Datenschutzanwälte mit über 50 Jahren Erfahrung

Kostenlose Erstberatung
/insights

Aktualisiert Montag, Dezember 16, 2024

Aktualisiert Montag, Dezember 16, 2024

Neue Anforderungen an die Cybersicherheit in Deutschland – das NIS2-Umsetzungsgesetz

Auch wenn sich die Umsetzung des NIS2-Umsetzungsgesetzes verzögert hat bleibt nicht mehr viel Zeit für die Vorbereitung auf die neuen Cybersecurity-Vorschriften aus dem NIS2-Umsetzungsgesetz.

Boris Arendt

Salary Partner (Rechtsanwalt)

Jakob Riediger

Wissenschaftlicher Mitarbeiter

Ana Combei

Scientific Research Assistant

Aktueller Stand
Anwendungsbereich
Risikomanagementmaßnahmen
Meldepflichten
Registrierungs- und Informationspflichten
Persönliche Haftung der Geschäftsführung?
Schulungspflichten der Geschäftsführung
Sanktionen
Zeitplan
Ausblick

Erhalten Sie Unterstützung von unseren Anwälten

Datenschutz kann kompliziert sein. Unser erfahrenes Team unterstützt Sie gern.

Kostenlose Erstberatung

Die Cybersicherheitslandschaft in Deutschland steht mit dem bevorstehenden NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz vor einem bedeutenden Wandel. Dieses Gesetz, das das bestehende BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) ändert und erweitert, setzt die NIS2-Richtlinie der EU in deutsches Recht um und erweitert den Anwendungsbereich und verschärft die Anforderungen an die Cybersicherheit in verschiedenen Bereichen erheblich.

Die Umsetzung des NIS2-UmsuCG hat sich verzögert, sodass die ursprüngliche Umsetzungsfrist zum 17. Oktober 2024 versäumt wurde. Bevor das NIS2-UmsuCG Gesetz werden kann, muss das parlamentarische Gesetzgebungsverfahren abgeschlossen werden. Der Gesetzgeber hatte bereits frühzeitig Änderungswünsche zum Regierungsentwurf geäußert, der zunächst am 24. Juli 2024 beschlossen wurde. Bundesrat und Bundestag befassen sich aktuell mit dem Thema und nehmen den letzten Feinschliff vor. Der abschließende zweite Durchgang des Entwurfs im Bundesrat ist im Februar 2025 geplant. Mit dem Inkrafttreten des Gesetzes kann somit frühestens im März 2025 gerechnet werden.


Aktueller Stand

Der jüngste Regierungsentwurf des BSI-Gesetzes (BSIG-neu) wurde zwar sprachlich und redaktionell überarbeitet, die Abschnitte zur Meldung von sicherheitsrelevanten Ereignissen und zum IT-Risikomanagement wurden jedoch nicht verändert. Inhaltlich geändert haben sich dagegen die Vorschriften für Energieanlagen, öffentliche Telekommunikationsnetze, Energieversorgungsnetze und Unternehmen, die öffentlich zugängliche Telekommunikationsdienste anbieten. In den §§ 61 und 62 BSIG-neu werden diese Unternehmen ausdrücklich von den Aufsichts- und Durchsetzungsbefugnissen des BSI ausgenommen, was zu einem eingeschränkten Anwendungsbereich über die Meldepflichten hinaus führt.

Das Telekommunikationsgesetz (TKG-neu) und das Energiewirtschaftsgesetz (EnWG-neu), die im Zusammenhang mit dem NIS2-UmsuCG geändert wurden, enthalten den größten Teil des Regelungstextes.

165 Abs. 2b-2d TKG-neu und § 5c Abs. 9-11 EnWG-neu verpflichten das Management zur Umsetzung und Überwachung der Sicherheitsanforderungen, zur Teilnahme an Schulungen und zur Haftung für schuldhaft verursachte Schäden. Diese neuen TKG und EnWG ergänzen die Pflichten und Haftungsanforderungen an die Unternehmensleitung nach dem neuen BSIG.

Auch im Regierungsentwurf wurden kleinere Änderungen vorgenommen, darunter eine Überarbeitung der Anforderungen an die Einrichtungen des Bundesamtes nach § 44 BSIG-neu und eine Klarstellung der Krankenhausausnahme nach § 108 SGB V.

