NIS2 Umsetzungsgesetz – Worum geht es eigentlich?

Von Thomas Faß | Jan 29, 2024 | Blog

Key Takeaways

• Das NIS2 Umsetzungsgesetz, das ab 2024 in Kraft tritt, führt die europaweiten Mindeststandards für Cybersecurity aus der EU-Richtlinie NIS2 in deutsche Vorschriften über.
• Es betrifft voraussichtlich mindestens 30.000 Unternehmen in Deutschland und bringt bedeutende Änderungen in der deutschen KRITIS-Regulierung mit sich. Neben den Betreibern kritischer Anlagen werden nun auch besonders wichtige Einrichtungen und wichtige Einrichtungen berücksichtigt.
• Die Sicherheitsmaßnahmen für Unternehmen werden umfangreicher und beinhalten ein tiefergehendes Risikomanagement, Vorfallsmeldepflichten sowie zahlreiche technische Maßnahmen und Governance-Anforderungen. Staatliche Befugnisse nehmen durch Registrierungs-, Nachweis- und Meldepflichten sowie verbindlichen Informationsaustausch zu.
• Die Sanktionen werden erweitert und umfassen neue Bußgeldtatbestände sowie erhöhte Bußgelder zwischen 100.000 Euro und 20 Millionen Euro.
• Es wird geschätzt, dass etwa 30.000 Unternehmen von den neuen Vorschriften betroffen sind, wobei bisher nur 40 Prozent angemessene Maßnahmen ergriffen haben.

Das NIS2 Umsetzungsgesetz erklärt

Das Gesetz zur Implementierung von EU NIS2 und Stärkung der Cybersicherheit, bekannt als NIS2UmsuCG, wird ab 2024 wirksam sein. Es überführt die europaweiten Mindeststandards für Cybersecurity aus der EU-Richtlinie NIS2 in deutsche Vorschriften. Die Umsetzung von NIS2 wird voraussichtlich mindestens 30.000 Unternehmen in Deutschland betreffen.

Der Gesetzesentwurf liegt vor und muss bis Oktober 2024 den gesetzlichen Prozess auf Bundesebene durchlaufen. Das NIS2UmsuCG ist ein Änderungsgesetz, das bestehende Gesetze ändert – insbesondere die Teile des BSI-Gesetzes bezüglich kritischer Infrastrukturen (KRITIS). Neben der Umsetzung von NIS2 wird auch das Dachgesetz für kritische Betreiber reguliert werden.

In diesem Artikel erklären wir Ihnen:

• Welche Regelungen NIS2 mit sich bringt
• Welche Auswirkungen NIS2 auf die deutsche Wirtschaft hat
• Welche Fristen es zu beachten gilt

Neue Regelungen für Cybersicherheit 2024

Das NIS2-Umsetzungsgesetz bringt bedeutende Änderungen in der deutschen KRITIS-Regulierung mit sich. Neben den Betreibern kritischer Anlagen werden nun auch besonders wichtige Einrichtungen und wichtige Einrichtungen berücksichtigt. Für rund 30.000 betroffene Unternehmen in Deutschland, die über herkömmliche Kritische Infrastrukturen hinausgehen, erhöhen sich die Sicherheitsverpflichtungen.

Betreiber: Die Regelung betrifft sowohl Betreiber von kritischen Anlagen (KRITIS) als auch die neuen besonders wichtigen und wichtigen Einrichtungen (Identifikation anhand von Unternehmensgröße). Auch Bundesbehörden sowie einige Sonderfälle sind davon betroffen.

Sektoren: Die Sektoren der KRITIS-kritischen Anlagen bleiben bestehen, während sich die Sektoren der neuen Einrichtungen wie in der EU erweitern und nun neben Infrastruktur auch große Teile der Wirtschaft umfassen.
Cybersicherheit: Die Sicherheitsmaßnahmen für Unternehmen werden umfangreicher und beinhalten ein tiefergehendes Risikomanagement, Vorfallsmeldepflichten sowie zahlreiche technische Maßnahmen und Governance-Anforderungen.

Aufsicht: Staatliche Befugnisse nehmen durch Registrierungs-, Nachweis- und Meldepflichten sowie verbindlichen Informationsaustausch zu. Die gemeinsame Regulierung verschiedener Behörden wie dem BSI oder BNetzA wird verstärkt angestrebt, jedoch soll sie zugleich vereinfacht werden.

Sanktionen: Die Sanktionsvorschriften werden erweitert und umfassen neue Bußgeldtatbestände sowie erhöhte Bußgelder zwischen 100.000 Euro und 20 Millionen Euro, teilweise abhängig vom weltweiten Umsatz.

