NIS-2-Umsetzungsgesetz passiert Bundeskabinett
Die deutsche Umsetzung der NIS-2-Richtlinie ist ein Jahr nach dem Entwurf endlich durchs Bundeskabinett. Die Betroffenen sind weiter nur teilweise zufrieden.
Die neue Gesetzgebung betrifft unter anderem Energieversorger.
(Bild: Daniel AJ Sokolov)
Das Gesetz zur Umsetzung der Revision der Netzwerk- und Informationssicherheitsrichtlinie (NIS-2) der Europäischen Union hat eine wichtige Hürde auf dem Weg zum wirksamen Gesetz genommen: Am Mittwoch hat sich das Bundeskabinett auf einen Gesetzentwurf geeinigt. Der ist umfangreich, denn die Regierung setzt nicht nur die neuen EU-Vorgaben um, sondern fügt auch noch einige deutsche Änderungen hinzu.
Kern des "NIS-2UmsuCG" sind umfangreiche Neuregelungen für die Cybersicherheit bei Betreibern kritischer Infrastrukturen und Anlagen (KRITIS). Künftig sollen deutlich mehr Unternehmen und öffentliche Stellen unter die Vorgaben zur Cybersicherheit fallen. Eigentlich sollte das NIS-2UmsuCG vom KRITIS-Dachgesetz als Gegenstück mit Vorschriften für einen verbesserten physischen Schutz ergänzt werden – doch dieses Gesetz ist weiterhin nicht kabinettsreif.
Mit der NIS-2-Umsetzung wird eine Vielzahl an bisherigen Vorschriften verschärft oder zumindest der Adressatenkreis deutlich erweitert. Die Bundesregierung geht von 29.500 Stellen aus, die künftig dem NIS-2-Regime unterliegen. "Künftig müssen mehr Unternehmen in mehr Sektoren Mindestvorgaben für die Cybersicherheit und Meldepflichten bei Cybervorfällen erfüllen", erklärte Bundesinnenministerin Nancy Faeser (SPD) am Mittwoch zum Kabinettsbeschluss. "Wir steigern das Sicherheitsniveau – und senken damit das Risiko für Unternehmen, Opfer von Cyberangriffen zu werden."
"Wichtig" und "besonders wichtig"
Die NIS-2-Vorgaben unterscheiden dabei vor allem zwischen zwei Bereichen: "Wichtige Einrichtungen" und "Besonders Wichtige Einrichtungen". Der Katalog der als besonders wichtig erachteten Einrichtungen ist dabei auf EU-Ebene festgelegt und wird mit dem deutschen Gesetz in deutsches Recht überführt.
In §28 der Kabinettsfassung werden die Kriterien beschrieben – darunter fallen etwa alle Betreiber versorgungskritischer Anlagen ab einer bestimmten Versorgungsgröße, qualifizierte Vertrauensdiensteanbieter, TLD-Registries und DNS-Diensteanbieter genauso wie größere Telekommunikationsnetzbetreiber und Teile der Bundesverwaltung. Diese besonders wichtigen Einrichtungen unterliegen – vorbehaltlich von Änderungen durch den Bundestag im weiteren Verfahren – dabei besonders strengen Anforderungen.
Die zweite Kategorie der "wichtigen Einrichtungen" sind neben kleineren TK-Anbietern alle Stellen, die nicht bereits als "besonders wichtig" gelten, aber eine gewisse Mindestgröße haben (hier zählen Umsatz und Mitarbeiterzahl) und in den Sektoren Energie, Transport und Verkehr, Finanzwesen, Gesundheit, Wasser, digitale Infrastruktur oder Weltraum tätig sind.
Als wichtig gelten aber zusätzlich auch Unternehmen der Abfallwirtschaft, der Chemieindustrie, der Lebensmittelwirtschaft, bestimmte Produkthersteller wie für Medizinprodukte oder Datenverarbeitungsgeräte, Maschinen- und Fahrzeugbauer sowie Forschungseinrichtungen.
