Erster Referentenentwurf zur Umsetzung der NIS-2-Richtlinie

Die Europäische Union hat die europäische Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) veröffentlicht, um europaweit eine einheitliche Herangehensweise an und ein einheitliches Niveau für die Gewährleistung von Cybersicherheit gesellschaftlich bedeutender Funktionen zu schaffen (wir berichteten hier und hier). Die Richtlinie ist bis zum 17. Oktober 2024 in nationales Recht zu überführen.

Zu diesem Zweck befindet sich in Deutschland ein neues Gesetz in Vorbereitung, das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)“. Beim NIS2UmsuCG handelt es sich um ein Artikelgesetz, welches verschiedene bestehende Gesetze, die Bezug zum Inhalt der NIS-2-Richtlinie haben, gemäß der Richtlinie anpasst.

Für dieses Artikelgesetz liegt ein erster Referentenentwurf des Bundesministeriums des Innern und für Heimat (BMI) vom 3. April 2023 vor, der in diesem Beitrag dargestellt wird. Bei dieser Vorstellung handelt es sich nicht um eine umfassende Darlegung aller Inhalte und Konsequenzen des 243-seitigen Entwurfs; dies würde den Rahmen sprengen. Vielmehr handelt es sich um einen ersten Eindruck bemerkenswerter und – hoffentlich für einen Großteil der Leserschaft – praxisrelevanter Einzelaspekte. Auf Darstellungen zu Änderungen an den Regelungen der Einrichtungen der Bundesverwaltung wird verzichtet.

Auswirkungen des NIS2UmsuCG auf das BSIG

Allgemeines zum neuen BSI-Gesetzesentwurf

In seiner Eigenschaft als Artikelgesetz passt das NIS2UmsuCG eine Vielzahl von Gesetzen an. Die umfangreichsten Änderungen werden am „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG)“ vorgenommen. Dies ist verständlich, da das BSIG das zentrale Gesetz zur Regelung von Informationssicherheit in Deutschland ist und deutliche Überschneidungen mit dem Regelungsgegenstand der NIS-2-Richtlinie aufweist.

Die erste auffallende Anpassung am BSIG ist die Änderung des Namens: Das BSIG wird in Zukunft „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Betreibern und Einrichtungen“ heißen, die Abkürzung BSIG bleibt erhalten. Dies macht deutlich, dass es sich beim neuen BSIG um ein thematisch umfassenderes Gesetz handelt, das mehr als „nur“ die Aufgaben des BSI regelt.

Um Verwechslungen zu vermeiden, wird im Folgenden, insofern der inhaltliche Bezug der Ausführungen auf die Version des BSIG nicht eindeutig ist, die Abkürzung „BSIG-alt“ verwendet, wenn auf Regelungen des bestehenden BSIG Bezug genommen wird; die Regelungen des BSIG-Entwurfs nach Inkrafttreten der Änderung durch das NIS2UmsuCG werden als „BSIG-neu“ bezeichnet.

Das BSIG-neu wird inhaltlich in mehrere Teile gegliedert, die teilweise wiederum in Kapitel unterteilt sind. Die neue Inhaltsübersicht macht den Regelungsumfang deutlich:

Teil 1 Allgemeine Vorschriften
Teil 2 Das Bundesamt
- Kapitel 1 Aufgaben und Befugnisse
- Kapitel 2 Datenverarbeitungen
Teil 3 Sicherheit in der Informationstechnik von Betreibern und Einrichtungen
- Kapitel 1 Anwendungsbereich
- Kapitel 2 Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten
- Kapitel 3 Sicherheit in der Informationstechnik von Einrichtungen der Bundesverwaltung
Teil 4 Datenbank der Domain-Namen-Registrierungsdaten
Teil 5 Zertifizierung und Kennzeichen
Teil 6 Verordnungsermächtigungen, Grundrechtseinschränkungen, Rat der IT Beauftragten und Berichtspflichten
Teil 7 Bußgeldvorschriften und Aufsicht

Auch die Begriffsbestimmungen sind erheblich erweitert worden.

Anwendungsbereich des BSIG nach dem neuen Entwurf

Der § 2 Abs. 14 BSIG-alt, der Unternehmen im besonderen öffentlichen Interesse (üblicherweise „UBI“ abgekürzt) in drei Kategorien unterteilt, entfällt. Die Benennung und Kategorisierung von UBI wird im BSIG-neu nicht fortgeführt.

