Aufgrund der vorgezogenen Wahlen konnte das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht abgeschlossen werden. Ein NIS-2-Umsetzungsgesetz ist noch nicht erlassen, ein Termin kann heute noch nicht genannt werden. Die Umsetzung der NIS-2 Richtlinie bleibt weiterhin vordringlich.

Aktuelle Informationen zum Gesetzgebungsverfahren und Umsetzungsstand finden Sie auf den Webseiten des BMI.

Unternehmen sollten sich vor allem auf die NIS-2-Regulierung vorbereiten, indem sie ihre Informationssicherheit verbessern und konkrete technisch-organisatorische Maßnahmen umsetzen. Unbenommen der zu erwartenden gesetzlichen Regulierung durch die Änderungen des BSI-Gesetzes aufgrund der Umsetzung der NIS-2-Richtlinie empfiehlt das BSI auf Grund der IT-Sicherheitslage jederzeit und für jedes Unternehmen, das eigene IT-Sicherheitsniveau kontinuierlich zu verbessern und zu erhöhen.

Am 27.12.2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) im Amtsblatt L333 der Europäischen Union veröffentlicht.

Aufgrund der vorgezogenen Wahlen konnte das parlamentarische Verfahren zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) nicht abgeschlossen werden. Ein NIS-2-Umsetzungsgesetz ist noch nicht erlassen.

Das aktuell gültige BSI-Gesetz findet sich auf Gesetze-im-Internet.

Aktuelle Informationen zum Gesetzgebungsverfahren und Umsetzungsstand finden Sie auf den Webseiten des BMI.

Wir bitten um Verständnis, dass das BSI vor Abschluss des Gesetzgebungsverfahrens grundsätzlich nur äußerst begrenzt Auskunft zu den möglichen Regelungen eines zukünftigen BSI-Gesetzes nach Umsetzung der europäischen NIS-2-Richtlinie der EU geben kann und auf den Abschluss des Gesetzgebungsverfahrens angewiesen ist. Eine individuelle Rechtsberatung ist dem BSI darüber hinaus nicht möglich.

Das BMI ist zuständige Behörde im laufenden Gesetzgebungsverfahren.

Von dem laufenden Gesetzgebungsverfahren abgesehen, können sich Unternehmen mit Ihren Fragen zur Cyber- und Informationssicherheit natürlich gerne an das BSI wenden.

Unternehmen sind von der Umsetzung der NIS-2-Richtlinie erfasst, wenn sie unter eine oder mehrere Einrichtungsdefinitionen der Anhänge I und II der Richtlinie fallen und zudem die durch die Richtlinie festgesetzten Größenschwellen für Mitarbeiterzahl und Umsatz erreichen oder überschreiten.

Unabhängig von ihrer Größe werden von der NIS-2-Richtlinie auch bestimmte Einrichtungen erfasst, etwa wenn die Dienste erbracht werden von:

• Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten;
• Vertrauensdiensteanbietern;
• Namensregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern;

Darüber hinaus enthält die NIS-2-Richtlinie weitere Sonderfälle.

Ob Sie als Betreiber einer kritischen Anlage gelten, ist wie bisher anhand der BSI-Kritisverordnung zu prüfen.

Zu den Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Abschluss des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie Auskunft gegeben werden.

Aktuelle Informationen zum Gesetzgebungsverfahren und Umsetzungsstand finden Sie auf den Webseiten des BMI.

Ob Ihr Unternehmen voraussichtlich unter den Anwendungsbereich der NIS-2-Richtlinie der EU fallen wird, können Sie mit der NIS-2-Betroffenheitsprüfung unverbindlich und selbständig prüfen. Zusätzlich veröffentlicht ist der Entscheidungsbaum, der der NIS-2-Betroffenheitsprüfung zugrunde liegt.

