NIS2UmsuCG : Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungs-Gesetz kommt – ein Überblick über den Status quo
Mit dem Wortungetüm von Gesetzeswerk will Deutschland nicht nur die EU-Vorgaben der NIS-2-Richtlinie umsetzen, sondern auch das bestehende deutsche Cybersecurity-Recht teilweise neu strukturieren. Der vorliegende Beitrag basiert inhaltlich auf einem fortgeschrittenen internen Arbeitsdokument des BMI und gibt einen ersten Überblick über die diskutierten anstehenden gesetzlichen Änderungen, deren Umfang und systematische Auswirkungen.
Mit dem Wortungetüm von Gesetzeswerk will Deutschland nicht nur die EU-Vorgaben der NIS-2-Richtlinie umsetzen, sondern auch das bestehende deutsche Cybersecurity-Recht teilweise neu strukturieren. Der vorliegende Beitrag basiert inhaltlich auf einem fortgeschrittenen internen Arbeitsdokument des BMI und gibt einen ersten Überblick über die diskutierten anstehenden gesetzlichen Änderungen, deren Umfang und systematische Auswirkungen.
Das Recht der Cybersicherheit befindet sich zurzeit an allen Stellen im Umbruch – und das nicht nur aufgrund der geänderten und gestiegenen Bedrohungslage, sondern auch deshalb, weil ein Rechtsgebiet, das bislang vornehmlich auf dem Schutz kritischer Infrastruktur gewachsen ist, nun eine flächendeckende horizontale Ausdehnung über Sektoren, Branchen und einzelne Produktkategorien hinweg erfährt. Das erfordert gravierende systematische Veränderungen der nationalen und europäischen Cybersecurity-Compliance.
Nachdem im Dezember vergangenen Jahres die lang erwartete NIS-2-Richtlinie (vgl. <kes> 2023# 1, S. 19) im Amtsblatt der Europäischen Union publiziert wurde, folgt nunmehr das in Branchenkreisen mindestens genauso erwartete nationale NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Die Besonderheit daran: Der deutsche Gesetzgeber nimmt die durch NIS-2 bedingte europäische Überformung des nationalen Cybersecurity-Rechts nicht nur zum Anlass, die aktuellen EU-Vorgaben umzusetzen, sondern gliedert in diesem Zuge auch das bestehende deutsche Cybersecurity-Recht in erheblichen Teilen neu und gleicht es an die Anforderungen des physischen KRITIS-Schutzes an.
Mehr als KRITIS-Schutz
Die „Wiege“ des nationalen, aber auch des europäischen Rechts der Cybersicherheit liegt im Wesentlichen im Schutz der kritischen Infrastrukturen. Infolge der zunehmenden Vernetzung sowie der signifikant geänderten Bedrohungslage zielen die aktuellen Bestrebungen sowohl des europäischen als auch des nationalen Gesetzgebers zunehmend auf die Einbeziehung nicht nur zahlreicher weiterer Branchen, sondern auch Produkte in den zukünftigen Regulierungshorizont der Cybersicherheit.
So waren für die Compliance in diesem Bereich national im Kern bislang das BSI-Gesetz (BSIG) und die dessen Anwendungsbereich konkretisierende „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-KritisV) einschlägig, ergänzt um spezialgesetzliche Anforderungen beispielsweise aus dem Telekommunikationsgesetz (TKG) oder dem Gesetz über die Elektrizitäts- und Gasversorgung (EnWG).
Seit 2016 wurden diese nationalen Vorgaben durch die erste europäische NIS-Richtlinie überformt, die vor allem Änderungen bei digitalen Diensten in den Bereichen Cloud-Computing, Online-Suchmaschinen und Online-Marktplätze mit sich brachte, um den komplexen digitalen europäischen Binnenmarkt cybersicherer zu gestalten. Das nationale IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) stellte 2021 schließlich den vorläufigen „Höhepunkt“ der Cybersecurity-Regulierung dar, indem es – nicht zuletzt unter dem Eindruck der zu diesem Zeitpunkt fortdauernden Corona-Pandemie – Cybersicherheit zunehmend auch als eine Aufgabe des flächendeckenden Wirtschaftsschutzes formulierte. Besonders die „Unternehmen im besonderen öffentlichen Interesse“ (UBI) traten als neue Kategorisierung hinzu und die gesetzlichen Pflichten erfuhren – zunächst theoretisch – eine erhebliche Ausdehnung mit den UBI der Kategorie 2, der die größten Unternehmen in Deutschland nach Wertschöpfung unterfallen sollten.
