Das Gesetz zur Implementierung von EU NIS2 und Stärkung der Cybersicherheit, bekannt als NIS2UmsuCG, wird ab 2024 wirksam sein. Es überführt die europaweiten Mindeststandards für Cybersecurity aus der EU-Richtlinie NIS2 in deutsche Vorschriften. Die Umsetzung von NIS2 wird voraussichtlich mindestens 30.000 Unternehmen in Deutschland betreffen. Der Gesetzesentwurf liegt vor und muss bis Oktober 2024 den gesetzlichen Prozess auf Bundesebene durchlaufen. Das NIS2UmsuCG ist ein Änderungsgesetz, das bestehende Gesetze ändert – insbesondere die Teile des BSI-Gesetzes bezüglich kritischer Infrastrukturen (KRITIS). Neben der Umsetzung von NIS2 wird auch das Dachgesetz für kritische Betreiber reguliert werden.
In diesem Artikel erklären wir Ihnen:
Das NIS2-Umsetzungsgesetz bringt bedeutende Änderungen in der deutschen KRITIS-Regulierung mit sich. Neben den Betreibern kritischer Anlagen werden nun auch besonders wichtige Einrichtungen und wichtige Einrichtungen berücksichtigt. Für rund 30.000 betroffene Unternehmen in Deutschland, die über herkömmliche Kritische Infrastrukturen hinausgehen, erhöhen sich die Sicherheitsverpflichtungen.
Betreiber: Die Regelung betrifft sowohl Betreiber von kritischen Anlagen (KRITIS) als auch die neuen besonders wichtigen und wichtigen Einrichtungen (Identifikation anhand von Unternehmensgröße). Auch Bundesbehörden sowie einige Sonderfälle sind davon betroffen.
Sektoren: Die Sektoren der KRITIS-kritischen Anlagen bleiben bestehen, während sich die Sektoren der neuen Einrichtungen wie in der EU erweitern und nun neben Infrastruktur auch große Teile der Wirtschaft umfassen. Cybersicherheit: Die Sicherheitsmaßnahmen für Unternehmen werden umfangreicher und beinhalten ein tiefergehendes Risikomanagement, Vorfallsmeldepflichten sowie zahlreiche technische Maßnahmen und Governance-Anforderungen.
Aufsicht: Staatliche Befugnisse nehmen durch Registrierungs-, Nachweis- und Meldepflichten sowie verbindlichen Informationsaustausch zu. Die gemeinsame Regulierung verschiedener Behörden wie dem BSI oder BNetzA wird verstärkt angestrebt, jedoch soll sie zugleich vereinfacht werden.
Sanktionen: Die Sanktionsvorschriften werden erweitert und umfassen neue Bußgeldtatbestände sowie erhöhte Bußgelder zwischen 100.000 Euro und 20 Millionen Euro, teilweise abhängig vom weltweiten Umsatz.
Die bestehende KRITIS-Regulierung wird durch die NIS2-Umsetzung wesentlich ausgebaut, indem ein Mehrklassensystem für Betreiber mit unterschiedlichen Pflichtstufen eingeführt wird.
Im September 2023 hat das Bundesinnenministerium (BMI) ein Diskussionspapier veröffentlicht, welches als dritter Entwurf des NIS2-Umsetzungsgesetzes gilt. Vorher gab es bereits einen ersten Referentenentwurf im April 2023 sowie einen zweiten Referentenentwurf im Juli 2023. Der aktuelle dritte Entwurf wurde nun in Form eines Diskussionspapiers veröffentlicht.
Das BMI führte zudem im Oktober 2023 ein Werkstattgespräch durch, bei dem viele Änderungen aus dem dritten Entwurf bestätigt wurden. Es besteht die Möglichkeit, dass Anfang 2024 noch ein vierter Referentenentwurf zur Umsetzung von NIS2 veröffentlicht wird. Allerdings werden keine großen Veränderungen gegenüber dem aktuellen Stand erwartet.
In Deutschland wird geschätzt, dass etwa 30.000 Unternehmen von den neuen Vorschriften betroffen sind. Allerdings haben bisher nur 40 Prozent dieser Unternehmen angemessene Maßnahmen ergriffen. Gemäß der Prognose gibt es noch über 14.500 Unternehmen, die Handlungsbedarf haben.
