Update NIS-2-Richtlinie: Referentenentwurf durchgesickert

Auf EU-Ebene steht sie schon, in der nationalen Umsetzung scheint nun erneut Bewegung in die Umsetzung gekommen sein – zur Umsetzung der NIS-2-Richtlinie in Deutschland wurden Inhalte des Referentenentwurfs veröffentlicht. Wir erklären, welche Änderungen neu sind und was dies für Sie bedeutet.

Cybersicherheit europaweit vereinheitlichen und verbessern ist das Ziel der EU-Richtlinie NIS-2. Die NIS-2-Richtlinie sollte bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Bis zum jetzigen Zeitpunkt ist dies noch nicht geschehen. Ein Regierungsentwurf des Umsetzungsgesetzes lag bereits am 22. Juli 2024 vor. Allerdings konnten aufgrund der vorgezogenen Neuwahlen keine abschließenden Verhandlungen geführt werden. Gemäß dem Diskontinuitätsprinzip muss die neue Regierung nun einen neuen Entwurf in den Bundestag einbringen. Somit beginnt der Prozess von vorne: Alle Gesetzentwürfe und Vorlagen, die vom alten Bundestag noch nicht fertiggestellt wurden, müssen neu behandelt und diskutiert werden. Die nationale Umsetzung der NIS-2 Richtlinie scheint sich nun weiter zu entwickeln.

NIS-2 Umsetzung in Deutschland kommt ins Rollen

Der kürzlich geleakte Referentenentwurf des entsprechenden Gesetzes vom 2. Juni ist die Fassung, die derzeit zwischen dem Bundesministerium des Innern (BMI), dem Bundeskanzleramt (BKAmt) und dem Bundesfinanzministerium (BMF) zur Abstimmung steht. Wie bei allen bisherigen Fassungen ist dieser Entwurf – inklusive der öffentlich zugänglichen Versionen – bei der unabhängigen Arbeitsgruppe KRITIS (AG KRITIS) öffentlich einsehbar.

Der AG KRITIS wurden über mehrere unabhängige Quellen verschiedene Bearbeitungsstände des RefE NIS2UmsuCG übermittelt, welche für den demokratischen Diskurs veröffentlicht wurden. Aufgrund der Geschäftsordnung der Ministerien ist die frühzeitige Einbindung der Zivilgesellschaft in den Beratungs- und Entstehungsprozess von Referentenentwürfen jedoch untersagt.

Gibt es Änderungen zu vorherigen Entwürfen?

Bei der Sichtung des Referentenentwurfs wird deutlich, dass es Änderungen beim Geltungsbereich, den Zuständigkeiten des BSI und BnetzA und Gesetzesrang gibt.

1. Änderung des Geltungsbereichs
   Die präzise Definition der Kategorien „besonders wichtige Einrichtungen” und „wichtige Einrichtungen” ist vermutlich die wichtigste Änderung innerhalb der NIS2-Umsetzung. Dies wird durch die Neufassung des § 28 Absatz 3 deutlich, in dem die Einrichtungsart nun klarer und detaillierter definiert wird. Diese Anpassung ist von zentraler Bedeutung für alle Betroffenen, da sie die Anwendungsbereiche und Verantwortlichkeiten der Richtlinie präzisiert.
   
   "Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind."
   
   Dadurch soll im Einzelfall vermieden werden, dass eine geringfügige Nebentätigkeit zu einer unverhältnismäßigen Identifizierung als wichtige oder besonders wichtige Einrichtung führt, so die Gesetzesbegründung.
   
   
2. Die Ermächtigung zum Erlass von Rechtsverordnungen (§ 56)
   Die Änderung betrifft den § 56 des Gesetzes, insbesondere Absatz 4. Dieser wurde überarbeitet, um die Anhörung von Wissenschaftlern, KRITIS-Betreibern und ihren Verbänden bei der Definition von KRITIS-Dienstleistungen und kritischen Anlagen im Rahmen der Kritisverordnung zu streichen. Diese Anhörungsverpflichtung ist nunmehr aufgehoben.
   