Bislang wurden die UBI-Kategorie 2 noch nicht untergesetzlich konkretisiert, sodass die entsprechenden rechtlichen Anforderungen in der Praxis noch nicht zur Anwendung gelangen konnten. Deutlich geworden ist aber zumindest der gesetzgeberische Wille, in diese Richtung zu regulieren. Das IT-SiG 2.0 war auf jeden Fall national auch der Wegbereiter für die Ende 2022 erfolgte neueeuropäische Regulierung (kritischer) Cybersicherheit und digitaler Resilienz: Aufbauend auf der EU-Cybersicherheitsstrategie von 2020 wurden sowohl die NIS-2-Richtlinie als auch eine neue europäische Resilienz-Richtlinie (CER-RL) verabschiedet, die durch die Mitgliedstaaten bis Oktober 2024 umzusetzen sind.
Beide Richtlinien werden aktuell in Deutschland in das nationale Recht implementiert, wobei die NIS-2-RL voraussichtlich durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) Eingang in das deutsche Recht finden wird, wohingegen die CER-Richtlinie durch das „KRITIS-Dachgesetz“ in Aussicht zu stellen ist, um vor allem die hybride Bedrohungslage für kritische Infrastrukturen zu adressieren. Für beide Vorhaben bemüht sich der deutsche Gesetzgeber aktuell, zu einem Abschluss des Verfahrens noch weit vor Ablauf der europäischen Umsetzungsfrist zu gelangen, um betroffenen Unternehmen mehr Zeit für die Umsetzung einzuräumen.
Anlagen und Einrichtungen
Mit dem NIS2UmsuCG wird das nationale Cybersicherheitsrecht voraussichtlich erheblichen Änderungen unterzogen, vor allem im Anwendungsbereich der neuen Regelungen: Wo der Cybersicherheit als essenzieller Bestandteil des kritischen Infrastrukturschutzes in den §§ 8a und 8b BSIG bislang eine eher knapp bemessene Regelung zukam, sollen die Anforderungen in Umsetzung von NIS
-2 nun deutlich umfassender adressiert werden. Unterschieden werden kann dabei zwischen den Betreibern von kritischen Anlagen, besonders wichtigen Einrichtungen und wichtigen Einrichtungen – mit einer solchen nationalen Einteilung wird die im Europarecht vorgesehene und eher missverständliche Unterteilung in „wesentliche“ und „wichtige“ Einrichtungen revidiert, ohne inhaltlich aber den eigentlichen Regulierungsgehalt anzutasten.
Dabei sind die Betreiber kritischer Anlagen die höchste Qualifikationsstufe und die bislang durch das ITSiG 2.0 adressierten UBI sollen zukünftig in den besonders wichtigen und wichtigen Einrichtungen aufgehen. Den bislang verwendeten Begriff der kritischen Infrastrukturen findet man in der in diesem Artikel wiedergegebenen Arbeitsfassung des BMI hingegen nicht mehr, sodass die „kritische Anlage“ voraussichtlich der neuen Subkategorie der besonders wichtigen Einrichtungen unterfällt.