§ 28 Abs. 3 BSIG-neu definiert „besonders wichtige Einrichtungen“. Dazu gehören u. a. Betreiber kritischer Anlagen sowie Großunternehmen in den Sektoren Energie, Verkehr oder Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von IKT-Diensten (Business-to-Business) und Weltraum.

§ 28 Abs. 4 BSIG-neu definiert „wichtige Einrichtungen“. Dazu gehören u. a. mittlere Unternehmen in den eben genannten Sektoren, weiterhin mittlere Unternehmen und Großunternehmen in den Sektoren Logistik, Siedlungsabfall, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, Anbieter digitaler Dienste oder Forschung. Die bisherigen UBI1 und UBI3 aus dem BSIG-alt werden ausdrücklich als wichtige Einrichtungen aufgeführt; UBI2 sind durch die Regelungen des BSIG-neu als besonders wichtige resp. wichtige Einrichtungen erfasst.

Die Bestimmung der Zugehörigkeit von Einrichtungen in die neuen Kategorien erfolgt dabei über die Zuordnung einer Einrichtung zu einer „Einrichtungsart“. Diese wird durch eine neu zu schaffende Rechtsverordnung durch das BMI festgelegt, d. h. die bisherige „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-KritisV)“ wird überarbeitet oder durch eine neue Verordnung ersetzt werden.

Betreiber öffentlicher Telekommunikationsnetze und -dienste sowie bestimmte Dienstleister nach Fünftem Buch Sozialgesetzbuch (SGB V) sind zwar von den Definitionen erfasst, für sie gelten aber die nachfolgend dargestellten Maßnahmen zur Cybersicherheit nicht, wobei die Ausnahmen den Kommentaren im Entwurf nach noch in der Diskussion zu sein scheinen. Regelungen, die Einrichtungen betreffen, die dem Digital Operational Resilience Act (DORA) – Richtlinie (EU) 2022/2554 unterliegen, befinden sich ebenfalls noch in der Ressortabstimmung.

Risikomanagementmaßnahmen

Der § 30 BSIG-neu regelt zu treffende Risikomanagementmaßnahmen. Dabei werden als Schutzziele der Informationssicherheit Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit festgelegt. Bei der Bewertung der Angemessenheit der umgesetzten Maßnahmen sind ausdrücklich nicht nur wirtschaftliche, sondern insbesondere gesellschaftliche Auswirkungen zu berücksichtigen.

Bei der Umsetzung verhältnismäßiger technischer und organisatorischer Maßnahmen ist eine Liste von zehn ausdrücklichen Maßnahmen festgelegt, die zumindest berücksichtigt sein müssen. Dazu gehören ausdrücklich auch Schulungen und Multi-Faktor-Authentifizierung.

Auch die Sicherheit der Lieferkette und die Entwicklung von Systemen wird ausdrücklich bedacht. So ist die Sicherheitspraxis von Anbietern und die Gesamtqualität der verwendeten Produkte in die Risikobeurteilung einzubeziehen. Besonders wichtige Einrichtungen und wichtige Einrichtungen sind verpflichtet, die nach der zukünftigen Rechtsverordnung (s. u.) bestimmten zertifizierten Produkte einzusetzen.

Meldepflichten

Meldepflichten nach § 31 BSIG-neu für Sicherheitsvorfälle gelten für besonders wichtige Einrichtungen und wichtige Einrichtungen. Dabei ist eine Erstmeldung spätestens 24 Stunden nach Kenntniserlangung abzugeben. Nach spätestens 72 Stunden sind die Angaben der Erstmeldung zu bestätigen resp. zu korrigieren sowie eine Bewertung des Sicherheitsvorfalls einschließlich seines Schweregrads und seiner Auswirkungen abzugeben.

Spätestens nach einem Monat ist eine Abschlussmeldung zu erstellen, die insbesondere auch die Ursache und die getroffenen Abhilfemaßnahmen beinhaltet. Dauert der Sicherheitsvorfall länger als einen Monat, ist eine Fortschrittsmeldung abzugeben und der Abschlussbericht nachzureichen.

Das BSI hat während der Vorfallbehandlung ausdrücklich das Recht, Zwischenmeldungen anzufordern.

Ausweitung der Befugnisse des BSI

Durch die Änderungen am BSIG-alt erhält das BSI erweiterte Befugnisse zur Sicherstellung des Informationssicherheitsniveaus.