Die betroffenen Unternehmen werden wie folgt prognostiziert:
Der Entwurf des NIS2-Umsetzungsgesetzes schätzt die Kosten für die Umsetzung von NIS2 in Wirtschaft und Verwaltung ein, basierend auf einer Kostenschätzung des statistischen Bundesamts.
Für die Wirtschaft ergeben sich folgende Aufwände:
Für die Bundesverwaltung sind Planstellen noch nicht bekanntgegeben worden.
Die Unterteilung der Betreiber und Einrichtungen sowie das Beibehalten der regulierten kritischen Anlagen (KRITIS) wird durch die Angleichung an das KRITIS-Dachgesetz begründet. Andererseits hat die Evaluierung ergeben, dass NIS2 zu einer starken Ausweitung der Betroffenheit führt, weshalb weiterhin eine differenzierte Bestimmung mit Fokus auf Versorgungsrelevanz erfolgen soll.
Im Gesetz sind verschiedene Zeiträume vorgesehen, in denen die Anforderungen umgesetzt werden müssen. Das Gesetz NIS2UmsuCG soll ab Oktober 2024 wirksam sein.
Besonders wichtige Einrichtungen: Die Registrierung muss innerhalb von drei Monaten nach der Identifizierung erfolgen. Die Teilnahme am Informationsaustausch ist innerhalb eines Jahres nach Inkrafttreten des Gesetzes erforderlich.
Wichtige Einrichtungen: Auch hier gilt eine Frist von drei Monaten für die Registrierung nach der Identifizierung.
Betreiber kritischer Anlagen: Die Registrierung muss ebenfalls innerhalb von drei Monaten nach der Identifizierung erfolgen. Der erste Nachweis über die Maßnahmenumsetzung muss spätestens zu einem vom BSI und BBK festgelegten Zeitpunkt erbracht werden, frühestens jedoch drei Jahre nach dem Inkrafttreten des Gesetzes im Jahr 2027. Fortlaufende Nachweise über die Maßnahmenumsetzung sind anschließend alle drei Jahre erforderlich. Die Teilnahme am Informationsaustausch sollte innerhalb eines Jahres nach Inkrafttreten des Gesetzes erfolgen.
Das Gesetz zur Implementierung von EU NIS2 und Stärkung der Cybersicherheit, bekannt als NIS2UmsuCG, wird ab 2024 wirksam sein. Es überführt die europaweiten Mindeststandards für Cybersecurity aus der EU-Richtlinie NIS2 in deutsche Vorschriften. Die Umsetzung von NIS2 wird voraussichtlich mindestens 30.000 Unternehmen in Deutschland betreffen. Der Gesetzesentwurf liegt vor und muss bis Oktober 2024 den gesetzlichen Prozess auf Bundesebene durchlaufen. Das NIS2UmsuCG ist ein Änderungsgesetz, das bestehende Gesetze ändert – insbesondere die Teile des BSI-Gesetzes bezüglich kritischer Infrastrukturen (KRITIS). Neben der Umsetzung von NIS2 wird auch das Dachgesetz für kritische Betreiber reguliert werden.
In diesem Artikel erklären wir Ihnen:
Das NIS2-Umsetzungsgesetz bringt bedeutende Änderungen in der deutschen KRITIS-Regulierung mit sich. Neben den Betreibern kritischer Anlagen werden nun auch besonders wichtige Einrichtungen und wichtige Einrichtungen berücksichtigt. Für rund 30.000 betroffene Unternehmen in Deutschland, die über herkömmliche Kritische Infrastrukturen hinausgehen, erhöhen sich die Sicherheitsverpflichtungen.
Betreiber: Die Regelung betrifft sowohl Betreiber von kritischen Anlagen (KRITIS) als auch die neuen besonders wichtigen und wichtigen Einrichtungen (Identifikation anhand von Unternehmensgröße). Auch Bundesbehörden sowie einige Sonderfälle sind davon betroffen.
Sektoren: Die Sektoren der KRITIS-kritischen Anlagen bleiben bestehen, während sich die Sektoren der neuen Einrichtungen wie in der EU erweitern und nun neben Infrastruktur auch große Teile der Wirtschaft umfassen. Cybersicherheit: Die Sicherheitsmaßnahmen für Unternehmen werden umfangreicher und beinhalten ein tiefergehendes Risikomanagement, Vorfallsmeldepflichten sowie zahlreiche technische Maßnahmen und Governance-Anforderungen.
