Skip links
Kontakt
scroll
tacticx Consulting GmbH
Business Data Protection and Privacy Online: Cybersecurity Strategies for Safeguarding Information

NIS2 – Neuer Referentenentwurf veröffentlicht

Im Zuge der Umsetzung der EU-Richtlinie 2022/2555 vom 14.12.2022 zur Erhöhung des Cybersicherheitsniveau in nationales Recht liegt seit dem 07.05.2024 ein neuer Referentenentwurf vor. Welche Änderungen hierbei vorgenommen sollen im Folgenden dargestellt werden.

Am 16. Januar 2023 ist die NIS2-Richtlinie („The Network and Information Security (NIS) Directive“) in Kraft getreten. Bis Oktober 2024 sind die EU-Mitgliedstaaten dazu angehalten, diese in nationales Recht zu überführen. In Deutschland wurde hierzu im April 2023 ein erster Referentenentwurf des Bundesinnenministeriums zur nationalen Umsetzung, bekannt als NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS-2UmsuCG) veröffentlicht. Seit dem 07.05.2024 liegt hierzu eine aktualisierte Fassung vor und muss bis Oktober 2024 das weitere Gesetzgebungsverfahren durchlaufen.

Das NIS-2UmsuCG nimmt dabei wesentliche Änderungen an der bisherigen KRITIS-Regulierung, insbesondere durch die Umsetzung der Einrichtungskategorien, vor. Neben den bisherigen Betreibern kritischer Infrastrukturen, sind nun auch weitere „wichtige“ und „besonders wichtige“ Einrichtungen betroffen. Die mitarbeiteranzahlabhängige und umsatzabhängige Betroffenheit kann dabei anhand einer Sektorenzugehörigkeit festgestellt werden. Insgesamt sind durch diese Ausweitung des Geltungsbereichs schätzungsweise über 30.000 Unternehmen in Deutschland betroffen.

Unternehmen sind dabei jedoch dazu angehalten selbst festzustellen, ob eine solche Betroffenheit vorliegt und damit einhergehend umfassende Sicherheitsmaßnahmen nachweisbar einzuführen. Als Anforderungen werden dabei unter anderem einzuführende Maßnahmen in Bezug auf die Risikoanalyse und auf die Sicherheit in der Informationstechnik, ein Notfall- und Krisenmanagement, Sicherheitsmaßnahmen in der Lieferkette, sowie ein Prozess zur Meldung von Sicherheitsvorfällen vorgeschrieben. Betroffene Unternehmen sind zudem aufgefordert sich beim BSI zu registrieren.

Unterlässt ein betroffenes Unternehmen die Vornahme der verpflichtenden Maßnahmen, ist es möglich, dass die Geschäftsführer dem Unternehmen gegenüber persönlich haften. Zur Kontrolle und Aufsicht dieser Vorgaben werden dem Bundesamt für Sicherheit in der Informationstechnik (BSI) weitgehende Befugnisse eingeräumt, um entsprechende Nachweise anzufordern und ggfs. auch Maßnahmen (z.B. die Ausübung von Leitungsaufgaben auf Geschäftsführungsebene untersagen) auszusprechen.

Übersicht der Änderungen am NIS2 Referentenentwurf

Im fünften Referentenentwurf des NISUmsuCG wurden im Vergleich zum Referentenentwurf von Dezember 2023 nur an einigen Stellen Änderungen vorgenommen. Neben rein sprachlichen oder strukturellen Anpassungen wurden unter anderem Änderungen im Rahmen der Bußgeldvorschriften vorgenommen. Daneben wurde das des Schutzziels „Authentizität“ entfernt, Bundeseinrichtungen wurden aus dem Geltungsbereich genommen und ein Paragraf zur Regelung einer Konformitätsbewertung wurde eingeführt. Konkretisierende Anpassungen z.B. im Bereich des vorzunehmenden Risikomanagements wurden nicht vorgenommen.