Um betroffenen Einrichtungen die größenmäßige Zuordnung zu erleichtern, sollen die zahlenmäßigen Bestimmungen aus der Empfehlung 2003/361/EG, auf die auch NIS-2 Bezug nimmt, wohl als Legaldefinitionen in die neuen Begriffsbestimmungen nach BSIG übernommen werden. Ausnahmen vom Anwendungsbereich des NIS2UmsuCG lassen sich vor allem aus dem generellen Vorrang spezialgesetzlicher Regelungen ableiten. Zu nennen sind hier Einrichtungen, die der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA) unterfallen, aber auch der Bereich der öffentlichen Telekommunikationsnetze und öffentlich zugänglichen Telekommunikationsdienste mit den Sondervorschriften des TKG. Die Sicherheit der Telematikinfrastruktur wird bereits durch das SGBV geregelt. Die bislang bestehenden spezialgesetzlichen Vorgaben aus dem Energiesektor im EnWG sollen zukünftig voraussichtlich einheitlich durch das BSIG bestimmt werden.
Cyber-Risikomanagement
Bereits basierend auf IT-SiG, NIS-1 und IT-SiG 2.0 sieht das BSIG Maßnahmen zum Cybersecurity-Risikomanagement und entsprechende Meldepflichten vor. Diese werden mit NIS-2 und dem Umsetzungsgesetz nicht nur weiter konkretisiert, sondern auch verschiedentlich verschärft.
Nach wie vor haben besonders wichtige und wichtige Einrichtungen ein Risikomanagement zur Gewährleistung der Cybersicherheit vorzuhalten. Auch im Entwurf einer Neufassung wird deshalb – wenig überraschend – die Verpflichtung bestimmt, verhältnismäßigetechnische und organisatorische Maßnahmen (TOM) zu ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die zur Diensteerbringung genutzt werden, zu vermeiden und Auswirkungen von Sicherheitsvorfällen auf eigene oder andere Dienste zu verhindern oder möglichst gering zu halten. Der „Stand der Technik“ als bereits durch das ITSiG bekannter unbestimmter Rechtsbegriff wird ebenfalls erneut referenziert, denn die Schnittstelle Recht-Technik und die nicht beliebig abbildbare Aufnahme technischer Anforderungen in juristische Vorschriften haben sich insoweit nicht verändert.
Auch der Angemessenheitsgrundsatz der zu treffenden TOM, der sich auf eine Kosten-Nutzen-Abwägung zu treffender Maßnahmen bezieht, hat Bestand: So sind bei der Bewertung, ob Maßnahmen dem bestehenden Risiko angemessen sind, das Ausmaß der Risikoexposition und die Größe der Einrichtung oder des Betreibers sowie die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen zu berücksichtigen. Eine solche Regelung ist notwendig, um unverhältnismäßige Bürden zu vermeiden und einen Bezug des Gesetzes zu seiner praktischen Umsetzung herzustellen. Das bedeutet aber auch, dass für die Betreiber von kritischen Anlagen erhöhte Anforderungen an die Angemessenheitsbeurteilung anzulegen sein werden.
NIS-2 geht über den bestehenden Rechtsrahmen insoweit hinaus, als dass der Rechtsakt eine Konkretisierung der zu treffenden TOM im Sinne einer nicht abschließenden Kasuistik wiedergibt, die wohl auch Eingang in das NIS2UmsuCG finden wird. Der als „Minimalkonsens“ zu verstehende Katalog listet unter anderem Backup- sowie Notfall- und Krisenmanagement, die Sicherheit der Lieferkette, Security by Design, Schwachstellenmanagement, Cyberhygiene, Kryptografie, Zugriffskontrollkonzepte und Multi-Faktor-Authentifizierung (MFA) als mögliche Maßnahmen auf. Zur Konkretisierung der gesetzlich geforderten Maßnahmen wird für die besonders wichtigen Einrichtungen die Möglichkeit zum Vorschlag branchenspezifischer Sicherheitsstandards (B3S) aller Voraussicht nach weiter fortbestehen.
Meldepflichten
Besonders im Bereich der Meldepflichten werden die erheblichen Änderungen in der nationalen Sicherheits- und Cybersicherheitsinfrastruktur deutlich, indem nicht nur das BSI, sondern vor allem auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) eine erhebliche institutionelle Stärkung erfahren. Das hat rechtlich zur Folge, dass künftig das BSIG systematisch nicht mehr separat, sondern im Zusammenhang mit dem KRITIS-Dachgesetz zu sehen sein wird. Deshalb wird hier auch der Vorschlag für eine Neuerung eingebracht, dass die Meldungen an eine vom BSI im Einvernehmen mit dem BBK eingerichtete Meldemöglichkeit übermittelt werden.