Beispielsweise bestehen beim BSIG-alt bereits Regelungen für KRITIS-Betreiber bezüglich „erheblicher“ Sicherheitsvorfälle. Neu geregelt wird in § 2 Abs. 3 BSIG-neu nun, dass das BSI Vorgaben bestimmen kann, wann ein Sicherheitsvorfall als „erheblich“ anzusehen ist. Dies nimmt Betreibern ggf. Regelungsfreiheiten, kann aufgrund einheitlicher Standards aber zu einem ausgeglicheneren Sicherheitsniveau führen.

Als weiteres Beispiel kann das BSI gemäß § 64 BSIG-neu bei „besonders wichtigen Einrichtungen“ eigeninitiativ die Einhaltung der gesetzlichen Anforderungen überprüfen, Weisungen zur Umsetzung von Maßnahmen erteilen, Überwachungsbeauftragte einsetzen und ggf. Zertifizierungen entziehen oder Geschäftsleitungen ihrer Position vorübergehend entheben. Bei „wichtigen Einrichtungen“ wird das BSI gemäß § 65 BSIG-neu nur nach Hinweisen tätig und die möglichen Maßnahmen sind beschränkter.

Erwähnenswert ist hier noch, dass die Bußgeldvorschriften erweitert und die Bußgeldhöhen angepasst werden.

Änderungen am EnWG

Neben dem BSIG wird auch das „Gesetz über die Elektrizitäts- und Gasversorgung (Energiewirtschaftsgesetz – EnWG)“ durch das NIS2UmsuCG deutliche Anpassungen erfahren. Insbesondere entfallen die Spezialregelungen § 11 (1a) bis § 11 (1g) und werden grundsätzlich durch die einheitliche Regelung aus dem BSIG ersetzt.

Die bisherigen Anforderungen aus den IT-Sicherheitskatalogen entfallen, da sie durch das BSIG-neu ersetzt werden. Jedoch kann gemäß § 11 Abs. 1c EnWG (neue Fassung) das BSI (!) im Einvernehmen mit der Bundesnetzagentur einen ergänzenden Katalog mit Sicherheitsanforderungen erstellen.

Fazit und Ausblick

Die Umsetzung der NIS-2-Richtlinie wird durch Anpassung bestehender Gesetze durchgeführt. Die Anpassung erfolgt durch das NIS2UmsuCG, welches vor allem das BSI-Gesetz stark überarbeitet. Neben einer deutlichen Strukturierung des BSIG werden „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ definiert. Betreiber kritischer Anlagen sind nun auch besonders wichtige Einrichtungen, UBI1 und UBI3 sind nun wichtige Einrichtungen, UBI2 werden von den neuen Regelungen erfasst.

Die Sicherheitsanforderungen sind einheitlich für alle erfassten Einrichtungen über die Sektoren hinweg bestimmt und beinhalten die Anforderungen der NIS-2-Richtlinie. Die umzusetzenden technischen und organisatorischen Maßnahmen basieren auf einem „gefahrenübergreifenden Ansatz“.

Es ist geplant, dass die Änderungen zum 1. Oktober 2024 in Kraft treten, dem letzten Quartalsbeginn vor der Umsetzungsfrist des Artikels 41 der NIS-2-Richtlinie. Allerdings tritt die Ermächtigung des BMI zum Erlass einer Rechtsverordnung bereits mit Verkündung des NIS2UmsuCG in Kraft, sodass diese bereits erstellt sein wird, bevor das BSIG-neu in Kraft tritt, und damit die Verordnung unmittelbar anwendbar sein wird. Dabei wird es sich wahrscheinlich um eine Überarbeitung der BSI-KritisV handeln.

Durch das NIS2UmsuCG könnte Deutschland die NIS-2-Richtlinie fristgerecht umsetzen und damit seinen Beitrag zu einer verbesserten und einheitlichen Informationssicherheit in Europa leisten.

Dr. Torge Schmidt | 30. Mai 2023 | Informationssicherheit | Anwendungsbereich, Artikelgesetz, besonders wichtige Einrichtungen, BMI, BSI, BSIG, EnWG, Informationssicherheit, Informationssicherheitsmanagement, Meldepflicht, NIS-2-Richtlinie, NIS2UmsuCG, Referentenentwurf, Risikomanagement, Sicherheitsanforderungen, UBI, wichtige Einrichtungen