wecon.it-consulting
Referentenentwurf NIS2UmsuCG (Mai 2024)

Offizieller NIS2UmsuCG-Referentenentwurf

Kaum zu glauben, aber wahr: Nach mehreren inoffiziellen Leaks gibt es nun endlich einen -189 Seiten starken- offiziellen Referentenentwurf zum "NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)". Dieser wurde am 7. Mai 2024 vom Bundesministerium des Innern und für Heimat (BMI) im Rahmen der Beteiligung von Fachkreisen und Verbänden gemäß § 47 Abs. 1 der Gemeinsamen Geschäftsordnung der Bundesministerien (GGO) an die entsprechenden Stellen versandt.

Laut Anschreiben ist im vorliegenden NIS2UmsuCG-Entwurf der Entwurf zum KRITIS-Dachgesetz (KRITIS-DachG) soweit möglich berücksichtigt. Gleichzeitig verweist das Anschreiben darauf, dass die vollständige Berücksichtigung der Regelungen des KRITIS-DachG mit einem folgenden Referentenentwurf zum NIS2UmsuCG erfolgen soll. Die vorliegende Fassung zum NIS2UmsuCG ist also offensichtlich noch nicht final *Zwinkersmiley* Da es ja der erste offizielle Referentenentwurf ist, gibt es eigentlich auch gar keine Änderungen zu einem vorherigen Stand *Zwinkersmiley* so ist wohl auch der entsprechende Abschnitt im Anschreiben zu lesen.

Ich möchte hier dennoch die aus meiner Sicht wesentlichen Änderungen zu den bisherigen (geleakten) Versionen in Bezug auf die Neufassung (im Folgenden BSIG-E) des "Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit der Informationstechnik von kritischen Anlagen und Einrichtungen (BSIG)" kurz darstellen:

  • In § 2 BSIG-E wurden Ergänzungen und Konkretisierungen vorgenommen - und das ist gut so. Hier sind bspw. die neuen Begriffe "Bodeninfrastruktur" (§ 2 Abs. 1 Nr. 2 BSIG-E), "Institutionen der Sozialen Sicherung" (§ 2 Abs. 1 Nr. 18 BSIG-E) und "Weltraumgestützte Dienste" (§ 2 Abs.1 Nr. 44 BSIG-E) hinzugekommen.
  • Der Begriff "Geschäftsleiter" wurde durch "Geschäftsleitung" (§ 2 Abs. 1 Nr. 12 BSIG-E) ersetzt, die vielfach diskutierte Ausnahme für Leiter und Leiterinnen von Einrichtungen der Bundesverwaltung bleibt dabei aber bestehen.
  • Der Begriff "kritische Anlage" (§ 2 Abs. 1 Nr. 1 BSIG-E) wurde neu gefasst, hier muss man ggf. etwas umdenken, da nunmehr immer der Begriff "erheblich" verwendet wird .
  • § 6 BSIG-E erfasst im Rahmen des Informationsaustauschs mit dem BSI wie bisher wichtige und besonders wichtige Einrichtungen, die besondere Verpflichtung für besonders wichtige Einrichtungen (ehemals in § 30 Abs. 7 BSIG-E verankert) wurde allerdings gestrichen.
  • § 28 Abs. 9 BSIG-E enthält nunmehr eine Ausnahmeregelung für "IKT-Dienstleister" in "öffentlicher Hand" auf Landes- und Kommunalebene, die aber entsprechende "landesrechtliche Vorschriften" zur Bedingung hat.
  • § 29 BSIG-E wurde neu gefasst, dabei wurden insbesondere die Regelung zu "in öffentlicher Hand befindlichen IT-Dienstleistern der Bundesverwaltung" gestrichen und eine Ausnahmeregelung für "Institutionen der Sozialen Sicherung, berufsständische Körperschaften des öffentlichen Rechts sowie Industrie- und Handelskammern" ergänzt.
  • In § 30 Abs. 1 BSIG-E wurde das Schutzziel "Authentizität" gestrichen. Dies halte ich aber für nicht wesentlich (da grundsätzlich schon durch das Schutzziel der Integrität abgedeckt) oder für einen redaktionellen Fehler, da die Authentizität an einigen anderen Stellen noch mit genannt wird.
  • In § 30 Abs. 1 BSIG-E wurde der Satz "Die Einhaltung der Verpflichtung nach Satz 1 ist durch die Einrichtungen zu dokumentieren." ergänzt.
  • § 38 Abs. 2 BSIG-E wurde durch die Möglichkeit eines Vergleichs ergänzt, wenn dieses Entgegen-kommen der Einrichtung "gemessen an den jeweiligen prozessualen Risiken [nicht] grob unverhältnismäßig ist".
  • § 58 Abs. 4 BSIG-E sieht nach wie vor eine BSI-KritisV zur Definition von "Kritischen Anlagen" vor, dies "kollidiert" aber ggf. mit der Idee, zukünftig nur noch eine Verordnung -nach dem KRITIS-DachG-E die KRITIS-DachGV- zu haben.
  • § 61 Abs. 6 und 7 BSIG-E beschränken Geldbußen, die in Abhängigkeit vom Vorjahresumsatz bemessen werden, nunmehr auf Einrichtungen mit mehr als 500 Mio. € Umsatz. Warum, erschließt sich mir nicht wirklich, da es sich ja sowieso um eine "kann"-Regelung handelt. Zudem werden Geldbußen, die in Abhängigkeit vom Vorjahresumsatz bemessen werden, nunmehr auf 1,4 Mio. € bzw. 2 Mio. € - aus einer "Mindestsumme" wird nunmehr eine "Maximalsumme".

