Die letzten Wochen kursierten zwei Leaks durch das Internet und verursachten teilweise Hektik in potentiell betroffenen Unternehmen – ohne Not! Heute nun versendete das Bundesinnenministerium endlich den offiziellen Referentenentwurf des NIS2-Umsetzungsgesetzes an die Verbände und Fachkreise.
Viele sehen sich jetzt bemüßigt, über einzelne Inhalte des RefE in den sozialen Medien zu informieren. Dies möchte ich in diesem Beitrag nicht tun. Vielmehr sortiere ich heute ein, welche Bedeutung dieser Referentenentwurf zum jetzigen Zeitpunkt für die potentiell betroffenen Unternehmen hat und nehme eine politische Ersteinschätzung vor.
1) Der vollständige Titel des Entwurfs
Referentenentwurf des Bundesministeriums des Innern für ein Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG).
Allein dem Titel ist folgendes zu entnehmen:
- Es handelt sich um den Referentenentwurf des BMI. D.h. bei dieser Fassung handelt es sich um die Arbeitsfassung des für das Thema verantwortlichen Ministerium – in diesem Fall das BMI.
- Der Entwurf ist noch nicht vom Bundeskabinett beschlossen, damit noch kein offizieller Gesetzentwurf der Bundesregierung (auch wenn das BMI natürlich im Vorfeld diesen Entwurf mit anderen Ministerien vorabgestimmt hat).
- Es soll durch ein Bundesgesetz umgesetzt werden die „Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148“. ABl. L 333 vom 27. Dezember 2022, S. 80. – Kurzfassung: NIS2-Richtlinie
- Es wird nicht nur die NIS2-Richtlinie – verspätet (Die Umsetzungsfrist hatte bereits die Ampel verstreichen lassen) – umgesetzt in dem Sinne, dass der bisherige Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz auf den Bereich bestimmter Unternehmen erweitert wird. Zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt.
2) Inhalt des RefE
Ausweislich des RefE werden schwerpunktmäßig folgende Regelungen vorgeschlagen:
- Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
- Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2-Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
- Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
- Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.
- Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten.
- Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhab-bares Regelungsregime zu gewährleisten.
- Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
3) Artikelgesetz: BSIG und Änderung von 26 weiteren Gesetzen
Der RefE ist als Artikelgesetz aufgebaut. Neben Art. 1 – Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG) – sollen durch das NIS2UmsuCG folgende Gesetze geändert werden:
- Artikel 2 Änderung des BND-Gesetzes
- Artikel 3 Änderung der Sicherheitsüberprüfungsfeststellungsverordnung
- Artikel 4 Änderung des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes
- Artikel 5 Änderung der Gleichstellungsbeauftragtenwahlverordnung
- Artikel 6 Änderung des Zweiten Gesetzes zur Erhöhung der Sicherheit informations-technischer Systeme
- Artikel 7 Änderung der BSI-Zertifizierungs- und Anerkennungsverordnung
- Artikel 8 Änderung der Änderung der BSI-Kritisverordnung
- Artikel 9 Änderung der BSI IT-Sicherheitskennzeichenverordnung
- Artikel 10 Änderung des De-Mail-Gesetzes
- Artikel 11 Änderung des E-Government-Gesetz
- Artikel 12 Änderung der Passdatenerfassungs- und Übermittlungsverordnung
- Artikel 13 Änderung der Personalausweisverordnung
- Artikel 14 Änderung des Hinweisgeberschutzgesetzes
- Artikel 15 Änderung der Kassensicherungsverordnung
- Artikel 16 Änderung des Atomgesetzes
- Artikel 17 Änderung des Energiewirtschaftsgesetzes
- Artikel 18 Änderung des Messstellenbetriebsgesetzes
- Artikel 19 Änderung des Energiesicherungsgesetzes
- Artikel 20 Änderung des Wärmeplanungsgesetzes
- Artikel 21 Änderung des Fünften Buches Sozialgesetzbuch
- Artikel 22 Änderung der Digitale Gesundheitsanwendungen-Verordnung
- Artikel 23 Änderung der Verordnung zum Barrierefreiheitsstärkungsgesetz
- Artikel 24 Änderung des Elften Buches Sozialgesetzbuch
- Artikel 25 Änderung des Telekommunikationsgesetzes
- Artikel 26 Änderung der Krankenhausstrukturfonds-Verordnung
- Artikel 27 Änderung der Außenwirtschaftsverordnung
- Artikel 28 Änderung des VertrauensdienstegesetzesSo man als Unternehmen von einem oder mehreren dieser Gesetze betroffen ist, lohnt ein Blick auf die vorgeschlagenen Änderungen, um einschätzen zu können, ob man hier betroffen sein könnte.