Die Begriffe der NIS-2-Richtlinie (englische Version / deutsche Version) wurden für das NIS2UmsuCG wie folgt ins Deutsche übertragen worden:

important entities / wichtige Einrichtungen → wichtige Einrichtungen
essential entities / wesentliche Einrichtungen → besonders wichtige Einrichtungen

Von wesentlichen (essential entities) und wichtigen Einrichtungen (important entities) werden gemäß einem zukünftigen BSI-Gesetz nach Umsetzung der europäischen NIS-2-Richtlinie voraussichtlich verschiedene, je nach Einrichtungsart abgestufte, Pflichten zu erfüllen sein, wie beispielsweise

• sich zu registrieren,
• erhebliche Sicherheitsvorfälle (in Bezug auf Cyber- und Informationssicherheit) zu melden,
• Risikomanagementmaßnahmen zu ergreifen,
• am Informationsaustausch teilzunehmen,
• Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen umzusetzen.

Sollten Sie zudem Betreiber einer kritischen Anlage sein, werden Sie voraussichtlich erweiterte Risikomanagementmaßnahmen zu ergreifen und die Erfüllung von Nachweispflichten umzusetzen haben.

Zu den exakten Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Umsetzung der NIS-2-Richtlinie der EU und Abschluss des Gesetzgebungsverfahrens Auskunft gegeben werden.

Nach Verabschiedung eines geänderten BSI-Gesetzes zur Umsetzung der europäischen NIS-2-Richtlinie wird das BSI konkrete Hinweise zu den einzelnen Pflichten und Maßnahmen geben.

Für alle Anlagen, die aktuell Kritische Infrastrukturen gemäß BSIG sind, ergeben sich bzgl. der Nachweisfristen zum jetzigen Zeitpunkt keine Änderungen. Zu evtl. Neuregelungen und der Ausgestaltung des Übergangs wird das BSI nach Verabschiedung eines zukünftigen Gesetzes informieren.

Neue Verpflichtungen auf Basis eines zukünftigen nationalen Umsetzungsgesetzes/BSI-Gesetzes nach Umsetzung der NIS-2-Richtlinie der EU gelten ab Inkrafttreten eines zukünftigen nationalen Umsetzungsgesetzes, mit den dort ggf. genannten Fristen.

Unternehmen, die unter die DORA-Regulierung fallen, beachten bitte auch die Antwort auf die Frage 10 der sektorspezifischen FAQ.

Ja, ausschlaggebend ist, ob ein Unternehmen in der Bundesrepublik Deutschland niedergelassen ist (vgl. Artikel 26 Absatz 1 der NIS-2-Richtlinie).

Der NACE-Code ist auf der in der NIS-2-Richtlinie referenzierten Gliederungsebene der Abteilungen bzw. Kategorien identisch mit der WZ-Nummer der Klassifikation der Wirtschaftszweige, Ausgabe 2008 (WZ 2008), wie sie etwa bei Statistikmeldungen zum Einsatz kommt.

Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2)

Klassifikation der Wirtschaftszweige, Ausgabe 2008 (WZ 2008)

Ja, auch Verbundene Unternehmen, die nicht in Deutschland oder der EU tätig sind, werden bei der Berechnung der Size-Cap-Kennzahlen einbezogen, vgl. Artikel 3 der NIS-2-Richtlinie sowie die darin referenzierte Empfehlung der Kommission 2003/361/EG vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20. Mai 2003, S. 36).

Beide Unternehmen werden erfasst und unterliegen den Anforderungen der NIS-2-Richtlinie. Zu beachten ist jedoch, ob im Einzelfall die Voraussetzungen der Artikel 3 der NIS-2-Richtlinie sowie der darin referenzierten Empfehlung der Kommission 2003/361/EG vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20. Mai 2003, S. 36). vorliegen.

Die Prüfung der Betroffenheit ist voraussichtlich durch die eventuell Betroffenen selbst durchzuführen. Als rechtlich unverbindliche Hilfestellung nutzen Sie gerne die NIS-2-Betroffenheitsprüfung.

Eine Registrierung gemäß der NIS-2-Richtlinie ist erst nach Umsetzung der Richtlinie in nationales Recht möglich.

Nein. Die NIS-2-Richtlinie ist eine unionsrechtliche Richtlinie, welche in nationales Recht umgesetzt werden muss. Adressaten der NIS-2-Richtlinie sind die EU-Mitgliedstaaten, nicht Bürger oder Unternehmen. Sie gibt also vor, welche Ziele umgesetzt werden müssen, überlässt die Gesetzgebung zu deren Erreichung aber den EU-Mitgliedsstaaten. Als EU-Richtlinie ist sie nicht unmittelbar wirksam und verbindlich, bis ein Gesetz zur Umsetzung der NIS-2-Richtlinie in Kraft tritt, gibt aber dessen Rahmen bereits vor.

