Das Bundesministerium des Inneren und für Heimat (BMI) hat am 27. September 2023 ein neues Diskussionspapier zum Entwurf des deutschen Gesetzes zur Umsetzung der europäischen NIS-2-Richtlinie veröffentlicht. Zentrale Punkte scheinen eine Harmonisierung mit der sonstigen Gesetzeslage und ein Zukommen auf die Wirtschaft zu sein.
Welche Bedeutung hat das Diskussionspapier?
Das Diskussionspapier ist in erster Linie ein nach internen Diskussionen entstandenes Update zum im Juli 2023 erstmals veröffentlichten Referentenentwurf für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) – wir berichteten. Es wurden insbesondere die wirtschaftlichen Aspekte des Entwurfes hervorgehoben und die die betroffenen Verbände aufgefordert, bis zum 20. Oktober 2023 Stellung zu nehmen.
Nichtsdestotrotz scheint zwischen den einzelnen Ministerien noch Gesprächsbedarf zu bestehen, wie man aus vereinzelten Quellen wahrnehmen kann. Somit steht inzwischen infrage, ob das Gesetz noch 2023 verabschiedet werden kann. Wäre dies nicht der Fall, würde die Umsetzung von NIS-2 jedenfalls langsamer ablaufen als bei NIS-1. Ob ein langsameres Tempo angesichts der aktuellen Cyber-Bedrohungslage begrüßenswert ist, mag zu bezweifeln sein. Andererseits ist die vorherige Einbindung der unter der deutschen Bürokratie ächzenden Wirtschaft vor Verabschiedung des Gesetzes durchaus begrüßenswert. Bis zum 17.10.2024 ist allerdings auch noch Zeit bis zur Umsetzung der Richtlinie.
Was für Änderungen sieht das Diskussionspapier vor?
Im Vergleich zum Entwurf vom 3. April 2023 sieht man folgende zentrale Änderungen vor:
Inkraftreten
Es ist in Art. 29 ein Inkrafttreten des Gesetzes zum 1. Oktober 2024 vorgesehen.
Prüfung von Kritischen Anlagen
Prüfungen von kritischen Anlagen (KRITAN, neu für: KRITIS) auf die im Entwurf vorgesehenen Risikomanagementmaßnahmen (§§ 30, 31 BSIG2) sollen nun nur alle 3 Jahre, statt alle 2 Jahre stattfinden, § 39 BSIG2.
Die erste Überprüfung erfolgt zu einem variablen Zeitpunkt, frühestens aber 3 Jahre nach Inkrafttreten des NIS2UmsuCG, also ab dem 1. Oktober 2027.
Die sonstigen besonders wichtigen Einrichtungen (BWE) wurden von diesen regelmäßigen Prüfungen ausgenommen. Die BWE und die wichtigen Einrichtungen (WE) können aber weiterhin durch das BSI zu Prüfungen oder Eigennachweisen verpflichtet werden, §§ 64, 65 BSIG2 – wenn das BSI die Überprüfung nicht sogar selbst vornimmt.
Informationen zu Sektoren
Die Informationen zu den Sektoren der WE und BEW wurden teilweise überarbeitet. In den Anlagen 1 und 2 zum Gesetz werden jetzt für jeden Sektor konkrete Einrichtungsarten benannt. Damit können bestimmte Unternehmen nun schneller einem Sektor zugeordnet werden (§ 28 BSIG2), was u. a. für die Registrierungspflichten (§ 33 BSIG2) essentiell ist.
An den Sektoren für KRITAN/KRITIS gem. § 28 Abs. 6 BSIG2 wurden hingegen augenscheinlich keine Änderungen vorgenommen.
Nach Art. 2 Nr. 2 des Entwurfes, sollen allerdings die Absätze 5 bis 8 des § 28 BSIG2 gestrichen werden. Darunter fällt dann auch die bisherige Sektor-Definition in Abs. 6. Stattdessen soll nun nach Art. 2 Nr. 1 auf § 2 Nr. 3 des Umsetzungsgesetzes für die CER-Richtlinie für die KRITAN-Definition verwiesen werden. Dieser Punkt ist bislang aber noch widersprüchlich, da die Absätze bisher noch im Art. 1 aufgeführt werden.
Kategorisierung der Unternehmen
Es sind mit der neuen Fassung von § 28 Abs. 3 BSIG2 für die Kategorisierung eines Unternehmens als WE oder BWE nur noch die Mitarbeiter- und Umsatzzahlen maßgeblich, die tatsächlich in den Bereichen arbeiten, die in den Anlagen 1 und 2 des Gesetzes benannt sind. Teilweise müssen bei „Querschnittsaufgaben“ aber die Arbeitsanteile einzelner Mitarbeiter:innen anteilig angerechnet werden.