4) Erfüllungsaufwand für die Wirtschaft
Der RefE führt hierzu aus:
„Für die Wirtschaft erhöht sich der jährliche Erfüllungsaufwand um rund 2,3 Milliarden Euro. Insgesamt entsteht einmaliger Aufwand von rund 2,2 Milliarden Euro. Dieser ist fast ausschließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen. (…) Es entfallen rund 2,4 Millionen Euro auf Bürokratiekosten aus Informationspflichten.“
Die dahinterliegenden Berechnungen des BMI schlüsseln sich im Schwerpunkt wie folgt auf:
Es wird zudem darauf hingewiesen, dass „die Belastungen (…) nicht im Rahmen der One in, one out-Regel der Bundesregierung zu kompensieren [sind], da diese Änderungen aus einer 1:1-Umsetzung der verbindlichen Mindest-vorgaben der Richtlinie (EU) 2022/2555 resultieren.“
5) KMU-Betroffenheit
Hierzu führt das BMI im RefE aus:
„Ein KMU-Test ist für den Gesetzentwurf durchgeführt worden. Das Regelungsvorhaben betrifft kleine und mittlere Unternehmen, da diese unter § 28 Absatz 2 BSIG E fallen können. Es ist damit zu rechnen, dass voraussichtlich rund 20 900 Unternehmen als wichtige Einrichtungen erfasst werden. Belastungen für mittlere Unternehmen könnten sich aus einer anfänglich fehlenden Routine bei der Umsetzung obengenannter Vorschriften ergeben. Weiterhin ist damit zu rechnen, dass unter Umständen fachspezifische Expertise bei kleineren Unternehmen noch im Aufbau sein wird.
Der Regelungsentwurf dient der Umsetzung der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und Rates, weshalb Abweichungen bei der nationalen Ausgestaltung lediglich eng begrenzt möglich sind. Jedoch ist zu bedenken, dass Differenzierungen im Rahmen der Angemessenheit der Maßnahmen gesetzlich Niederschlag gefunden haben (s. vorgenannte Ausführungen). Das Regelungsvorhaben gleicht auferlegte Belastungen durch die Häufigkeit, der einer Pflicht nachgekommen werden muss, variierend nach der Einrichtungsart aus.“
6) Next Steps
Und so geht es weiter mit dem NIS2UmsuCG:
- Bis 4. Juli 2025 haben Fachkreise und Verbände die Gelegenheit, sich durch schriftliche Eingaben zu dem RefE zu äußern (zu den Formalia informiere ich gern bilateral, nicht öffentlich). Diese Stellungnahmen werden grds. vom BMI veröffentlicht.
- Wer an der Anhörung zum RefE im BMI (Nicht die Bundestagsanhörung – die kommt erst im Laufe des Gesetzgebungsverfahrens, soweit sind wir noch nicht…), muss sich bis 30.6. hierfür beim BMI anmelden (zu den Formalia informiere ich gern bilateral, nicht öffentlich).
- Nach einer eventuellen Überarbeitung – mit der ich höchstens in geringem Umfang rechne – wird das BMI den Entwurf dem Bundeskabinett recht kurzfristig zur Beschlussfassung vorlegen. Dies ist aktuell noch für Juli 2025 geplant.
- Anschließend beginnt das offizielle Gesetzgebungsverfahren. Wegen der Eilbedürftigkeit würde ich dazu raten, den Gesetzentwurf textidentisch über die Bundesregierung bzw. die Koalitionsfraktionen parallel in Bundestag und Bundesrat einzubringen. So gewinnt man ein paar Wochen in der parlamentarischen Beratung.
- Während der Beratungen im Bundestag wird es vss. eine Anhörung im Innenausschuss geben und anschließend eine Beschlussempfehlung des Ausschusses (inkl der anderen mitberatenden Ausschüsse). Auf dieser Basis wird der Gesetzentwurf dann verabschiedet.
7) Befristungen und Evaluierungen
Ein Befristung der Regelungen sieht das BIS2UmsuCG nicht vor.
Die EU-KOM evaluiert die NIS2-Richtlinie bis zum 17. Oktober 2027 (und danach alle 36 Monate). Der Bundesgesetzgeber plant unter Berücksichtigung der Ergebnisse der EU-KOM eine umfassende Evaluierung der Maßnahmen des eigenen Gesetzes spätestens nach 5 Jahren. „Dabei soll evaluiert werden, ob eine Erhöhung des gemeinsamen Cybersicherheitsniveaus in Deutschland erreicht wurde. Als Kriterium kann auf die ergriffenen Cybersicherheitsmaß-nahmen der von diesem Gesetz erfassten Einrichtungen abgestellt werden. Informationen können aus der Berichterstattung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie aus freiwilligen Umfragen bei den betroffenen Einrichtungen gewonnen werden.“
8) Das Dokument
Ich stelle den mir vorliegenden Entwurf noch nicht hier ein, da das BMI diesen noch nicht auf der Website eingestellt hat und da ich dieser Veröffentlichung nicht vorgreifen möchte. Ich schicke ihn aber gern individuell bei Bedarf zu (natürlich kostenfrei!). Sobald das BMI den RefE veröffentlicht hat, verlinke ich hier an dieser Stelle.