 NormNormtextKommentar
1§ 2 BegriffsbestimmungenBodeninfrastruktur“ betreffend den Sektor Weltraum Einrichtungen, die der Kontrolle, Kommunikation, Beobachtung oder Steuerung des Startes, Fluges oder eventuellen Landung von Weltraumgegenständen dienen;neu aufgenommen
2§ 2 BegriffsbestimmungenContent Delivery Network“ oder „CDN“ eine Gruppe geographisch verteilter, zusammengeschalteter Server, die mit dem Internet verbunden sind, mitsamt der hierfür erforderlichen Infrastruktur, die der Bereitstellung – also Caching – digitaler Inhalte und Dienste für Internetnutzer im Auftrag von Inhalte- und Diensteanbietern dienen, mit dem Ziel, die Gewährleistung einer hohen Verfügbarkeit, Zugänglichkeit oder Zustellung mit möglichst niedriger Latenz;Spezifizierung der Definition
3§ 2 BegriffsbestimmungenInstitutionen der Sozialen Sicherung“ Körperschaften gemäß § 29 des Vierten Buches Sozialgesetzbuch, Arbeitsgemeinschaften gemäß § 94 des Zehnten Buches Sozialgesetzbuch, die Versorgungsanstalt der deutschen Bühnen, die Versorgungsanstalt der deutschen Kulturorchester und die Versorgungsanstalt der bevollmächtigten Bezirksschornsteinfeger sowie die Deutsche Post AG, soweit sie mit der Berechnung oder Auszahlung von Sozialleistungen betraut ist;neu aufgenommen
4§ 6 Informationsaustausch(1) Das Bundesamt betreibt eine Online-Plattform zum Informationsaustausch mit wichtigen Einrichtungen, besonders wichtigen Einrichtungen und Einrichtungen der Bundesverwaltung. Es kann die beteiligten Hersteller, Lieferanten oder Dienstleister zum Austausch über Cyberbedrohungen, Schwachstellen, Beinahevorfällen, IT-Sicherheitsmaßnahmen sowie zur Aufdeckung und Abwehr von Cyberangriffen hinzuziehen. Das Bundesamt kann weiteren Stellen die Teilnahme ermöglichen.
(2) Das Bundesamt gibt Teilnahmebedingungen für den Informationsaustausch und die Plattformnutzung zwischen den Teilnehmenden vor.		Anpassung: Der Kreis derjenigen, die die Plattform zum Informationsaustausch teilnehmen können, wurde auf “weitere Stellen” erweitert. Die Entscheidung liegt beim Bundesamt. Zusätzlich sollen Teilnahmebedingungen veröffentlich werden
5§ 8 Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des BundesDas Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und Abwehr von Schadprogrammen und sonstigen erheblichen Gefahren für die Kommunikationstechnik des Bundes erforderlich istEine sonstige Gefahr muss nun “erheblich” sein
6§ 15 Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden(2) Wird durch Abfragen gemäß Absatz 1 eine bekannte Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems erkannt, informiert das
Bundesamt darüber unverzüglich die für das informationstechnische System Verantwortlichen. Gehört das informationstechnische System zu einer Einrichtung der Bundesverwaltung, sind zugleich die Informationssicherheitsbeauftragten der betroffenen Einrichtung der
Bundesverwaltung nach § 45 und des übergeordneten Ressorts nach § 46 zu informieren.		Hier wird nunmehr auf eine „bekannte“ Schwachstelle referenziert
7§ 17 Anordnungen von Maßnahmen des Bundesamtes gegenüber Anbietern von TelemediendienstenDas Bundesamt kann in begründeten Einzelfällen zur Abwehr konkreter, erheblicher Gefahren für informationstechnische Systeme einer Vielzahl von Nutzern, die von Telemedienangeboten von Anbietern von Telemedien nach § 2 Absatz 2 Nummer 1 des Telekommunikation-Telemedien-Datenschutz-Gesetzes ausgehen, die durch ungenügende technische und organisatorische Vorkehrungen nach § 19 Absatz 4 des Telekommunikation-Telemedien-Datenschutz-Gesetzes unzureichend gesichert sind und dadurch keinen hinreichenden Schutz bieten vorEin Einzelfall muss nun nicht mehr “begründet” sein
8§ 28 Besonders wichtige Einrichtungen und wichtige Einrichtungen(4) Die §§ 31, 32, 35 und 39 gelten nicht für: 1. Besonders wichtige Einrichtungen und wichtige Einrichtungen, soweit sie a) ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche Telekommunikationsdienste erbringen, und b) den Regelungen des Telekommunikationsgesetzes unterliegen; 2. Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 1 des Gesetzes vom 5. Februar 2024 (BGBl. 2024 I Nr. 32) geändert worden ist, soweit sie den Regelungen des § 5c des Energiewirtschaftsgesetzes unterliegen.”Nach der Neuregelung fallen Finanzunternehmen hier nicht mehr drunter, sondern fallen nun unter Absatz 5      
9§ 28 Besonders wichtige Einrichtungen und wichtige Einrichtungen(8)           Eine juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft ist keine wichtige oder besonders wichtige Einrichtung im Sinne dieses Gesetzes, wenn diese 1.            im ausschließlichen mittel- oder unmittelbaren Eigentum von Gebietskörperschaften, ausgenommen des Bundes, steht, 2.            ausschließlich Waren oder Dienstleistungen für Gebietskörperschaften, ausgenommen des Bundes, gegen Entgelt anbietet und 3.            durch landesrechtliche Vorschriften unter Bezugnahme auf diesen Absatz reguliert wird.Wurde gestrichen
10§ 29 Einrichtungen der Bundesverwaltung(3) Die Geschäftsbereiche des Auswärtigen Amts und des Bundesministeriums der Verteidigung sowie der Bundesnachrichtendienst und das Bundesamt für Verfassungsschutz sind zusätzlich von den Regelungen der §§ 10, 13 Absatz 1 Nummer 1 Buchstabe e, § 30, 33, 35 und 50 Absatz 3 ausgenommen. Das Auswärtige Amt erlässt im Einvernehmen mit dem Bundesministerium des Innern und für Heimat eine allgemeine Verwaltungsvorschrift, um die Ziele der NIS-2-Richtlinie im Geschäftsbereich des Auswärtigen Amtes durch ergebnisäquivalente Maßnahmen umzusetzen.Ergänzungen