Übrigens: Aus Art. 29 NIS2UmsuCG-E ergibt sich zudem, dass -sinnvollerweise- eine enge Verzahnung des NIS2UmsuCG und des KRITIS-DachG geplant ist. Dabei wird dann auch eine Verordnung -die KRITIS-DachGV- entstehen, die voraussichtlich -wie ich bereits in einem anderen Blogbeitrag erläutert habe- die aktuelle BSI-KritisV ablösen wird.

Auch die Gesetzesbegründung ist (zumindest stellenweise) lesenswert, hier einige aus meiner Sicht wesentliche und klarstellende Aspekte:

  • Die Klarstellung zum Begriff der "Erbringung ihrer Dienste" (vgl. Seite 147 NIS2UmsuCG-E) ist unverändert geblieben. Für mich etwas überraschend soll sich der Anwendungsbereich des § 30 BSIG-E nach wie vor auf die gesamte IT -so bspw. auch die "Büro-IT oder andere IT-Systeme, die durch die Einrichtung betrieben werden"- einer betroffenen Einrichtung erstrecken. Dies weicht von der üblichen Betrachtungsweise des Geltungsbereichs bei KRITIS-Betreibern ab, das steht auch so in der Gesetzesbegründung, warum, wird aber leider nicht abschließend erläutert. Ob das im Sinne der NIS-2-Richtlinie ist? Ich bin skeptisch, da diese im Kontext gelesen (bspw. ErwG 1 NIS-2 sowie Art. 23 NIS-2 im Kontext der "Erbringung von Vertrauensdiensten") meiner Meinung nach eine andere Interpretation zulässt. Dies gilt insbesondere, wenn man die Regelungen zu den Berichtspflichten in Art. 23 NIS-2 berücksichtigt: Soll hier tatsächlich auch zu allen "sonstigen" IT-Sicherheitsvorfällen berichtet werden? Und ob die Interpretation des BMI überhaupt realistisch umsetzbar ist -Stichwort: Fachkräfte-/Ressourcenmangel- lasse ich mal ganz dahingestellt sein.
  • Einrichtungen sollen -in Analogie zur Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO- zur Dokumentation ihrer Maßnahmen verpflichtet werden (vgl. Seite 148 NIS2UmsuCG-E). Dies ist meiner Meinung nach ausdrücklich zu begrüßen, um die Anforderungen aus § 64 Abs. 3 BSIG-E überhaupt sicherstellen zu können.
  • Der vielfach diskutierte Begriff "Cyberhygiene" wird umfassend erläutert (vgl. Seite 148 des NIS2UmsuCG-E), enthält aber aus meiner Sicht keine echten Überraschungen.
  • Die Regelung nach § 38 Abs. 2 BSIG-E soll "nicht die Möglichkeit einschränken, das Haftungsrisiko durch Abschluss einer sog. D&O-Versicherung zu versichern." (vgl. dazu Seite 155 NIS2UmsuCG-E). Interessant, denn D&O-Versicherungen zahlen typischerweise nicht in Fällen von grober Fahrlässigkeit oder Vorsatz. Ob und wie sich dies dann mit den Anforderungen aus § 38 Abs. 1 und 3 BSIG-E verträgt, vermag ich nicht zu beurteilen.
  • Schulungen nach § 38 Abs. 3 BSIG-E gelten dann als regelmäßig, wenn sie mindestens alle drei Jahre angeboten werden (vgl. dazu Seite 156 NIS2UmsuCG-E). Auch wenn diese Klarstellung  in der Gesetzesbegründung eigentlich auf das Angebot von Schulungen an Mitarbeiter gemünzt ist -die ja mittlerweile aus § 38 Abs. 3 BSIG-E gestrichen wurden- darf man davon ausgehen, dass diese Interpretation von "regelmäßig" auch für die Schulungsverpflichtung der Geschäftsleitungen gelten wird.

Alles in allem kein wirklich großer Wurf, aber immerhin ein offizieller Entwurf und einige wichtige Ergänzungen und Klarstellungen. Nun gilt es, dranzubleiben und die Entwicklung weiter zu beobachten.

Ob es zukünftig nur noch eine Verordnung für "Kritische Anlagen" geben wird? Ob die Umsetzungsfrist ggf. doch noch eingehalten werden kann? Artt. 2 und 29 NIS2UmsuCG-E legen dies zumindest nahe. Wir werden es erleben *Zwinkersmiley*