Regierungs­entwurf des NIS2-Umsetzungs­gesetzes veröffentlicht

Die Umsetzung der Network-and-Information-Security-Richtlinie 2.0 (NIS2-Richtlinie) in Deutschland ist weiterhin in vollem Gange. Nachdem das Bundesinnenministerium Ende Juni den vierten Referentenentwurf des deutschen Umsetzungsrechtsakts (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) veröffentlichte und in die weitere Verbandsanhörung gab, wurde heute der (erste) Regierungsentwurf publik. Am Mittwoch, dem 24. Juli 2024, hat das Bundeskabinett den Gesetzesentwurf angenommen, sodass er nun in das Gesetzgebungsverfahren gehen kann.

Mit dem NIS2UmsuCG unterzieht der deutsche Gesetzgeber das geltende Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) einer Totalrevision. Bereits in den vergangenen Jahren entwickelte sich das BSIG von einem Gesetz über Aufgaben und Befugnisse des BSI hin zu einem umfassenden Cybersicherheitsgesetz. Diesen Trend wird der deutsche Gesetzgeber im Zuge der Umsetzung der NIS2-Richtlinie fortsetzen und insoweit die über die Jahre komplexer gewordene Regelungsstruktur vereinfachen.

Nur punktuelle inhaltliche Änderungen

Im Vergleich zum letzten Referentenentwurf weist der Regierungsentwurf nur vereinzelt inhaltliche Änderungen auf; ganz überwiegend handelt es sich um redaktionelle Anpassungen. Inhaltlich werden die Pflichten von regulierten Einrichtungen der Bundesverwaltung konkretisiert (§ 44 BSIG-E).

Für Betreiber von Krankenhäusern beinhaltet der Regierungsentwurf eine gewisse Erleichterung: Während das BSI von besonders wichtigen Einrichtungen im Sinne des BSIG-E (entspricht den wesentlichen Einrichtungen nach der NIS2-Richtlinie) grundsätzlich frühestens drei Jahre nach Inkrafttreten des neuen BSIG Nachweise über die Erfüllung von Audit-, Prüfungs- oder Zertifizierungspflichten verlangen kann, verlängert § 61 Abs. 3 Satz 5 des Regierungsentwurfs diese Mindestfrist für zugelassene Krankenhäuser im Sinne von § 108 SGB V auf fünf Jahre. Der Gesetzgeber behält sich insoweit jedoch nachträgliche Anpassungen durch Rechtsverordnung vor.

Auch für mehrfachregulierte Einrichtungen aus dem Energie- und Telekommunikationssektor weist der Regierungsentwurf inhaltliche Änderungen auf. Für grundsätzlich der NIS2-Richtlinie unterfallende Betreiber öffentlicher Telekommunikationsnetze oder Erbringer öffentlich zugänglicher Telekommunikationsdienste im Sinne des Telekommunikationsgesetzes (TKG) sowie für Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes (EnWG) sieht das BSIG-E umfassende Bereichsausnahmen vor, da für diese Einrichtungen spezialgesetzliche Anforderungen aus den jeweiligen Fachgesetzen gelten. Auch diese Fachgesetze – namentlich das TKG und das EnWG – erfahren durch das NIS2UmsuCG diverse Änderungen im Bereich der Cybersicherheit.

Zu diesen Änderungen kamen mit dem Regierungsentwurf nun auch ausdrückliche Klarstellungen zur Haftung der Geschäftsleitung für Verstöße gegen Vorgaben im Bereich der Cybersicherheit hinzu (vgl. § 165 Abs. 2c TKG-neu); zudem wird auch das Management dieser Einrichtungsarten fachgesetzlich zur regelmäßigen Teilnahme an Schulungen verpflichtet (vgl. § 165 Abs. 2d TKG-neu). Entsprechende Vorgaben sieht das BSIG-E auch für alle übrigen NIS2-regulierte Einrichtungen vor.

Zuletzt kann das BSI gegenüber allen NIS2-regulierten Einrichtungen bei festgestellten Mängeln nunmehr neben der Umsetzung geeigneter Risikomanagementmaßnahmen auch die Vorlage eines Mängelbeseitigungsplans bzw. die Vorlage eines Nachweises über die erfolgte Mängelbeseitigung verlangen (§ 61 Abs. 6 BSIG-E).

Ausblick und Handlungsempfehlungen

Die NIS2-Richtlinie schreibt den EU-Mitgliedstaaten vor, ihre Vorgaben bis spätestens 17.10.2024 in deren jeweilige nationale Rechtsordnungen zu überführen. Mit dem nunmehr veröffentlichten Regierungsentwurf verdeutlicht der deutsche Gesetzgeber, dass er bemüht ist, diese Frist einzuhalten. Gleichwohl vermuten Fachkreise, dass sich das Gesetzgebungsverfahren angesichts der nach Verabschiedung des Entwurfs durch das Bundeskabinett anstehenden Lesungen im Bundestag und etwaige anschließende Vorbehalte des Bundesrats noch einige Zeit hinziehen wird, nicht zuletzt auch wegen der laufenden parlamentarischen Sommerpause.

NIS2-regulierte Unternehmen müssen die Vorgaben erst mit finalem Inkrafttreten des neuen BSIG erfüllen, selbst wenn dieses erst nach dem 17.10.2024 erfolgen sollte. Da eine Übergangsfrist nicht vorgesehen ist, empfiehlt sich gleichwohl, spätestens jetzt mit der Prüfung der Anwendbarkeit der NIS2-Richtlinie auf das eigene Unternehmen und – bei positivem Ausgang dieser Prüfung – mit der Umsetzung der Verpflichtungen nach dem neuen BSIG zu beginnen.

Zwar identifizierten mehrere durch das Bundesinnenministerium angehörte Verbände diverse Unklarheiten im letzten Referentenentwurf (auch Noerr beteiligte sich über den Bundesverband IT-Sicherheit e. V. mit einer Stellungnahme an der Verbandsanhörung). Auch wegen der knappen verbleibenden Zeit bis zum 17.10.2024 sind größere inhaltliche Änderungen im weiteren Gesetzgebungsprozess nicht mehr zu erwarten. Die Aufklärung verbleibender Unklarheiten wird daher der (richterlichen) Rechtsfortbildung vorbehalten bleiben.

Weitere Tipps von uns zur Vorbereitung auf die NIS2-Richtlinie finden Sie hier.

Mit unserem NIS2-Checker können Einrichtungen kostenlos und unverbindlich prüfen, ob sie voraussichtlich in den Anwendungsbereich der NIS2-Richtlinie fallen werden.