Office-IT). Aus der Gesetzesbegründung zu § 30 BSIG ergibt sich, dass im Zweifel wohl nur in Bezug auf die kritische Anlage die Sicherheit gegenüber den Kosten priorisiert werden muss. In Bezug auf die gesamte Einrichtung können die Kosten wohl deutlich besser in die Abwägung der erforderlichen Maßnahmen einbezogen werden. Allerdings bestehen hier noch weiterhin Unklarheiten.

Es wird die Möglichkeit eingeführt branchenspezifische Sicherheitsstandards auch für Systeme zur Angriffserkennung zu erarbeiten und behördlich anerkennen zu lassen (§ 30 Abs. 12 BSIG).