   
3. Erheblicher Sicherheitsvorfall (§ 56)
   Eine weitere Änderung wurde im § 56, insbesondere in Absatz 5, vorgenommen. Ursprünglich war dort vorgesehen, dass die Wissenschaft und die betroffenen Wirtschaftsverbände bei der Festlegung von Kriterien für den Erlass von Rechtsverordnungen bezüglich erheblicher Sicherheitsvorfälle einbezogen werden sollten.  Diese Bestimmung wurde nun gestrichen. Dieser Schritt ist von besonderem Interesse, da er Auswirkungen auf zukünftige gesetzliche Vorgaben hat, die bei der Definition und Einstufung von Sicherheitsvorfällen berücksichtigt werden müssen.
   
   Durch die Präzisierung liegt nun ein „erheblicher Sicherheitsvorfall“ (§ 2 Nr. 11) bereits vor, wenn es zu ernsthaften Störungen, erheblichen wirtschaftlichen Schäden oder relevanten Beeinträchtigungen Dritter kommt. Diese Klarstellung hat die Zielsetzung, betroffenen Unternehmen mehr Rechtssicherheit bei der Einordnung und Meldepflicht zu geben.
   
   
4. BSI und BnetzA
   Im vorliegendem Referentenentwurf werden zudem die bisherigen Zuständigkeiten von BNetzA und BSI im Hinblick auf konventionelle und digitale Dienstleister im Energiesektor konsolidiert. Die bisherige Verantwortung für die Überwachung der Einhaltung von Cybersicherheitsmaßnahmen bei KRITIS-Betreibern im Stromsektor lag primär bei der BNetzA. Mit der nun geplanten Einvernehmensregelung erhält das BSI jedoch eine deutlich größere Rolle. Durch die Zusammenarbeit und Abstimmung von Sicherheitsanforderungen wird das BSI in der Lage sein, ein einheitliches Sicherheitsniveau über alle KRITIS-Sektoren hinweg zu gewährleisten. Diese verstärkte Einflussnahme stärkt die zentrale Rolle des BSI als zentrale Cybersicherheitsbehörde im Bereich der Energieversorgung.
   

Was bedeutet dies für Unternehmen?

Angesichts der Entwicklungen bei der nationalen Umsetzung der NIS-2-Richtlinie sind Unternehmen jetzt gefordert, proaktiv zu handeln und ihre Informationssicherheit zu verbessern. Dies beinhaltet die Implementierung konkreter technisch-organisatorischer Maßnahmen. Selbstverständlich wird die NIS-2-Regulierung durch Änderungen im BSI-Gesetz die IT-Sicherheitslage beeinflussen. Das BSI rät dennoch unabhängig von diesen gesetzlichen Änderungen dazu, das eigene IT-Sicherheitsniveau kontinuierlich und aktiv zu optimieren und zu erhöhen – jedes Unternehmen, in jeder Branche.

Diese Maßnahmen können Sie schon heute ergreifen

Die geforderten Maßnahmen, die zur Verbesserung des IT-Sicherheitsniveau beitragen, müssen nach § 30 Absatz 1 den Stand der Technik einhalten, die einschlägigen und internationalen Normen berücksichtigen und auf einem gefahrenübergreifenden Ansatz beruhen. Hilfreiche Werkzeuge sind demnach international anerkannte Standards wie ISO 27001, IT-Grundschutz und ggf. weitere branchenspezifische ISMS-Rahmenwerke wie TISAX®, B3S und DORA. Diese Normen unterstützen bei der Umsetzung, sind jedoch nicht abschließend. Anforderungslücken zwischen dem ISMS-Standard und der NIS-2-Richtlinie müssen identifiziert und zusätzlich adressiert werden.

Eine strukturierte, systembasierte Projektdurchführung durch unterstützende Tools wie die Informationssicherheitssoftware EDIRA erleichtert den Umsetzungsaufwand enorm. Hier haben wir bereits Vorarbeit geleistet und konnten fehlende Punkte zwischen den Normvorgaben der ISO 27001 und der NIS-2-Richtlinie herausarbeiten.

Gerne sind wir Ihnen auf Ihrem Weg zur NIS-2-Konformität behilflich und unterstützen Sie bei der Umsetzung. Kommen Sie auf uns zu!