Die bestehende KRITIS-Regulierung wird durch die NIS2-Umsetzung wesentlich ausgebaut, indem ein Mehrklassensystem für Betreiber mit unterschiedlichen Pflichtstufen eingeführt wird.

Stand der Dinge Anfang des Jahres 2024

Im September 2023 hat das Bundesinnenministerium (BMI) ein Diskussionspapier veröffentlicht, welches als dritter Entwurf des NIS2-Umsetzungsgesetzes gilt. Vorher gab es bereits einen ersten Referentenentwurf im April 2023 sowie einen zweiten Referentenentwurf im Juli 2023. Der aktuelle dritte Entwurf wurde nun in Form eines Diskussionspapiers veröffentlicht.

Das BMI führte zudem im Oktober 2023 ein Werkstattgespräch durch, bei dem viele Änderungen aus dem dritten Entwurf bestätigt wurden. Es besteht die Möglichkeit, dass Anfang 2024 noch ein vierter Referentenentwurf zur Umsetzung von NIS2 veröffentlicht wird. Allerdings werden keine großen Veränderungen gegenüber dem aktuellen Stand erwartet.

Auswirkungen von NIS2

In Deutschland wird geschätzt, dass etwa 30.000 Unternehmen von den neuen Vorschriften betroffen sind. Allerdings haben bisher nur 40 Prozent dieser Unternehmen angemessene Maßnahmen ergriffen. Gemäß der Prognose gibt es noch über 14.500 Unternehmen, die Handlungsbedarf haben.

Die betroffenen Unternehmen werden wie folgt prognostiziert:

• Es gibt insgesamt 8.100 besonders wichtige Einrichtungen, darunter 4.693 digitale Dienste und Betreiber kritischer Infrastrukturen (KRITIS) sowie rund 3.400 neue besonders wichtige Einrichtungen.
• Des Weiteren gibt es noch 20.900 weitere wichtige Einrichtungen.

Der Entwurf des NIS2-Umsetzungsgesetzes schätzt die Kosten für die Umsetzung von NIS2 in Wirtschaft und Verwaltung ein, basierend auf einer Kostenschätzung des statistischen Bundesamts.

Für die Wirtschaft ergeben sich folgende Aufwände:

• Jährliche Erfüllungskosten erhöhen sich um ca. 1,65 Mrd. EUR
• Einmaliger Aufwand von ca. 1,37 Mrd. EUR
• Diese Kosten entstehen hauptsächlich durch Einführung oder Anpassung digitaler Prozesse.
• Davon entfallen Bürokratiekosten für Informationspflichten in Höhe von ca. 121 Mio. EUR

Für die Bundesverwaltung sind Planstellen noch nicht bekanntgegeben worden.

Die Unterteilung der Betreiber und Einrichtungen sowie das Beibehalten der regulierten kritischen Anlagen (KRITIS) wird durch die Angleichung an das KRITIS-Dachgesetz begründet. Andererseits hat die Evaluierung ergeben, dass NIS2 zu einer starken Ausweitung der Betroffenheit führt, weshalb weiterhin eine differenzierte Bestimmung mit Fokus auf Versorgungsrelevanz erfolgen soll.

Fristen und Umsetzung des NIS2 Umsetungsgesetzes

Im Gesetz sind verschiedene Zeiträume vorgesehen, in denen die Anforderungen umgesetzt werden müssen. Das Gesetz NIS2UmsuCG soll ab Oktober 2024 wirksam sein.

Besonders wichtige Einrichtungen: Die Registrierung muss innerhalb von drei Monaten nach der Identifizierung erfolgen. Die Teilnahme am Informationsaustausch ist innerhalb eines Jahres nach Inkrafttreten des Gesetzes erforderlich.

Wichtige Einrichtungen: Auch hier gilt eine Frist von drei Monaten für die Registrierung nach der Identifizierung.

Betreiber kritischer Anlagen: Die Registrierung muss ebenfalls innerhalb von drei Monaten nach der Identifizierung erfolgen. Der erste Nachweis über die Maßnahmenumsetzung muss spätestens zu einem vom BSI und BBK festgelegten Zeitpunkt erbracht werden, frühestens jedoch drei Jahre nach dem Inkrafttreten des Gesetzes im Jahr 2027. Fortlaufende Nachweise über die Maßnahmenumsetzung sind anschließend alle drei Jahre erforderlich. Die Teilnahme am Informationsaustausch sollte innerhalb eines Jahres nach Inkrafttreten des Gesetzes erfolgen.