Es wird jedoch keine wesentlichen Anpassungen geben, und das derzeitige Maß an Unsicherheit wird weiter bestehen bleiben. Die Tatsache, dass für Unternehmen in verschiedenen EU-Mitgliedsstaaten weiterhin unterschiedliche Regelungen gelten, wird von Wirtschaftsverbänden kritisiert, insbesondere für multinationale Konzerne, die in vielen EU-Mitgliedsstaaten Niederlassungen haben. Die Anzeige der erstmaligen Verwendung eines wesentlichen Bauteils an das Bundesministerium des Innern und für Bau ist weiterhin nach § 41 BSGI-neu erforderlich.


Anwendungsbereich

Anknüpfungsmerkmal für den Umfang erforderlicher Cybersicherheitsmaßnahmen gegenüber Unternehmen ist die Kritikalität einer jeweiligen Einrichtung. Damit verfolgt das NIS2-UmsG einen risikobasierten Ansatz.

Der Anwendungsbereich des Gesetzes ergibt sich im Wesentlichen aus § 28 NIS2-UmsuCG, der zwischen „wichtigen“, „besonders wichtigen“ Einrichtungen und „Betreibern kritischer Anlagen“ differenziert. Daraus ergibt sich folgende Differenzierung:

KategorieErklärungErgänzendes
besonders wichtige EinrichtungenEinrichtungen, die Sektoren aus Anlage 1 mit mehr als 250 Mitarbeitern oder über 50 Mio. € Umsatz unterfallen und eine Bilanz über 43 Mio. € verzeichnen. Zudem Sonderfälle wie qualifizierte Vertrauensanbieter; Top Level Domain Name Registries oder DNS-Diensteanbieter.
wichtige EinrichtungenEinrichtungen, die Sektoren aus Anlage 1 und 2 mit entweder mehr als 50 Mitarbeitern oder über 10 Mio. € Umsatz und Bilanz unterfallen. Zudem bestimmte Vertrauensdiensteanbieter.
kritische AnlagenAnlage der Sektoren: Energie, Transport/Verkehr, Finanzen/Versicherung, Gesundheit, Trinkwasser/Abwasser, Ernährung, IT und TK, Weltraum oder Entsorgung.Im Einzelnen Bestimmung qua Rechtsverordnung, § 57 Abs. 4 NIS2-UmsucG.

Anlage 1 (Sektoren besonders wichtiger und wichtiger Einrichtungen) und Anlage 2 (Sektoren wichtiger Einrichtungen) finden sich im Entwurf, Seite 72 ff..

Zusammenfassend wird deutlich, dass es verglichen zu den bisherigen KRITIS-Klassifikationen zu einer Absenkung der Schwellenwerte kommt, wodurch der Anwendungsbereich des NIS2-UmsuCG erweitert wird.

Besonderheiten gelten für bestimmte Finanz- und Versicherungsunternehmen. Während sie ausweislich §§ 28 Abs. 1, 2 NIS2-UmsuCG vom Anwendungsbereich wichtiger- und besonders wichtiger Einrichtungen ausgenommen werden, sind sie von den Sektoren kritischer Anlagen nach § 28 Abs. 5 NIS2-UmsuCG ausdrücklich umfasst. Hinsichtlich Unternehmen aus dem Finanzsektor gilt es dahingehend auf die speziellen Anforderungen aus dem Digital Operational Resilience Act (DORA) hinzuweisen.


Risikomanagementmaßnahmen

§ 30 NIS2-UmsuCG manifestiert Risikomanagementmaßnahmen wichtiger und besonders wichtiger Einrichtungen. Ausweislich § 30 Abs. 1 NIS2-UmsuCG sind diese verpflichtet „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu ergreifen, um Störungen (…) zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.“

Im Rahmen der Verhältnismäßigkeit der Maßnahmen sind unter anderem das Ausmaß der Risikoexposition, Umsetzungskosten und die Größe der Einrichtung zu berücksichtigen. Implementierte Maßnahmen sollen den Stand der Technik einhalten und auf einem gefahrenübergreifenden Ansatz beruhen.

