Soweit eine Antwort auf den BSI-Gesetzentwurf (kurz BSIG-E) verweist, ist damit stets das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz – BSIG) in der Fassung von Artikel 1 des Gesetzentwurfs der Bundesregierung für ein Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz), BT-Drs. 20/13184 (hier abrufbar), gemeint. Alle Antworten stehen unter dem Vorbehalt etwaiger Änderungen im weiteren parlamentarischen Verfahren.

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist noch nicht erlassen. Es tritt nach abschließender Behandlung und Beschlussfassung im Bundestag zum im Gesetz genannten Termin in Kraft. Ein Termin kann heute noch nicht genannt werden. Das Bundesministerium des Innern und für Heimat (BMI) ist die zuständige Behörde in dem laufenden Gesetzgebungsverfahren.

Aktuelle Informationen zum Gesetzgebungsverfahren und Umsetzungsstand finden Sie auf den Webseiten des BMI.

Unternehmen sollten sich vor allem auf die NIS-2-Regulierung vorbereiten, indem sie ihre Informationssicherheit verbessern und konkrete technisch-organisatorische Maßnahmen umsetzen. Unbenommen der zu erwartenden gesetzlichen Regulierung durch die Änderungen des BSI-Gesetzes aufgrund der Umsetzung der NIS-2-Richtlinie empfiehlt das BSI auf Grund der IT-Sicherheitslage jederzeit und für jedes Unternehmen, das eigene IT-Sicherheitsniveau kontinuierlich zu verbessern und zu erhöhen.

Das aktuell gültige BSI-Gesetz findet sich auf Gesetze-im-Internet.

Am 27.12.2022 wurde die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) im Amtsblatt L333 der Europäischen Union veröffentlicht.

Aktuelle Informationen zum Gesetzgebungsverfahren und Umsetzungsstand finden Sie auf den Webseiten des BMI.

Wir bitten um Verständnis, dass das BSI vor Abschluss des Gesetzgebungsverfahrens und der Beschlussfassung im Bundestag grundsätzlich nur äußerst begrenzt Auskunft zu den möglichen Regelungen eines zukünftigen BSI-Gesetzes nach Umsetzung der NIS-2-Richtlinie der EU geben kann und auf den Abschluss des Gesetzgebungsverfahrens angewiesen ist. Eine individuelle Rechtsberatung ist dem BSI darüber hinaus nicht möglich. Das BMI ist zuständige Behörde im laufenden Gesetzgebungsverfahren.

Von dem laufenden Gesetzgebungsverfahren abgesehen, können sich Unternehmen mit Ihren Fragen zur Cyber- und Informationssicherheit natürlich gerne an das BSI wenden.

Unternehmen sind von der Umsetzung der NIS-2-Richtlinie erfasst, wenn sie unter eine oder mehrere Einrichtungsdefinitionen der Anlagen 1 und 2 fallen und zudem die im Gesetz festgeschriebenen Größenschwellen für Mitarbeiterzahl und Umsatz erreichen oder überschreiten (sog. Size-Cap). Unabhängig von ihrer Größe werden von der NIS-2-Richtlinie auch bestimmte Einrichtungen erfasst, etwa wenn die Dienste erbracht werden von:

• Anbietern von öffentlichen elektronischen Kommunikationsnetzen oder von öffentlich zugänglichen elektronischen Kommunikationsdiensten;
• Vertrauensdiensteanbietern;
• Namensregistern der Domäne oberster Stufe und Domänennamensystem-Diensteanbietern;

Darüber hinaus enthält die NIS-2-Richtlinie weitere Sonderfälle.

Ob Sie als Betreiber einer kritischen Anlage gelten (als Teilmenge besonders wichtiger Einrichtungen), ist wie bisher anhand der BSI-Kritisverordnung zu prüfen.

Zu den Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Umsetzung der NIS-2-Richtlinie der EU und Abschluss des Gesetzgebungsverfahrens Auskunft gegeben werden.

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist noch nicht erlassen. Es tritt nach abschließender Behandlung und Beschlussfassung im Bundestag zum im Gesetz genannten Termin in Kraft. Ein Termin kann heute noch nicht genannt werden. Das Bundesministerium des Innern und für Heimat (BMI) ist die zuständige Behörde in dem laufenden Gesetzgebungsverfahren.

Aktuelle Informationen zum Gesetzgebungsverfahren und Umsetzungsstand finden Sie auf den Webseiten des BMI.

Ob Ihr Unternehmen voraussichtlich unter den Anwendungsbereich der NIS-2-Richtlinie der EU fallen wird, können Sie mit der NIS-2-Betroffenheitsprüfung unverbindlich und selbständig prüfen. Zusätzlich veröffentlicht ist der Entscheidungsbaum, der der NIS-2-Betroffenheitsprüfung zugrunde liegt.