11§ 30 Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen(1) Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Vertraulichkeit der informations- technischen Systeme, Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dabei sind das Ausmaß der Risikoexposition die Größe der Einrichtung, die Umsetzungskosten und die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. Die Einhaltung der Verpflichtung nach Satz 1 ist durch die Einrichtungen zu dokumentieren.Authentizität als Schutzziel wurde gestrichen
12§ 32 Meldepflichten(5) Das Bundesamt informiert die zuständigen Aufsichtsbehörden des Bundes unverzüglich über die bei ihm eingegangenen Meldungen.Gem. Abs. 1 müssen Einrichtungen nun nicht mehr im Falle von Sicherheitsvorfällen zusätzlich der zuständigen Aufsichtsbehörde melden. Abs. 5 legt dahingehend fest, dass das Bundesamt die zuständigen Aufsichtsbehörden über eingegangene Meldungen informiert.
14§ 38 Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen(2) Ein Verzicht der Einrichtung auf Ersatzansprüche aufgrund einer Verletzung der Pflichten nach Absatz 1 oder ein in einem groben Missverhältnis zu einer bestehenden Ungewissheit über das Rechtsverhältnis stehender Vergleich der Einrichtung über diese Ansprüche ist unwirksam. Dies gilt nicht, wenn der Ersatzpflichtige zahlungsunfähig ist und sich zur Abwendung des Insolvenzverfahrens mit seinen Gläubigern vergleicht oder wenn die Ersatzpflicht in einem Insolvenzplan geregelt wird.Ergänzung
15§ 55 Konformitätsbewertung und Konformitätserklärung§ 55
Konformitätsbewertung und Konformitätserklärung
(1) Das Bundesamt kann für die vom Bundesamt in einer Technischen Richtlinie festgelegten Anforderungen und Vorgaben die Durchführung einer Selbstbewertung der Konformität unter der alleinigen Verantwortung des Herstellers oder Anbieters von IKT-Produkten, -Diensten und -Prozessen, einer Person oder einem IT-Sicherheitsdienstleisters, die keine Verbraucherprodukte nach § 57 sind, zulassen. Der Hersteller oder Anbieter von IKT-Produkten, -Diensten und -Prozessen, die Person oder der IT-Sicherheitsdienstleister kann unter den Voraussetzungen von Satz 1 eine Konformitätserklärung ausstellen, die bestätigt, dass die Erfüllung der in der Technischen Richtlinie festgelegten Anforderungen nachgewiesen wurde. Durch die Ausstellung einer solchen Erklärung übernimmt der Hersteller oder Anbieter der IKT-Produkte, -Dienste und -Prozesse, die Person oder der IT-Sicherheitsdienstleister (Aussteller) die Verantwortung dafür, dass das IKT-Produkt, der IKT-Dienst, der IKT-Prozess, die Person oder die IT-Sicherheitsdienstleistung der Technischen Richtlinie festgelegten Anforderungen entspricht.
(2) Die Technische Richtlinie nach Absatz 1 kann insbesondere Vorgaben enthalten, über
1. den Inhalt und das Format der Konformitätserklärung,
2. Nachweise und Verfahren, die die Angaben der Konformitätserklärung belegen,
3. die Bedingungen für die Aufrechterhaltung, Fortführung und Verlängerung der Konformitätserklärung,
4. die Verwendung eines vom Bundesamt bereitgestellten Kennzeichens und Siegel sowie die Bedingungen für dessen Verwendung,
5. die Meldung und Behandlung erkannter Cybersicherheitslücken des IKT-Produktes, Dienstes oder -Prozesses oder der IT-Sicherheitsdienstleistung,
6. die Bereitstellung von Informationen auf der Internetseite des Bundesamtes über die Konformitätserklärung, dessen Aussteller und das IKT-Produkt, den -Dienst, den -Prozess, die Person oder die IT-Sicherheitsdienstleistung oder
7. die Befristung der Konformitätserklärung.
(3) Wird in den Vorgaben nach Absatz 2 festgelegt, dass die Angaben der Konformitätserklärung nur durch eine akkreditierte Konformitätsbewertungsstelle belegt werden kann, so kann das Bundesamt auf Antrag Konformitätsbewertungsstellen, die im Anwendungsbereich dieses Paragraphen tätig werden, eine Befugnis erteilen, als solche tätig zu werden, wenn die maßgeblichen Voraussetzungen der Technischen Richtlinie erfüllt sind. Ohne eine Befugniserteilung durch das Bundesamt dürfen Konformitätsbewertungsstellen im Anwendungsbereich dieses Paragraphen nicht tätig werden.
(4) Der Aussteller hält die Konformitätserklärung, die technische Dokumentation und alle weiteren einschlägigen Informationen in Bezug auf die Konformität der IKT-Produkte, Dienste, der Person oder der IT-Sicherheitsdienstleistung mit den festgelegten Kriterien während eines Zeitraums, der vom Bundesamt in der Technischen Richtlinie nach Absatz 1 festgelegt wurde, für das Bundesamt bereit. Eine Kopie der Konformitätserklärung ist dem Bundesamt vorzulegen.
(5) Das Bundesamt kann geeignete Maßnahmen ergreifen, um sicherzustellen, dass die Aussteller von Konformitätserklärungen den Anforderungen des Schemas und den Vorgaben dieses Paragraphen genügen und insbesondere
1. Aussteller von Konformitätserklärungen auffordern, ihm sämtliche Auskünfte zu erteilen, die es für die Erfüllung ihrer Aufgaben benötigt,
2. Untersuchungen in Form von Testkäufen oder Audits bei den Ausstellern von Konformitätserklärungen durchführen, um deren Einhaltung der in der Technischen Richtlinie festgelegten Anforderungen und Vorgaben nach Absatz 1 zu überprüfen und
3. Konformitätserklärungen nach Absatz 1 für ungültig erklären.
(6) Für Maßnahmen nach Absatz 4 kann das Bundesamt Gebühren erheben, sofern das Bundesamt auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der Anforderungen der Technischen Richtlinie oder dieses Paragraphen begründeten.		Neu aufgenommen

