NIS2-Richtlinie: Update zum deutschen Umsetzungsgesetz

Nachdem in den letzten Monaten bereits verschiedene Referentenentwürfe für das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz („NIS2UmsuCG“) vom Bundesministerium des Inneren und für Heimat („BMI“) veröffentlicht wurden, liegt seit dem 24. Juli 2024 nun endlich die erste beschlossene Kabinettsversion des NIS2UmsuCG vor (abrufbar hier). Der Gesetzgebungsprozess hat damit nun zwar wieder Fahrt aufgenommen, allerdings scheint die Umsetzung in das nationale Recht bis zum 17. Oktober 2024 weiter fraglich. Nachfolgend werden die wesentlichen Änderungen des Regierungsentwurfs und entsprechende Handlungsempfehlungen dargestellt.

1. Die wesentlichen Neuerungen im Regierungsentwurf des NIS2UmsuCG

Der neue Regierungsentwurf der Bundesregierung enthält wie auch schon der vierte Referentenentwurf des BMI vom 24. Juni 2024 (abrufbar hier) überwiegend redaktionelle und sprachliche Anpassungen. Die relevanten Vorgaben im geplanten BSI-Gesetz („BSIG-neu“), insbesondere zum IT-Risikomanagement und zur Meldung von erheblichen Sicherheitsvorfällen, bleiben inhaltlich unverändert. Auch die bislang sehr kontrovers diskutierten und im bisherigen Verlauf mehrfach geänderten Regelungen zum Pflichtenkreis und zur Haftung der Geschäftsleitung der betroffenen Unternehmen bleiben nunmehr unverändert.

Inhaltlich Anpassungen gibt es hingegen für Betreiber von Energieversorgungsnetzen und Energieanlagen sowie Betreiber von öffentlichen Telekommunikationsnetzen und Erbringer von öffentlich zugänglichen Telekommunikationsdiensten. Soweit diese als wichtige oder besonders wichtigen Einrichtungen zwar grundsätzlich unter das BSIG-neu fallen, wurden die bereits weitgehenden Ausnahmetatbestände nochmal erweitert. So sind die vorgenannten Unternehmen im Bereich Telekommunikation und Energie nunmehr auch explizit von den Aufsichts- und Durchsetzungsbefugnissen des BSI in den §§ 61, 62 BSIG-neu explizit ausgenommen. Es verbleibt somit mit Blick auf diese Unternehmen nur noch ein sehr enger Anwendungsbereich des BSIG-neu (u. a. die Registrierungsplichten beim BSI).

Die wesentlichen Regelungsinhalte sind stattdessen in den im Zusammenhang mit dem NIS2UmsuCG angepassten Telekommunikationsgesetz („TKG-neu“) und Energiewirtschaftsgesetz („EnWG-neu“) enthalten. Anknüpfend an die weiten Bereichsausnahmen im BSIG-neu sieht der Regierungsentwurf diverse Anpassungen in diesen beiden Gesetzen vor. So wurden sowohl im TKG-neu als auch im EnWG-neu inhaltlich vor allem die Pflichten und Haftungsvorgaben der Geschäftsleitung entsprechend den Regelungen im BSIG-neu ergänzt (vgl. § 165 Abs. 2b-2d TKG-neu bzw. § 5c Abs. 9-11 EnWG-neu). Demnach wird die Geschäftsleitung auch hier zur Umsetzung und Überwachung der Sicherheitsanforderungen sowie zur Teilnahme an Schulungen verpflichtet und haftet gegenüber ihrer Einrichtung für einen schuldhaft verursachten Schaden nach dem Gesellschaftsrecht.  Wie bereits in unserem letzten Update dargestellt (siehe hier), wurden im letzten Referentenentwurf die Regelungen zum Pflichtenkreis und zur Haftung der Geschäftsleitung im BSIG-neu nochmal erheblich angepasst. Diese Änderungen haben nun auch ihren Weg in das TKG-neu und EnWG-neu gefunden. Es wird somit auch dort nun explizit von einer „Umsetzungspflicht“ der Geschäftsleitung gesprochen, was im Zweifel eine Selbstvornahme der IT-Risikomanagementmaßnahmen und keine Billigung der Vornahme durch Fachkräfte verlangt. Die erhoffte Anpassung des Wortlauts, um die Qualität der IT-Risikomanagementmaßnahmen nicht durch eine Umsetzungsverpflichtung der Geschäftsleitung zu riskieren, ist folglich nicht nur ausgeblieben, sondern wurde durch den Ausbau im TKG und EnWG weiter vorangetrieben.