Eine Registrierung als "wesentliche Einrichtung" (essential entity) oder "wichtige Einrichtung" (important entity) wird erst nach Inkrafttreten eines zukünftigen BSIG möglich sein. Das BSI plant eine digitalisierte Online-Portallösung zur Registrierung.

Die Mindestanforderungen an Einrichtungen, die als "wesentliche Einrichtung" (essential entity) oder "wichtige Einrichtung" (important entity) gelten, ergeben sich aus der NIS-2-Richtlinie. Hierunter fallen bspw. geeignete Risikomanagementmaßnamen (Artikel 21 der Richtlinie), die Pflicht, IT-Störungen zu melden (Artikel 23 Absatz 1 der Richtlinie) und weitere Anforderungen. Eine Unternehmenszertifizierung alleine ist nicht ausreichend, um sämtliche Anforderungen der Richtlinie zu erfüllen, kann aber ein Baustein für die Umsetzung der Risikomanagementmaßnahmen nach Artikel 21 der Richtlinie sein.

Artikel 20 Absatz 2 der NIS-2-Richtlinie sieht vor, dass Mitglieder der Leitungsorgane regelmäßig an Cybersicherheitsschulungen teilnehmen. Eine Konkretisierung des Umfangs oder der Periodizität ist dort nicht enthalten.

Bei verschiedenen Einrichtungsarten beispielsweise in den Sektoren Gesundheit oder Produktion, Herstellung und Handel mit chemischen Stoffen werden die NACE-Codes verwendet, um zu konkretisieren, bei welchen Produkten Betroffenheit besteht. (s. auch die Frage: "Wie bestimme ich den NACE-Code meines Unternehmens?")

Neben den gesetzlich vorgeschriebenen Pflichtmeldungen können auch freiwillige Meldungen an das BSI vorgenommen werden. Dies kann sinnvoll sein, wenn diese meldewürdig sind und deren Kenntnis beispielsweise andere Betreiber vor einer erheblichen Störung bewahren könnten. Die Meldung an das BSI entbindet das Unternehmen jedoch nicht von ggf. vorliegenden Meldepflichten in anderen EU-Mitgliedstaaten.

Ein allgemeines Zertifikat zum Nachweis der Anforderungen gibt es nicht. "Wesentliche Einrichtungen" (essential entities) und "wichtige Einrichtungen" (important entities) werden sicherstellen müssen, dass sie technische und organisatorische Maßnahmen ergreifen, um Störungen bei der Erbringung ihrer Dienste zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dazu werden mindestens die Maßnahmen gemäß der NIS-2-Richtlinie zu berücksichtigen sein. Die Einrichtungen müssen sich im Zuge dieser Verpflichtungen auch mit den Risiken durch Dienstleister befassen. Sie können hierbei eine ISO-27001-Zertifizierung berücksichtigen.

Eine Registrierung als "wesentliche Einrichtung" (essential entity) oder "wichtige Einrichtung" (important entity) wird erst nach Inkrafttreten eines zukünftigen BSIG möglich sein. Das BSI plant, zu diesem Zeitpunkt eine digitalisierte Online-Portallösung bereitzustellen. Hierauf werden nach erfolgter Registrierung auch die Abgabe von Meldungen und der Erhalt von Lage- und Warninformationen möglich sein.

Das BSI steht dazu im Austausch mit anderen EU-Mitgliedstaaten und der ENISA und ist bestrebt, die entsprechenden Formulare europaweit zu vereinheitlichen. Eine darüber hinausgehende europäische Lösung ist derzeit nicht absehbar und in der NIS-2-Richtlinie auch nicht vorgesehen.

Ein allgemeines Zertifikat zum Nachweis der Anforderungen gibt es nicht. Einrichtungen werden sicherstellen müssen, dass sie technische und organisatorische Maßnahmen ergreifen, um Störungen bei der Erbringung ihrer Dienste zu vermeiden. Dazu sind mindestens die Maßnahmen gemäß Artikel 21 der NIS-2-Richtlinie umzusetzen und die Maßnahmen sollen den Stand der Technik einhalten. Europäische und internationale Normen sollen dazu berücksichtigt werden. Auch die ISO 27001 kann hier berücksichtigt werden, muss aber von jeder Einrichtung individuell im Rahmen ihres Risikomanagements beurteilt werden.