Wie geht es nun weiter?

Für den aktuellen Referentenentwurf des NIS2UmsCG, als Vorstufe zur Kabinettsfassung, beginnt jetzt die Anhörung von Verbänden und Bundesländern. Wann der Entwurf zur finalen Verabschiedung vorgelegt wird, ist derzeit noch nicht absehbar. Die Einhaltung der Frist zur Umsetzung in nationales Recht bis Oktober 2024 erscheint dabei nur noch wenig wahrscheinlich.

Trotz dieser vermuteten Verzögerung sollten Unternehmen angesichts der drohenden Bußgelder bereits beginnen sich mit den gesetzlichen Anforderungen auseinanderzusetzen und beginnen entsprechende Maßnahmen zu implementieren. Übergangsfristen zur Umsetzung der Vorgaben werden Unternehmen dabei nicht eingeräumt. Sofern das NIS2UmsCG im Oktober 2024 in Kraft tritt, haben betroffene Unternehmen, die als „besonders wichtige“ oder „wichtige“ Einrichtung angesehen werden drei Monate Zeit, um sich zu registrieren. Die einzuhaltenden Vorgaben gelten dabei ab der Registrierung. Sollten Sie sich unsicher sein, ob Ihr Unternehmen von NIS2 betroffen ist oder bei der Umsetzung der NIS2-Vorgaben Unterstützung benötigen, kommen Sie gerne auf uns zu.