Die englischen Begriffe aus der NIS-2-Richtlinie sind im NIS2UmsuCG wie folgt ins Deutsche übertragen worden:

important entities → wichtige Einrichtungen
essential entities → besonders wichtige Einrichtungen (in der deutschen Version der NIS-2-Richtlinie wird hierfür die Bezeichnung "wesentliche Einrichtungen“ verwandt)

Von besonders wichtigen und wichtigen Einrichtungen werden gemäß einem zukünftigen BSI-Gesetz nach Umsetzung der NIS-2-Richtlinie der EU voraussichtlich verschiedene, je nach Einrichtungsart abgestufte, Pflichten zu erfüllen sein wie beispielsweise

• sich zu registrieren
• erhebliche Sicherheitsvorfälle (in Bezug auf Cyber- und Informationssicherheit) zu melden
• Risikomanagementmaßnahmen zu ergreifen
• am Informationsaustausch teilzunehmen
• Billigungs-, Überwachungs- und Schulungspflicht für Geschäftsleitungen umzusetzen

Sollten Sie zudem Betreiber einer kritischen Anlage sein, werden Sie voraussichtlich erweiterte Risikomanagementmaßnahmen zu ergreifen und die Erfüllung von Nachweispflichten umzusetzen haben.

Zu den exakten Regelungen eines zukünftigen BSI-Gesetzes kann erst nach Umsetzung der NIS-2-Richtlinie der EU und Abschluss des Gesetzgebungsverfahrens Auskunft gegeben werden.

Nach Verabschiedung eines geänderten BSI-Gesetzes zur Umsetzung der NIS-2-Richtlinie der EU wird das BSI konkrete Hinweise zu den einzelnen Pflichten und Maßnahmen geben.

Für alle Anlagen, die aktuell Kritische Infrastrukturen gemäß BSIG sind, ergeben sich bzgl. der Nachweisfristen zum jetzigen Zeitpunkt keine Änderungen. Zu evtl. Neuregelungen und der Ausgestaltung des Übergangs wird das BSI nach Verabschiedung des Gesetzes informieren.

Neue Verpflichtungen auf Basis eines zukünftiges BSI-Gesetzes nach Umsetzung der NIS-2-Richtlinie der EU gelten ab Inkrafttreten des geänderten BSI-Gesetzes, mit den dort ggf. genannten Fristen.

Ja, ausschlaggebend ist, ob ein Unternehmen in der Bundesrepublik Deutschland niedergelassen ist (vgl. § 59 BSIG-E).

Der NACE-Code ist auf der im BSIG-E referenzierten Gliederungsebene der Abteilungen bzw. Kategorien identisch mit der WZ-Nummer der Klassifikation der Wirtschaftszweige, Ausgabe 2008 (WZ 2008), wie sie etwa bei Statistikmeldungen zum Einsatz kommt.

Statistische Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2)

Klassifikation der Wirtschaftszweige, Ausgabe 2008 (WZ 2008)

Ja, auch Verbundene Unternehmen, die nicht in Deutschland oder der EU tätig sind, werden bei der Berechnung der Size-Cap-Kennzahlen einbezogen, vgl. § 28 Absatz 3 BSIG-E sowie die darin referenzierte Empfehlung der Kommission 2003/361/EG vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom 20. Mai 2003, S. 36).

Ja, maßgeblich ist die Ausübung einer wirtschaftlichen Tätigkeit, also das Angebot von Dienstleistungen oder Produkten gegen Entgelt. Dabei ist unbeachtlich, ob es sich bei dem Angebotsempfänger um ein verbundenes Unternehmen der Einrichtung handelt.

Ja. Beide Unternehmen werden erfasst und unterliegen den Anforderungen von §§ 30 ff. BSIG-E. Zu beachten ist jedoch, ob im Einzelfall die Voraussetzungen des § 28 Absatz 3 Satz 2 BSIG-E vorliegen.

Die Prüfung der Betroffenheit ist nach Maßgabe der genannten Vorschrift durch die eventuell Betroffenen selbst durchzuführen, eine Mitteilung der Betroffenheit durch das BSI erfolgt nicht. Als rechtlich unverbindliche Hilfestellung nutzen Sie gerne die NIS-2-Betroffenheitsprüfung.

Nein. Die NIS-2-Richtlinie ist eine unionsrechtliche Richtlinie, welche in nationales Recht umgesetzt werden muss. Adressaten der NIS-2-Richtlinie sind die EU-Mitgliedstaaten, nicht Bürger oder Unternehmen. Sie gibt also vor, welche Ziele umgesetzt werden müssen, überlässt die Gesetzgebung zu deren Erreichung aber den EU-Mitgliedsstaaten. Als EU-Richtlinie ist sie nicht unmittelbar wirksam und verbindlich, bis das NIS2UmsuCG in Kraft tritt, gibt aber dessen Rahmen bereits vor.