Genauer beschrieben wird das in Anhang 2 des Gesetzes – die ineinandergreifende Logik wiederum ist etwas kompliziert geraten. So kann ein eigentlich nur "wichtiges" Unternehmen dadurch, dass es Betreiber kritischer Anlagen ist, trotzdem eine "besonders wichtige Einrichtung" sein und entsprechend Maßnahmen ergreifen müssen. Das BSI stellt auf seiner Website ein Tool zur Verfügung, das betroffenen Unternehmen bei der Einordnung hilft.
Damit soll die bisherige Systematik des BSI-Gesetzes auch in Zukunft wirken – allerdings nicht zur Zufriedenheit aller. "Insbesondere die Einstufung als 'Betreiber kritischer Anlagen' schafft Unsicherheit für international tätige Unternehmen, die in den einzelnen EU-Mitgliedstaaten unterschiedliche Regeln befolgen müssten", kritisert Klaus Landefeld vom IT-Wirtschaftsverband Eco. Zugleich gibt es wiederum Sektoren, die aufgrund von Spezialgesetzen teilweise wieder ausgenommen sind – etwa DORA im Finanzbereich.
Nicht nur IT muss gesichert werden
Eine wesentliche Veränderung gegenüber dem bisherigen BSI-Gesetz, das maßgeblich über die IT-Sicherheitsgesetze der vergangenen Jahre geprägt wurde, ist die Reichweite der betroffenen Systeme. In der Gesetzesbegründung wird klargestellt, dass nicht nur die betriebskritische IT im engeren Sinne gemeint ist, sondern "sämtliche Aktivitäten der Einrichtung, für die IT-Systeme eingesetzt werden, dies beinhaltet beispielsweise auch Büro-IT oder andere IT-Systeme, die durch die Einrichtung betrieben werden." Sprich: Bundesbehörden müssen ihre Faxgeräte schützen, Versorgungsdienstleister die Buchhaltung, wenn diese zur Aufrechterhaltung des Betriebs zwingend nötig sind.
Besonders große Hoffnung legt die Politik darauf, vermehrt Einblick in das IT-Sicherheitsgeschehen zu erlangen. Dafür wird nun eine Meldepflicht eingeführt: Spätestens 24 Stunden nach einem erheblichen Sicherheitsvorfall soll eine Meldung an eine von Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) gemeinsam einzurichtende zentrale Meldestelle erfolgen, diese muss nach spätestens 72 Stunden aktualisiert werden. Spätestens einen Monat später ist dann eine Abschlussmeldung zu erstellen, wenn der Vorfall bis dahin mitigiert wurde.
Allerdings fehlt derzeit noch die Klarheit darüber, was genau unter einem "erheblichen Sicherheitsvorfall" zu verstehen ist: Das soll ein Umsetzungsrechtsakt der EU-Kommission zur NIS-2 klären. Dazu führt sie bis morgen noch eine öffentliche Konsultation durch. In beiden Kategorien eingestufte Stellen müssen sich spätestens nach drei Monaten bei der Meldestelle mit der Angabe von Ansprechpartnern registrieren. Dabei kann in bestimmten Bereichen eine noch umfangreichere Angabe nötig sein – bis hin zur Angabe der genutzten IP-Range.
Geschäftsleitung haftet
Eine wesentliche Klarstellung gegenüber dem bisherigen Recht dürfte vor allem die für Cybersicherheit zuständigen Personen in Unternehmen freuen: Künftig haftet die Geschäftsleitung nach den jeweilig anwendbaren Regeln des Gesellschaftsrechts und wird zu Schulungen verpflichtet. Der IT-Branchenverband Bitkom hält das für wenig praktikabel: Zwar sei man "grundsätzlich der Meinung, dass IT-Sicherheit auf dieser Ebene aufgehängt sein sollte, eine Übernahme aller praktischen Pflichten scheint für CEOs jedoch nicht realistisch", meint der Sicherheitspolitik-Referent Felix Kuhlenkamp. Es sei sinnvoller, wenn die Letztverantwortung zwar klar bei der Geschäftsführung bleibe – diese aber auch Dritte beauftragen dürfe. Die Regelungen zur Geschäftsführerhaftung waren in den vergangenen Wochen einer der Streitpunkte rund um den Entwurf des NIS-2UmsuCG.