§ 30 Abs. 2 NIS2-UmsuCG stellt einen Katalog von Maßnahmen dar, die einen Mindestumfang skizzieren sollen. Dieser umfasst:

  • Risikoanalyse und Sicherheit für Informationssysteme
  • Bewältigung von Sicherheitsvorfällen
  • Aufrechterhaltung und Wiederherstellung, Backup-Management, Krisen-Management
  • Sicherheit der Lieferkette, Sicherheit zwischen Einrichtungen, Dienstleister-Sicherheit
  • Sicherheit in der Entwicklung, Beschaffung und Wartung, Management von Schwachstellen
  • Bewertung der Effektivität von Cybersicherheit und Risiko-Management
  • Schulungen Cybersicherheit und Cyberhygiene
  • Kryptografie und Verschlüsselung
  • Personalsicherheit, Zugriffskontrolle und Management von Anlagen
  • Multi-Faktor Authentisierung und kontinuierliche Authentisierung
  • Sichere Kommunikation und ggf. Notfallkommunikation

Bei der Umsetzung der Maßnahmen haben regulierte Akteure einen in § 30 Abs. 4 NIS2-UmsuCG verankerten Vorrang unionaler Anforderungen zu berücksichtigen. Demnach kann die Europäische Kommission in einem Durchführungsrechtsakt technische und methodische Anforderungen festlegen, die den in § 30 Abs. 2 NIS2-UmsuCG vorgehen. Außerdem gilt für in § 30 Abs. 3 NIS2-UmsuCG genannte Einrichtungsarten, zu denen die Betreiber von unter anderem Rechenzentren, Managed Services, Online-Marktplätze, Suchmaschinen, soziale Netzwerke und Vertrauensdienste zählen, ebenfalls ein spezifischer von der Europäischen Kommission erlassener Katalog vorrangig.

§ 31 NIS2-UmsuCG adressiert schließlich besondere Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen. Anknüpfend an den risikobasierten Ansatz übersteigen diese die Anforderungen aus § 30 NIS2-UmsuCG. Folgerichtig stellt § 31 Abs. 1 NIS2-UmsuCG klar, dass auch aufwändigere Maßnahmen als verhältnismäßig gelten können.

Darüber hinaus verpflichtet § 31 Abs. 2 NIS2-UmsuCG die Betreiber kritischer Anlage zum Einsatz von Systemen zur Angriffserkennung. Diese sollen fortwährende Bedrohungen identifizieren, vermeiden und für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorsehen.

Eine Konkretisierung der Maßnahmen ist noch nicht ersichtlich. Ableitungen aus den existierenden Cybersicherheits-Standards wie ISO 27001 oder C5 sind bis dato ebenso nicht verfügbar. Eine 1-1 Übertragung bestehender ISMS-Zertifizierungen scheint dabei nicht möglich, indem die neuen Anforderungen an die Cybersicherheit teils umfassender ausgestaltet sind.


Meldepflichten

§ 32 NIS2-UmsuCG regelt Meldepflichten im Falle von Sicherheitsvorfällen gegenüber den Aufsichtsbehörden. Nach § 32 Abs. 1 NIS2-UmsuCG bestehen verschiedene Meldefristen für „erhebliche“ Sicherheitsvorfälle:

KategorieErläuterung
frühe Erstmeldung (Nr. 1)Innerhalb von 24 Stunden nach Kenntniserlangung ist eine „frühe Erstmeldung“ vorzunehmen. Diese beinhaltet den Verdacht, ob der Vorfall auf eine rechtswidrige oder böswillige Handlung zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte.
Bestätigung/Aktualisierung (Nr. 2)Innerhalb von 72 Stunden nach Kenntniserlangung ist eine Bestätigung bzw. Aktualisierung der Erstmeldung vorzunehmen. Dabei ist eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungs-Indikatoren anzugeben.
Zwischenmeldung (Nr. 3)Auf Ersuchen des Bundesamts für Sicherheit in der Informationstechnik („BSI“) sind Zwischenmeldungen vorzunehmen.
Abschlussmeldung (Nr. 4)Innerhalb eines Monats nach Übermittlung der Meldung nach Nr. 2 ist eine Abschlussmeldung vorzunehmen, sofern der Sicherheitsvorfall nicht noch andauert.

Zusätzlich werden Betreiber kritischer Anlagen nach § 32 Abs. 3 NIS2-UmsuCG dazu verpflichtet, Angaben zur Art der betroffenen Anlage, der kritischen Dienstleistung und den Auswirkungen des Sicherheitsvorfalls auf diese Dienstleistung zu übermitteln, wenn ein erheblicher Sicherheitsvorfall Auswirkungen auf die von ihnen betriebene kritische Anlage hat oder haben könnte.

Weitere Einzelheiten des Meldeverfahrens können vom BSI festgelegt werden.


Registrierungs- und Informationspflichten

Die §§ 33, 34 NIS2-UmsuCG regeln die Registrierungspflichten für betreffende Einrichtungen. Dabei ist zu berücksichtigen, dass schon die unterlassene, unrichtige, unvollständige oder verspätete Registrierung ausweislich §§ 60 Abs. 2 Nr. 4, Abs. 5 NIS2-UmsuCG einen Bußgeldtatbestand verwirklichen kann.