Aufsicht: Staatliche Befugnisse nehmen durch Registrierungs-, Nachweis- und Meldepflichten sowie verbindlichen Informationsaustausch zu. Die gemeinsame Regulierung verschiedener Behörden wie dem BSI oder BNetzA wird verstärkt angestrebt, jedoch soll sie zugleich vereinfacht werden.
Sanktionen: Die Sanktionsvorschriften werden erweitert und umfassen neue Bußgeldtatbestände sowie erhöhte Bußgelder zwischen 100.000 Euro und 20 Millionen Euro, teilweise abhängig vom weltweiten Umsatz.
Die bestehende KRITIS-Regulierung wird durch die NIS2-Umsetzung wesentlich ausgebaut, indem ein Mehrklassensystem für Betreiber mit unterschiedlichen Pflichtstufen eingeführt wird.
Im September 2023 hat das Bundesinnenministerium (BMI) ein Diskussionspapier veröffentlicht, welches als dritter Entwurf des NIS2-Umsetzungsgesetzes gilt. Vorher gab es bereits einen ersten Referentenentwurf im April 2023 sowie einen zweiten Referentenentwurf im Juli 2023. Der aktuelle dritte Entwurf wurde nun in Form eines Diskussionspapiers veröffentlicht.
Das BMI führte zudem im Oktober 2023 ein Werkstattgespräch durch, bei dem viele Änderungen aus dem dritten Entwurf bestätigt wurden. Es besteht die Möglichkeit, dass Anfang 2024 noch ein vierter Referentenentwurf zur Umsetzung von NIS2 veröffentlicht wird. Allerdings werden keine großen Veränderungen gegenüber dem aktuellen Stand erwartet.
In Deutschland wird geschätzt, dass etwa 30.000 Unternehmen von den neuen Vorschriften betroffen sind. Allerdings haben bisher nur 40 Prozent dieser Unternehmen angemessene Maßnahmen ergriffen. Gemäß der Prognose gibt es noch über 14.500 Unternehmen, die Handlungsbedarf haben.
Die betroffenen Unternehmen werden wie folgt prognostiziert:
Der Entwurf des NIS2-Umsetzungsgesetzes schätzt die Kosten für die Umsetzung von NIS2 in Wirtschaft und Verwaltung ein, basierend auf einer Kostenschätzung des statistischen Bundesamts.
Für die Wirtschaft ergeben sich folgende Aufwände:
Für die Bundesverwaltung sind Planstellen noch nicht bekanntgegeben worden.
Die Unterteilung der Betreiber und Einrichtungen sowie das Beibehalten der regulierten kritischen Anlagen (KRITIS) wird durch die Angleichung an das KRITIS-Dachgesetz begründet. Andererseits hat die Evaluierung ergeben, dass NIS2 zu einer starken Ausweitung der Betroffenheit führt, weshalb weiterhin eine differenzierte Bestimmung mit Fokus auf Versorgungsrelevanz erfolgen soll.
Im Gesetz sind verschiedene Zeiträume vorgesehen, in denen die Anforderungen umgesetzt werden müssen. Das Gesetz NIS2UmsuCG soll ab Oktober 2024 wirksam sein.
Besonders wichtige Einrichtungen: Die Registrierung muss innerhalb von drei Monaten nach der Identifizierung erfolgen. Die Teilnahme am Informationsaustausch ist innerhalb eines Jahres nach Inkrafttreten des Gesetzes erforderlich.
Wichtige Einrichtungen: Auch hier gilt eine Frist von drei Monaten für die Registrierung nach der Identifizierung.
Betreiber kritischer Anlagen: Die Registrierung muss ebenfalls innerhalb von drei Monaten nach der Identifizierung erfolgen. Der erste Nachweis über die Maßnahmenumsetzung muss spätestens zu einem vom BSI und BBK festgelegten Zeitpunkt erbracht werden, frühestens jedoch drei Jahre nach dem Inkrafttreten des Gesetzes im Jahr 2027. Fortlaufende Nachweise über die Maßnahmenumsetzung sind anschließend alle drei Jahre erforderlich. Die Teilnahme am Informationsaustausch sollte innerhalb eines Jahres nach Inkrafttreten des Gesetzes erfolgen.