Vorgeschrieben werden sollen mit dem neuen Gesetz auch regelmäßige "Sicherheitsaudits, Prüfungen oder Zertifizierungen" für Betreiber kritischer Anlagen. Halten sich die Betreiber nicht an die Vorschriften, drohen mit der NIS-2-Umsetzung nun empfindliche Bußgelder, die ähnlich der DSGVO ihre Maximalhöhe nur im Jahresumsatz der betroffenen Unternehmen begrenzt werden.
Das BSI ist dabei als Aufsichtsbehörde sowohl für die Einhaltung als auch die Durchsetzung zuständig. Es kann Anordnungen aussprechen und Unternehmen wie öffentliche Stellen dazu verpflichten, Maßnahmen zu ergreifen. In diesem Zuge ist auch die Benennung einer Chief Information Security Officer (CISO) Bund zu sehen: Diese erhält Weisungsbefugnis auch gegenüber Bundeseinrichtungen, um Sicherheitsvorfällen abzuwehren oder zu beheben - und dafür die entsprechenden Mittel einzusetzen.
"Kritische Komponenten"
Besonders heikel dürfte in der Praxis die Frage des Umgangs mit sogenannten "kritischen Komponenten" werden. In §41 der Kabinettsfassung ist festgehalten, dass der Ersteinsatz solcher Komponenten dem Bundesinnenministerium angezeigt werden muss. Dabei geht es nicht nur um eine technische Prüfung – sondern eben auch um eine Prüfung der Lieferantenverlässlichkeit auch auf Basis politischer Einschätzungen. Damit wird die Regelung für Komponenten von Huawei in deutschen 5G-Mobilfunknetzen auf weitere Bereiche ausgedehnt und eine Garantieerklärung von den Herstellern verlangt.
Ob das praktikabel ist, bezweifelt etwa Ingbert Liebing vom Verband der Kommunalen Unternehmen (VKU): "Hunderte Unternehmen, tausende Einzelfallprüfungen: Wir bezweifeln stark, dass ein solches Verfahren für das Bundesinnenministerium personell machbar ist, zumal sich reguläre Beschaffungsprozesse verzögern würden, defekte Komponenten könnten nicht mehr so schnell ausgetauscht werden." Wenn das BMI den Einsatz untersagt, darf das entsprechende Bauteil nicht eingesetzt werden – und kann für die Zukunft komplett untersagt werden. Die Unterlagen zu der Prüfung werden dabei nicht zugänglich gemacht.
Lesen Sie auch
Kommentar: Lasst euch nicht von NIS2 verrückt machen!
Eigentlich sollte das NIS-2-Umsetzungsgesetz bereits im Oktober in Kraft treten – dass das wohl nichts mehr wird, räumte das Bundesinnenministerium schon vor Monaten freimütig ein. Auch deshalb fordern Wirtschaftsverbände längere Übergangsfristen in das Gesetz aufzunehmen – der langsame Gesetzgebungsprozess habe die nötige Zeit für Umstellungen zu stark verkürzt, um diese noch einhalten zu können.
Der Grünen-Fraktionsvize Konstantin von Notz kritisiert den Entwurf und kündigt an, dass sich das Parlament nun "sehr intensiv" mit dem Gesetz beschäftigen werde: "Insgesamt liegt durch das Vorgehen des federführenden Ministeriums noch viel Arbeit vor den Fraktionen, um aus dem Gesetz ein gutes Gesetz zu machen und eine lange angemahnte Kohärenz mit anderen EU-Vorgaben und dem Dachgesetz als Garanten für einen einheitlichen Kritis-Schutz herzustellen."
(vbr)