Wir begrüßen aktuelle Vorstöße der Wirtschaft, einen einheitlichen Fragenkatalog für Lieferanten zu erarbeiten, der die Erfüllung der Anforderungen belegt. Auf diese Weise kann ein hohes Sicherheitsniveau mit angemessenem Dokumentationsaufwand erreicht werden.

Erste Orientierung bietet auch die Veröffentlichung Best-Practice-Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen der UP KRITIS.

So, wie Unternehmen Anforderungen an die Funktionsfähigkeit oder Wirtschaftlichkeit stellen, sollten sie auch möglichst konkrete Anforderungen an die Cybersicherheit der eingesetzten Software-/Hardware-Produkte oder der beauftragten Dienstleister stellen. Idealerweise sollten die Cybersicherheitseigenschaften durch den Hersteller, Vertreiber oder Auftragnehmer belegbar sein. Dazu können europäische und internationale Normen genutzt werden.

Wir begrüßen aktuelle Vorstöße der Wirtschaft, einen einheitlichen Fragenkatalog für Lieferanten zu erarbeiten, der die Erfüllung der Anforderungen belegt. Auf diese Weise kann ein hohes Sicherheitsniveau mit angemessenem Dokumentationsaufwand erreicht werden.

Erste Orientierung bietet auch die Veröffentlichung Best-Practice-Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen der UP KRITIS.

Ausschließlich im Falle von Einrichtungen gemäß Artikel 26 der NIS-2-Richtlinie kann dies der Fall sein, sobald ein nationales Umsetzungsgesetz in Kraft getreten ist.

Die Pflichten, die sich durch die nationalen Umsetzungen der NIS-2-Richtlinie in den jeweiligen Mitgliedstaaten für dort tätige Unternehmen ergeben, gelten unabhängig von der deutschen Umsetzung. Demnach sind die Registrierungspflichten in mehreren EU-Ländern zu erfüllen, sofern andere nationale Gesetze dies vom Unternehmen fordern.

Einzige Ausnahmen sind die in Artikel 26 der NIS-2-Richtlinie aufgeführten Einrichtungen, für die eine zentrale Registrierung, Meldepflicht und Zuständigkeit in dem EU-Mitgliedstaat, in dem das betroffene Unternehmen seine Hauptniederlassung hat, vorgesehen ist (DNS-Diensteanbieter, Top Level Domain Name Registries, Domain-Name-Registry-Dienstleister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Managed Service Provider, Managed Security Service Provider sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke).

Grundsätzlich verfolgt das BSI den Ansatz Schnelligkeit vor Vollständigkeit. Dieser Ansatz lässt sich auch in Artikel 23 der NIS-2-Richtlinie wiederfinden, da dort neben den festen Fristen zu Meldungen klargestellt wird, dass diese unverzüglich abzugeben sind. Können im Rahmen dieser unverzüglichen Meldung noch nicht alle erforderlichen Angaben zur IT-Störung gemacht werden, ist die Meldung als Erstmeldung zu kennzeichnen. Sobald fehlende Informationen bekannt sind, sind eine Folgemeldung und letztendlich eine Abschlussmeldung vorzulegen. Liegen Erkenntnisse vor, die zu einer geänderten Bewertung des Vorfalls führen, können diese im Rahmen der Folgemeldungen mitgeteilt werden.

Mit "Kenntnisnahme" ist gemeint, dass eine Mitarbeiterin oder ein Mitarbeiter der Einrichtung innerhalb der Arbeitszeit Kenntnis über einen erheblichen Sicherheitsvorfall erlangt. Im Zweifelsfall ist die Meldung nachrangig gegenüber der Eindämmung der akuten Folgen der IT-Störung. Gemäß Artikel 6 der NIS-2-Richtlinie ist "Sicherheitsvorfall" definiert als "ein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt". Ein erheblicher Sicherheitsvorfall zeichnet sich darüberhinausgehend dadurch aus, dass er

a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder

b) andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann (vgl. Artikel 23 Absatz 3 der NIS-2-Richtlinie).