Wie NIS2UmsuCG und KRITIS-DachG Deutschlands Cybersicherheit verändern werden

Inhaltsverzeichnis

Obwohl das Recht der Cybersicherheit eines der jüngsten Rechtsgebiete überhaupt ist, steht es schon jetzt vor einer großen Zeitenwende – dabei kommt zwar nicht alles neu, aber vieles wird sich ändern. Das geht insbesondere einher mit einer in den letzten drei Jahren erheblich geänderten und vor allem gestiegenen hybriden Bedrohungslage – nicht nur im virtuellen Raum, sondern auch für physische Infrastrukturen in Deutschland und Europa.

Mit anderen Worten: Die Kritischen Infrastrukturen stehen vor einer Zeitenwende – sowohl faktisch als auch juristisch. Der letztgenannte Aspekt betrifft aktuell in Deutschland die Umsetzung zweier europäischer Richtlinien: Für den Cyberschutz einerseits die NIS2-Richtlinie, die sich der Netz- und Informationssicherheit "wesentlicher" und "wichtiger" Einrichtungen verschrieben hat, für den physischen Schutz andererseits die Resilienz-Richtlinie (auch als CER- beziehungsweise RCE-Richtlinie bezeichnet). Letztere will Kritische Einrichtungen im Sinne eines allumfassenden Gefahrenansatzes vor nicht-cyberbezogenen Gefahren wie Klimakatastrophen, Bränden und Sabotage schützen. Obwohl beide EU-Richtlinien Hand in Hand gehen und deshalb auch zusammen im EU-Amtsblatt verkündet wurden, gibt es eine Besonderheit: Cyberschutz existiert gesetzlich schon seit ein paar Jahren, mit einem einheitlichen KRITIS-Dachgesetz (KRITIS-DachG) betritt die Bundesregierung allerdings Neuland.

Nationale Umsetzungen auf unterschiedlichem Weg

Die europäische NIS2-Richtlinie wird auf nationaler Ebene mit dem NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt – jüngst wurde für dieses Gesetz der Referentenentwurf des Bundesinnenministeriums (BMI) publik. Das NIS2UmsuCG ist ein sogenanntes Artikelgesetz, was nichts anderes heißt, als dass hierdurch verschiedene, schon bestehende Einzelvorschriften überarbeitet werden. Insbesondere gehört dazu das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Die CER-Richtlinie hingegen wird mit besagtem KRITIS-DachG national realisiert. Anders als ursprünglich durch das BMI verlautbart, ist das KRITIS-DachG ein eigenständiges Gesetz. Alternativ wäre möglich gewesen, das Gesetz über die Errichtung des Bundesamtes für Bevölkerungsschutz und Katstrophenhilfe (BBKG) anzupassen – dies hätte quasi einen Gleichlauf mit den Digitalregelungen im BSIG bedeutet. Für den deutschen Gesetzgeber bleibt noch bis Oktober 2024 Zeit, die Richtlinien umzusetzen. Und dabei gilt: Je schneller und früher, umso besser, damit betroffene Einrichtungen und Unternehmen die Umsetzungsaufwände besser abschätzen und planen können. Insoweit ist e zu begrüßen, dass die Bundesregierung sich dieses wichtigen Themas schon jetzt annimmt und entsprechend priorisiert.

Zigtausende Unternehmen betroffen

Wie bei neuen Rechtsvorschriften üblich, werden die Regelungen allermeistens nicht nur inhaltlich komplexer, sondern dehnen auch ihren Anwendungsbereich aus. Dies kann man ohne Weiteres auch für die neuen Regelungen zum nationalen Infrastrukturschutz annehmen: So wird nach vorsichtigen Schätzungen allein der Anwendungsbereich des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) künftig rund 29.000 zusätzliche Unternehmen erfassen, die sich mit neuen Pflichten zu Cyber Compliance konfrontiert sehen dürften. Unterschieden wird dabei zwischen den – zugegebenermaßen für den Laien zunächst wenig aussagekräftigen – Begriffen der "besonders wichtigen Einrichtungen" (etwa 8.100 zusätzlich betroffene Einrichtungen, hiervon rund 4.700 bisherige Kritische Infrastrukturen und Anbieter digitaler Dienste nach dem BSIG, etwa 3.400 neue Einrichtungen) und der "wichtigen Einrichtungen" mit ungefähr 20.900 zusätzlich betroffene Organisationen.

Bei den besonders wichtigen Einrichtungen, quasi als Qualifikationsstufe zu den wichtigen Einrichtungen, wird es gemessen an der Kritikalität noch eine weitere Abstufung geben: nämlich die sogenannten "kritischen Anlagen", die vermutlich die bisherigen "Kritischen Infrastrukturen" im BSIG ersetzen werden – erst einmal also ein ziemliches Begriffschaos, in das wir uns spätestens ab 2024 werden hineinfuchsen müssen. Konkret sind die besonders wichtigen Einrichtungen Großunternehmen und die wichtigen Einrichtungen mittlere Unternehmen vor allem aus den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation (IKT), Verwaltung von IKT-Diensten (Business-to-Business) sowie Weltraum.

Außerdem können – losgelöst von den vorgenannten Größenkategorien – deutschlandweit Unternehmen in den Sektoren Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum sowie Siedlungsabfallentsorgung als kritische Anlagen bestimmt werden. Insoweit kann man für den Anwendungsbereich des NIS2UmsuCG von einer europäischen Überformung mit nationalstaatlichem Beurteilungsspielraum sprechen. In Deutschland werden, wie bislang auch in der BSI-KritisV, Schwellenwerte die ausschlaggebenden Kriterien für die Einstufung sein.

Auch das KRITIS-DachG erfasst die wichtigen und besonders wichtigen Einrichtungen, wenngleich mit einer anderen Schutzrichtung als das NIS2UmsuCG. Das juristische Begriffschaos wird hier komplettiert, indem die "Kritischen Infrastrukturen" neben dem Begriff der "kritischen Anlage" beibehalten werden. Dieser deutsch-europäische Weg dürfte sicherlich nicht zu besserem Verständnis und leichterer Umsetzbarkeit der neuen Regelungen beitragen. Vermutlich will der deutsche Gesetzgeber über die europäischen Vorgaben hinaussteuern und vor allem auch kleinere kritische Infrastrukturbetreiber erfassen, die ansonsten aus dem Raster fielen. Wahrscheinliche Zwecksetzung der Maßnahme: die Erweiterung der analogen Lieferkette in den kritischen Sektoren, um zukünftig für alle Unwägbarkeiten und Unmöglichkeiten gerüstet zu sein.