Da für die Unterscheidung zwischen WE und BWE die Mitarbeiter- und Umsatzzahlen entscheidend sind (sog. Size-Cap-Rule), ist diese Änderung besonders wichtig. Bei der Überschreitung einer bestimmten Umsatz- oder Mitarbeiterzahlgrenze wird nämlich grundsätzlich eine besonders wichtige Einrichtung angenommen, sodass härtere Pflicht- und Strafregeln angewendet werden müssen.
Die Änderung kommt Unternehmen entgegen, da Unternehmensbereiche nun ihrer tatsächlichen Größe entsprechende erfasst werden.
Zentrale Austauschplattform
In § 30 Abs. 7 BSIG2 werden BWE nun bereits innerhalb eines Jahres nach Inkrafttreten des NIS2UmsuCG zur Teilnahme an der zentralen Austauschplattform des BSI (BISP) verpflichtet, was über die Vorgaben von NIS-2 hinausgeht.
Melde- und Registrierungspflichten
Die Melde- und Registrierungspflichten haben sich nun einen Paragraphen nach hinten verschoben, sind also nun in § 32 und § 33 BSIG2 zu finden.
Registrierungsfristen
Der Absatz, der besonders kurze Registrierungsfristen für KRITIS vorsah (§ 33 Abs. 3) wurde ersetzt durch einen Verweis auf das kommende KRITIS-Dachgesetz. Dessen § 8 könnte eine inhaltsgleiche Frist vorsehen.
Geschäftsführung
§ 38 Abs. 1 Satz 2 BSIG2, der vorsah, dass Geschäftsführungen die Risikomanagementmaßnahmen im Bereich der Cybersicherheit nicht an Dritte delegieren dürfen, scheint ersatzlos gestrichen worden zu sein. Das Diskussionspapier macht aber deutlich, dass auch bei der Einschaltung einer Hilfsperson, das „Leitungsorgan letztverantwortlich“ bleibt. Geschäftsführer müssen daher weiter auch selbst ausreichende Skills durch regelmäßige Schulungen erwerben, § 38 Abs. 3 BSIG2.
Gleichzeitig wurde aber die Möglichkeit des Verzichts auf Ersatzansprüche gegen den Geschäftsführer weiter verboten. Entsprechende Absprachen sollen weiter unwirksam sein nach § 38 Abs. 2 BSIG2.
Eine Erleichterung stellt hingegen dar, dass nun Mitarbeiter:innen nicht mehr zur Teilnahme an den gleichen Schulungen wie die Geschäftsleitung verpflichtet sind. In der Kommentierung des Diskussionsblattes wurde aber festgehalten, dass die Einrichtungen dennoch zum Anbieten solcher Schulungen aufgefordert werden.
Einsatz von Produkten
Die Verpflichtung für BWE-Betreiber zur ausschließlichen Verwendung von für die Cybersicherheit zertifizierten Produkten wurde von § 30 Abs. 9 in § 30 Abs. 6 BSIG2 verschoben, wird aber beibehalten. Entwickler deren Produkte also wg. eines Vorschriftsverstoßes – auch nur temporär – eine Sicherheitszertifizierung entzogen wird, droht also weiterhin ein Totalverlust an BWE-Kunden (siehe unser letzter Bericht).
Was folgt aus dem Diskussionspaper? Was ist zu tun?
Es ist anzumerken, dass der veröffentliche Inhalt des Diskussionspapiers noch nicht den gesamten Gesetzestext enthält. Von insgesamt wohl 29 Artikeln sind lediglich 3 bisher einsehbar. Ebenfalls ist zu berücksichtigen, dass die Rückmeldungen der Branchenverbände wohl noch eingearbeitet werden. Der Gesetzesentwurf ist damit noch Änderungen unterworfen.
Festzuhalten ist im Moment jedenfalls, dass der aktuelle Entwurf die Verständlichkeit verbessert und ursprünglich sehr strenge Vorgaben etwas entschärft. Dem sind aber durch die NIS-2-Richtlinie Grenzen gesetzt: Die wesentlichen Vorgaben sind umzusetzen.
Daher sind die weiteren Entwicklungen im Auge zu behalten. Es ist anzuraten, sich möglichst früh mit den Branchenverbänden abzustimmen, Rechtsrat einzuholen und die erforderlichen Maßnahmen zu ergreifen, da die Kosten für Ressourcen, Personal und Dienstleistungen (insbesondere Audits) in naher Zukunft wohl viel beansprucht, teuer und knapp werden, wenn das NIS2UmsuCG eine solide Form annimmt. Auch die Organisation von Schulungen sollte umsichtig früh vorgenommen werden, um den umfangreichen Stoff abarbeiten zu können.
Wir stehen Ihnen gerne mit unserer fachanwaltlichen Expertise zur Seite, um ein optimales Ergebnis zu erzielen.
Benno Gerwinn
Wiss. Mitarbeiter