Anschließend regeln die §§ 35, 36 NIS2-UmsuCG den Informationsaustausch zwischen regulierten Akteuren und dem BSI. Während § 35 NIS2-UmsuCG Unterrichtungspflichten der Akteure im Falle erheblicher Sicherheitsvorfälle verankert, manifestiert § 36 NIS2-UmsuCG Rückmeldepflichten des BSI.

Aus § 39 NIS2-UmsuCG ergeben sich anschließend Nachweispflichten für Betreiber kritischer Anlagen. Ursprünglich waren hier Prüfpflichten für besonders wichtige Einrichtungen und die Betreiber kritischer Anlagen alle 2 Jahre geplant. Diese Anforderungen wurden herabgesetzt: demzufolge unterliegen nur noch die Betreiber kritischer Anlagen Nachweispflichten und dies alle 3 Jahre. Wichtige und besonders wichtige Einrichtungen müssen jeweilige Maßnahmen zwar weiterhin umsetzen, darüber i.d.R. aber keine Nachweise erbringen.

Im Rahmen seiner Sanktionsbefugnisse nach §§ 64 und 65 NIS2-UmsuCG kann das BSI jedoch auch einzelne wichtige oder besonders wichtige Einrichtungen zu Nachweisen und Prüfungen verpflichten.


Persönliche Haftung der Geschäftsführung?

Ursprüngliches Herzstück des NIS2-UmsuCG waren die strengen Überwachungspflichten der Geschäftsleiter wichtiger und besonders wichtiger Einrichtungen und kritischer Anlagen nach § 38 NIS2-UmsuCG. Demnach hatten Geschäftsleiter die Aufgaben zur Gewährleistung der Cybersicherheit aus dem NIS2-UmsG persönlich wahrzunehmen. Im Falle eines Verstoßes wurde eine persönliche Haftung beschlossen, um damit eine tatsächliche Umsetzung der neuen Anforderungen zu gewährleisten.

Diese strengen Anforderungen wurden gelockert, so dass die Delegation von Verwaltungsaufgaben an Dritte möglich ist. Diese Änderung ermöglicht die Beauftragung externer Stellen mit der Wahrnehmung bestimmter Aufgaben im Bereich der Cybersicherheit. Außerdem wurde § 38 Abs. 2 NIS2-UmsuCG, der die persönliche Haftung vorsah, gestrichen. Zwar bleibt eine etwaige Binnenhaftung, beispielsweise aus § 93 AktG, davon unberührt, gleichwohl haben die Überwachungspflichten dadurch an Schlagkraft verloren.

§ 38 NIS2-UmsuCG beschränkt sich in seiner aktuellen Fassung in der Folge auf geminderte Billigungs-, Überwachungs- und Schulungspflichten der Geschäftsleiter. Diese Änderungen wurden in dem vom BMI am 24. Juli 2024 veröffentlichten Entwurf bestätigt.

Frühere Bestimmungen: Wie in § 38 des ursprünglichen NIS2-UmsuCG festgelegt, war das Management direkt für die Gewährleistung der Cybersicherheit in wichtigen und besonders wichtigen Einrichtungen und wesentlichen Anlagen verantwortlich. Die persönliche Haftung für die Nichteinhaltung von Cybersicherheitsanforderungen war darin enthalten.

Änderungen im Entwurf ab dem 24. Juli 2024:

  • Delegation von Aufgaben: Der überarbeitete Entwurf behält die Möglichkeit bei, bestimmte, mit der Cybersicherheit zusammenhängende Managementaufgaben an externe Parteien zu übertragen. Dank dieser Flexibilität können Unternehmen bestimmte Unternehmen oder Personen für die Einhaltung der Vorschriften benennen.
  • Persönliche Haftung: Der jüngste Entwurf streicht § 38 Abs. 2 NIS2-UmsuCG, der früher die persönliche Haftung der Führungskräfte beschrieb. Dadurch werden Führungskräfte nicht mehr direkt für Verstöße gegen die Cybersicherheit zur Verantwortung gezogen, auch wenn sie weiterhin die Cybersicherheitsverfahren überwachen müssen.
  • Interne Haftung: Andere Arten der Innenhaftung, wie z.B. die Pflichten von Geschäftsführern nach § 93 des Aktiengesetzes (AktG), bleiben unberührt, obwohl die persönliche Haftung nach § 38 Abs. 2 NIS2-UmsuCG abgeschafft wurde.