Im BSIG-E ist gemäß § 39 vorgesehen, dass der regelmäßige Nachweiszyklus für KRITIS-Betreiber, welche derzeit alle 2 Jahre Nachweise gemäß § 8a BSIG erbringen müssen, auf 3 Jahre verlängert werden soll. Nach dem Inkrafttreten des NIS2UmsuCG plant das BSI ein Schreiben an alle bestehenden KRITIS-Betreiber mit einem individuellen neuen Nachweiszeitpunkt. Dieser wird mindestens 3 Jahre nach dem Datum des letzten erbrachten Nachweises liegen und ersetzt den vormals genannten nächsten Zeitpunkt. Betreiber, deren Nachweisdatum kurz vor dem Inkrafttreten des NIS2UmsuCG liegt, diesen bis dahin aber noch nicht erbracht haben, entbindet das Schreiben nicht von der noch bestehenden Nachweispflicht.
Die Nachweise sind ab dann alle 3 Jahre zu erbringen.

Eine Registrierung als "besonders wichtige Einrichtung" oder "wichtige Einrichtung" wird erst nach Inkrafttreten des BSIG-E möglich sein. Das BSI plant eine digitalisierte Online-Portallösung zur Registrierung.

Pflichten für Einrichtungen, die als "besonders wichtige Einrichtung" oder "wichtige Einrichtung" gelten, ergeben sich aus dem BSIG-E. Hierunter fallen bspw. geeignete Risikomanagementmaßnamen, die Pflicht IT-Störungen zu melden und weitere Anforderungen, die sich in § 30ff BSIG-E finden. Eine Unternehmenszertifizierung alleine ist nicht ausreichend, um sämtliche Anforderungen des BSIG-E zu erfüllen, kann aber ein Baustein für die Umsetzung der Risikomanagementmaßnahmen nach § 30 BSIG-E sein.

Das BSIG-E sieht vor, dass Geschäftsleitungen regelmäßig an Cybersicherheitsschulungen teilnehmen. Eine Konkretisierung des Umfangs oder der Periodizität ist im derzeitigen Stand des Gesetzes entsprechend den Anforderungen der NIS-2-Richtlinie nicht enthalten.

Bei verschiedenen Einrichtungsarten beispielsweise in den Sektoren Gesundheit oder Produktion, Herstellung und Handel mit chemischen Stoffen werden die NACE-Codes verwendet, um zu konkretisieren, bei welchen Produkte Betroffenheit besteht. (s. auch die Frage: "Wie bestimme ich den NACE-Code meines Unternehmens?")

Neben den gesetzlich vorgeschriebenen Pflichtmeldungen können auch freiwillige Meldungen an das BSI vorgenommen werden. Dies kann sinnvoll sein, wenn diese meldewürdig sind und deren Kenntnis beispielsweise andere Betreiber vor einer erheblichen Störung bewahren könnten. Die Meldung an das BSI entbindet das Unternehmen jedoch nicht von ggf. vorliegenden Meldepflichten in anderen EU-Mitgliedstaaten.

Ein allgemeines Zertifikat zum Nachweis der Anforderungen gibt es nicht. Betreiber müssen sicherstellen, dass sie gemäß § 30 BSIG-E technische und organisatorische Maßnahmen ergreifen, um Störungen bei der Erbringung ihrer Dienste zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Dazu sind mindestens die Maßnahmen aus § 30 Absatz 2 BSIG-E umzusetzen und Maßnahmen sollen den Stand der Technik einhalten und europäische und internationale Normen berücksichtigen. Der Betreiber muss sich im Zuge dieser Verpflichtungen auch mit den Risiken durch Dienstleister befassen. Er kann hierbei eine ISO-27001-Zertifizierung berücksichtigen.

Eine Registrierung als "besonders wichtige Einrichtung" oder "wichtige Einrichtung" sowie die Meldung von Sicherheitsvorfällen über diese registrierte Stelle ist erst nach Inkrafttreten des BSIG-E möglich. Das BSI plant zu diesem Zeitpunkt eine digitalisierte Online-Portallösung. Hierauf wird nach erfolgter Registrierung auch die Abgabe von Meldungen möglich sein.

Das BSI steht dazu im Austausch mit anderen EU-Mitgliedstaaten und der ENISA und ist bestrebt, die entsprechenden Formulare europaweit zu vereinheitlichen. Eine darüber hinausgehende europäische Lösung ist derzeit nicht absehbar und in der NIS-2-Richtlinie auch nicht vorgesehen.