Daneben enthält der Regierungsentwurf noch kleinere Neuerungen, wie die inhaltliche Anpassung der Anforderungen an die Einrichtungen des Bundesamtes gem. § 44 BSGI-neu und eine Ausnahmeregelung für Krankenhäuser gem. § 108 SGB V, nach welcher diese erst nach fünf anstelle von drei Jahren zur Vorlage von Nachweisen über die Erfüllung der IT-Sicherheitspflichten aufgeforderten werden können.

Ansonsten bleiben größere Änderungen aus und bestehende Unsicherheiten bestehen. Wirtschaftsverbände kritisieren, dass weiterhin unterschiedliche Regeln für die betroffenen Unternehmen in den einzelnen EU-Staaten bestehen würden. In der Praxis ist dies vor allem für internationale tätige Unternehmen ein Problem, deren Tochterunternehmen in unterschiedlichen EU-Mitgliedstaaten tätig sind.

Unverändert bleibt auch die Pflicht gem. § 41 BSGI-neu, den Ersteinsatz einer kritischen Komponente dem Bundesministerium des Innern und für Heimat vor ihrem Einsatz anzuzeigen. Wirtschaftsverbände sehen in diesem Verfahren zum einen die (personelle) Überforderung des Bundesinnenministeriums und zum anderen eine rechtliche und wirtschaftliche Gefahr durch mehr Bürokratismus.

2. Ausblick und Handlungsempfehlungen

Ob und inwieweit im weiteren Gesetzgebungsverfahren nochmal Änderungen an dem nunmehr vorliegenden Regierungsentwurf vorgenommen werden, bleibt abzuwarten. Angesichts der minimalen Änderungen in dem Regierungsentwurf gegenüber dem letzten Referentenentwurf, ist dies allerdings eher zweifelhaft. Vermutlich werden etwaige Unklarheiten somit erst durch die Rechtsprechung geklärt werden.

Vor einem möglichen Inkrafttreten des NIS2UmsuCG muss dieser nun erst das weitere parlamentarische Gesetzgebungsverfahren durchlaufen. Aufgrund der andauernden Sommerpause ist mit einer inhaltlichen Befassung durch Bundesrat und Bundestag wohl erst im September zu erwarten. Zudem wurden bereits erste Änderungswünsche von Abgeordneten bzgl. des Regierungsentwurfes geäußert. Es ist nach jetzigem Stand daher wohl nicht mit einer Verabschiedung des NIS2UmsuCG bis zum 17. Oktober 2024 zu rechnen. Realistisch scheint eher eine Verabschiedung im 1. Quartal 2025.

Gleichwohl sollten sich Unternehmen bereits jetzt mit dem NIS2UmsuCG beschäftigen. Das NIS2UmsuCG sieht nämlich nach seinem Inkrafttreten keine Übergangsphase vor. Im ersten Schritt sollten Unternehmen daher überprüfen, ob sie von dem NIS2UmsuCG betroffen sind.

Zur Unterstützung hierzu bietet das BSI ein Tool zur NIS-2-Betroffenheitsprüfung sowie ein FAQ mit Hinweisen zu häufig auftauchenden Fragen an (abrufbar hier). Diese ermöglichen einen ersten Überblick zu den kommenden Pflichten. Gleichzeitig ist darauf hinzuweisen, dass sich je nach Geschäftstätigkeit eines Unternehmens eine detaillierte Prüfung der Betroffenheit erforderlich ist. Gerade bei Unternehmen mit einem breiten Geschäftsfeld ist eine genau Bewertung der (potenziell) relevanten Sektoren notwendig. Auch bei der Berechnung der maßgeblichen Unternehmenskennzahlen, namentlich Mitarbeiterzahl, Jahresumsatz und Jahresbilanzsummer, sollte gerade in Konzernverhältnisse großer Sorgfalt vorgegangen werden (mehr dazu hier).

Nach Abschluss der Betroffenheitsprüfung sollten Unternehmen eine Bestandaufnahme der bestehenden Netzwerk- und IT-Infrastruktur mitsamt der bestehenden Sicherheitsinfrastruktur durchführen und mit den Vorgaben im NIS2UmsuCG abgleichen. Soweit im Rahmen dieser Bewertung Lücken festgestellt werden, sind diese aufgrund der fehlenden Übergangszeit zeitnah zu schließen. Je nach Reifegrad der bestehenden Sicherheitsinfrastruktur kann das Schließen dieser Lücken eine erhebliche Herausforderung darstellen.

Wir unterstützen Unternehmen sowohl bei der Betroffenheitsanalyse als auch der Umsetzung der Vorgaben in dem NIS2UmsuCG. Unsere Expertinnen und Experten stehen jederzeit für einen Austausch zur Verfügung.