Insgesamt ist die Schaffung vereinheitlichter Meldewege vorzugswürdig, da sich digitale und physische Bedrohungen durchaus überschneiden können und es den betroffenen Einrichtungen schwer zuzumuten sein wird, für jeden Einzelfall und unter Umständen unter erheblichem Zeitdruck eine rechtsklare Differenzierung vorzunehmen. Zudem ist es in Anbetracht des erheblich ausgedehnten Anwendungsbereichs der neuen Regelungen statthaft, betroffenen Unternehmen die Implementierung der Cybersecurity-Regulatorik größtmöglich zu erleichtern. Hierzu können einerseits chronologisch gestufte Umsetzungs- und Prüfkonzepte gehören, andererseits aber auch die Vereinfachung des administrativen Rahmens, indem es in die Verantwortung der Behörden gestellt wird, den Informationsaustausch zu gewährleisten und in die „richtigen Kanäle“ zu lenken.
Im Vergleich zum geltenden Recht wird das neue Meldeverfahren durch eine mehrstufige Ausgestaltung vermutlich erheblichen Änderungen unterliegen. Unterschieden wird im Gesetzentwurf zwischen der frühen Erstmeldung (unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung), der bestätigenden Erstmeldung (unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung), der Zwischenmeldung auf Ersuchen des BSI, der Fortschrittsmeldung bei Fortdauern des Sicherheitsvorfalls und einer Abschlussmeldung mit Monatsfrist. Insgesamt wird administrativ von einer deutlich höheren Zahl melderelevanter Vorfälle nach NIS2UmsuCG auszugehen sein. Gründe hierfür sind der ausgedehnte Anwendungsbereich, aber auch die Einbeziehung von materiellen und immateriellen Schäden.
Ebenfalls neu ist die positiv hervorzuhebende Rückmeldepflicht des BSI: Eine Rückmeldung der Behörde ist unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Eingang der Frühwarnung vorgesehen. Das ist sinnvoll und adressiert die in der Vergangenheit geäußerte Kritik verschiedener Betreiber, Meldungen in ein „schwarzes Loch“ abzusetzen.
Registrierung, Nachweis und Unterrichtung
Das NIS2UmsuCG sieht für kritische Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen eine Registrierungspflicht vor – eine rechtliche Vorgabe, die bereits aus dem geltenden Recht für kritische Infrastrukturen bekannt ist. Infolge der europäisch veranlassten erheblichen Ausdehnung des Betroffenenkreisesder gesetzlichen Regelungen ist auch hier mit einer deutlichen zahlenmäßigen Erweiterung zu rechnen. Bei Nichterfüllung dieser Anforderung drohen nicht nur Bußgelder, sondern es ist ebenso die Möglichkeit einer Selbstvornahme der Registrierung durch das BSI vorgesehen.
Nach geltendem Recht bestehen ebenfalls Nachweispflichten zur Umsetzung der Anforderungen aus dem Cybersicherheitsrecht – diese dürften voraussichtlich für die besonders wichtigen Einrichtungen übernommen werden. Dementsprechend ist die Erfüllung der gesetzlichen Anforderungen zu einem vom BSI nach der Registrierung festgelegten Zeitpunkt und anschließend im Zwei-Jahres-Turnus nachzuweisen. In diesem Zusammenhang soll vorgesehen werden, dass das BSI die Ausgestaltung des Nachweisverfahrens nach Anhörung von Vertretern der betroffenen Betreiber und Einrichtungen und der Wirtschaftsverbände konkretisierend festlegen kann. Der Nachweis soll weiterhin in geeigneter Weise, also etwa durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.
Für erhebliche Sicherheitsvorfälle soll vorgesehen werden, dass das BSI besonders wichtige und wichtige Einrichtungen anweist, die Empfänger ihrer Dienste unverzüglich über den Vorfall zu unterrichten, der die Erbringung des jeweiligen Dienstes beeinträchtigen könnte – beispielsweise durch eine Veröffentlichung im Internet.