Ein allgemeines Zertifikat zum Nachweis der Anforderungen gibt es nicht. Betreiber müssen sicherstellen, dass sie gemäß §30 BSIG-E technische und organisatorische Maßnahmen ergreifen, um Störungen bei der Erbringung ihrer Dienste zu vermeiden. Dazu sind mindestens die Maßnahmen gemäß §30 Abs. 2 BSIG-E umzusetzen und die Maßnahmen sollen den Stand der Technik einhalten. Europäische und internationale Normen sollen dazu berücksichtigt werden. Auch die ISO 27001 kann hier berücksichtigt werden, muss aber von jeder Einrichtung individuell im Rahmen ihre Risikomanagements beurteilt werden. Wir begrüßen aktuelle Vorstöße der Wirtschaft, einen einheitlichen Fragenkatalog für Lieferanten zu erarbeiten, der die Erfüllung der Anforderungen belegt. Auf diese Weise kann ein hohes Sicherheitsniveau mit angemessenem Dokumentationsaufwand erreicht werden. Erste Orientierung bietet auch die Veröffentlichung der UP KRITIS Best-Practice-Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen

So, wie Unternehmen Anforderungen an die Funktionsfähigkeit oder Wirtschaftlichkeit stellen, sollten sie auch möglichst konkrete Anforderungen an die Cybersicherheit der eingesetzten Software-/Hardware-Produkte oder der beauftragten Dienstleister stellen. Idealerweise sollten die Cybersicherheitseigenschaften durch den Hersteller, Vertreiber oder Auftragnehmer belegbar sein. Dazu können europäische und internationale Normen genutzt werden.

Wir begrüßen aktuelle Vorstöße der Wirtschaft, einen einheitlichen Fragenkatalog für Lieferanten zu erarbeiten, der die Erfüllung der Anforderungen belegt. Auf diese Weise kann ein hohes Sicherheitsniveau mit angemessenem Dokumentationsaufwand erreicht werden.

Erste Orientierung bietet auch die Veröffentlichung der UP KRITIS Best-Practice-Empfehlungen für Anforderungen an Lieferanten zur Gewährleistung der Informationssicherheit in Kritischen Infrastrukturen

Im Falle von Unternahmen gemäß § 60 BSIG-E kann dies der Fall sein, ansonsten nicht.

Die Pflichten, die sich durch die nationalen Umsetzungen der NIS-2-Richtlinie (NIS-2-RL) in den jeweiligen Mitgliedstaaten für dort tätige Unternehmen ergeben, gelten unabhängig von der deutschen Umsetzung. Demnach sind die Registrierungspflichten in mehreren EU-Ländern zu erfüllen, sofern andere nationale Gesetze dies vom Unternehmen fordern.

Einzige Ausnahmen sind die in § 60 BSIG-E aufgeführten Einrichtungen (DNS-Diensteanbieter, Top Level Domain Name Registries, Domain-Name-Registry-Dienstleister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Content Delivery Networks, Managed Service Provider, Managed Security Service Provider sowie für Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke), für die das BSIG-E (entsprechend der NIS-2-RL) eine zentrale Registrierung, Meldepflicht und Zuständigkeit in dem EU-Land vorsieht, in dem das betroffene Unternehmen seine Hauptniederlassung hat.

Grundsätzlich verfolgt das BSI den Ansatz Schnelligkeit vor Vollständigkeit. Dieser Ansatz lässt sich auch im Gesetzestext wiederfinden, da der Gesetzgeber neben den festen Fristen zu Meldungen klarstellt, dass diese unverzüglich abzugeben sind. Können im Rahmen dieser unverzüglichen Meldung noch nicht alle erforderlichen Angaben zur IT-Störung gemacht werden, ist die Meldung als Erstmeldung zu kennzeichnen. Sobald fehlende Informationen bekannt sind, ist eine Folgemeldung und letztendlich eine Abschlussmeldung vorzulegen. Liegen Erkenntnisse vor, die zu einer geänderten Bewertung des Vorfalls führen, können diese im Rahmen der Folgemeldungen mitgeteilt werden.

Mit „Kenntniserlangung“ ist gemeint, dass eine Mitarbeiterin oder ein Mitarbeiter der Einrichtung innerhalb der Arbeitszeit Kenntnis über einen erheblichen Sicherheitsvorfall erlangt. Im Zweifelsfall ist die Meldung nachrangig gegenüber der Eindämmung der akuten Folgen der IT-Störung. Gemäß § 2 Nr. 40 BSIG-E ist „Sicherheitsvorfall“ definiert als „ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigt“. Ein erheblicher Sicherheitsvorfall zeichnet sich darüberhinausgehend dadurch aus, dass er

a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder

b) andere natürliche oder juristische Personen durch erhebliche materielle oder im-materielle Schäden beeinträchtigt hat oder beeinträchtigen kann (vgl. § 2 Nr. 11 BSIG-E).

Der Begriff des erheblichen Sicherheitsvorfalls kann durch Rechtsverordnung nach § 56 Absatz 5 BSIG-E konkretisiert werden.