Aufsicht und Durchsetzung, Sanktionen
Der Vorschlag für ein NIS2UmsuCG sieht einen gestaffelten Aufsichts- und Durchsetzungsrahmen des national zuständigen BSI zur Durchsetzung der rechtlichen Erfordernisse vor. Inhaltlich wird dabei zwischen der unterschiedlichen wirtschaftlichen Leistungsfähigkeit von besonders wichtigen und wichtigen Einrichtungen unterschieden. Für Erstgenannte soll gelten, dass das BSI ohne Verdachtsmomente die Einhaltung der Anforderungen nach dem BSIG überprüfen kann – dabei trifft die Einrichtungen eine Mitwirkungspflicht. Ebenso können Anweisungen erlassen werden. Im Zweifelsfall kann bei Nichteinhaltung der Anforderungen bei den besonders wichtigen Einrichtungen deren Tätigkeit ausgesetzt oder Leitungspersonen die Wahrnehmung ihrer Leitungsaufgaben vorübergehend untersagt werden. Damit dürfte der neue Handlungsrahmen deutlich über den gegebenen Rechtsrahmen hinausgehen.
Auch die Bußgeldtatbestände bemessen sich an der Unterscheidung zwischen den besonders wichtigen und den wichtigen Einrichtungen – zusätzlich soll ein allgemeiner Bußgeldrahmen vorgesehen werden. Dabei wird das aktuell bereits vorhandene Stufenkonzept für die Bußgeldtatbestände aufrechterhalten. Für den allgemeinen Rahmen bewegt sich dieses in dem NIS2UmsuCG-Vorschlag zwischen 100.000 €, 500.000 € bis zu 20 Mio. €.
Die maximale Höhe des Bußgeldrahmens für besonders wichtige und wichtige Einrichtungen wird über Konzernregelungen bestimmt. Demnach beträgt der vorgeschlagene Bußgeldrahmen für wichtige Einrichtungen bis zu 7 Mio. e, bei besonders wichtigen Einrichtungen bis zu 10 oder einem Höchstbetrag von mindestens 1,4 % beziehungsweise für besonders wichtige Einrichtungen von mindestens 2 % des gesamten weltweiten im vorangegangenen Geschäftsjahr getätigten Umsatzes des Unternehmens.
Fazit und Ausblick
Cybersecurity ist Chefsache: Wenn mit dem NIS2UmsuCG eines klar ist, dann das. Eine derartige Entwicklung zeichnete sich jedoch schon im Dezember 2022 mit NIS-2 selbst ab und ist deshalb nicht überraschend.
Wenngleich sich bei den konkreten Vorgaben für die TOM erst einmal nicht viel zu ändern scheint, so wird allein der erheblich ausgedehnte Anwendungsbereich der kommenden Regelungen zu deutlichen Herausforderungen in der praktischen Umsetzung eines NIS2UmsuCG führen, da nunmehr zahlreiche Unternehmen in den Cybersecurity-Regulierungshorizont rücken, denen Cybersecurity-Compliance bislang weit entfernt schien.
Hinzu kommen die neuen und schon jetzt erheblich umstrittenen Anforderungen und haftungsbezogenen Reglungen der Geschäftsleitung zur Cybersecurity-Compliance, die das unlimitierte Delegieren von Verantwortung in diesem Bereich nicht mehr ermöglichen.
Sicherlich werden es nicht alle der vorgeschlagenen Regelungen für das neue NIS2UmsuCG in die finale Fassung des Gesetzes schaffen – allein der europäische NIS-2-Umsetzungsrahmen dürfte jedoch bereits ausreichend sein, um die nationale Cybersicherheit als eine der primären Aufgaben des Wirtschaftsschutzes deutlich und flächendeckend zu stärken.
Prof. Dr. iur. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Mitglied im Advisory-Board von Nord VPN. Weitere Informationen finden Sie auf seiner Webseite: https://denniskenjikipker.de/.