Durch die Streichung von § 38 Abs. 2 NIS2-UmsuCG aus dem Entwurf wird die direkte persönliche Schuld der Führungskräfte im Rahmen des NIS2-UmsuCG verringert, und der Schwerpunkt wird nun auf die umfassenderen Compliance-Pflichten und nicht auf die individuelle Verantwortlichkeit gelegt.

Obwohl es eine organisierte Methode für den Umgang mit komplizierten Cybersicherheitsanforderungen bietet, entbindet die Zuweisung von Cybersicherheitsaktivitäten an externe Parteien die Führungskräfte nicht von ihrer Führungsverantwortung.

Der neue Entwurf reduziert zwar den Umfang der persönlichen Haftung von Managern, enthebt sie aber nicht der übergreifenden Verantwortung für die Einhaltung von Cybersicherheitsmaßnahmen. Die Führungskräfte spielen nach wie vor eine wichtige Rolle bei der Überwachung dieser Maßnahmen, auch wenn die spezifische Bestimmung zur persönlichen Haftung weggefallen ist.


Schulungspflichten der Geschäftsführung

Trotz Absenkung der Verantwortlichkeit, verankert § 38 Abs. 3 NIS2-UmsuCG nach wie vor Schulungspflichten der Geschäftsleiter. Demzufolge haben sie regelmäßig an Schulungen teilzunehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Risikomanagementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.

In welchem Umfang diese Schulungspflichten erforderlich werden, wird sich anhand des Einzelfalls danach bestimmen, inwieweit Kenntnisse und Fähigkeiten als „ausreichend“ anzusehen sind.


Sanktionen

In den §§ 60 ff. NIS2-UmsuCG werden Regelungen zu Sanktionsvorschriften und der Aufsicht durch das BSI getroffen. Dabei definieren die § 60 Abs. 1 – Abs. 4 NIS2-UmsuCG zunächst die einzelnen Tatbestände einer Ordnungswidrigkeit.

Anschließend wird in den §§ 60 Abs. 5 ff. NIS2-UmsuCG die Höhe eines jeweiligen Bußgeldes bestimmt. Diese können sich auf bis zu 10 Millionen Euro oder einen Höchstbetrag von mindestens 2 % des gesamten weltweiten Umsatzes eines Unternehmens im vorangegangenen Geschäftsjahr belaufen. Damit knüpft das Sanktionsregime an das Gebot der Sicherstellung verhältnismäßiger und gleichsam effektiver Geldbußen an, wie es u.a. bereits im Rahmen der DSGVO Anwendung findet.


Zeitplan

MeilensteinDatumDetails
Veröffentlichung des EntwurfsMärz 2024Der Entwurf des NIS2-Umsetzungsgesetzes wurde zur öffentlichen Stellungnahme veröffentlicht.
Frist für Stellungnahme28. Mai 2024Frist für die Bundesländer und Interessengruppen zur Abgabe von Kommentaren zum Entwurf.
Anhörung von InteressenvertreternJuni 2024Anhörung von Bundesländern und Verbänden zum Gesetzesentwurf.
Kabinettsbeschluss über Regierungsentwurf24. Juli 2024Das Bundeskabinett hat den vom BMI vorgelegten Entwurf beschlossen.
Überprüfung und Änderungen des EntwurfsAugust 2024 - Februar 2025Anpassung des Gesetzentwurfs unter Beteiligung von Bundesrat und Bundestag.
InkrafttretenMärz 2025Das Gesetz tritt in Kraft. Alle Einrichtungen müssen sich ab diesem Zeitpunkt daran halten.
Erste Konformitätsprüfungen2. bis 3. Quartal 2025Das BSI beginnt mit Audits, um die Einhaltung der neuen Vorschriften zu gewährleisten.

Ausblick

Die NIS2-Richtlinie, die durch das NIS2-UmsuCG umgesetzt wird, verbessert das deutsche Cybersicherheitssystem erheblich. Unternehmen sollten bereits jetzt die Auswirkungen des NIS2-UmsuCG prüfen, da es nach der Verabschiedung keine Übergangsfrist gibt. Um Unternehmen bei der Feststellung zu unterstützen, ob sie von NIS2 betroffen sind, bietet das BSI ein Tool und FAQ an.

Insbesondere für Unternehmen, die ein breites Spektrum an Tätigkeiten ausüben, ist eine gründliche Bewertung des Umfangs ihrer Geschäftstätigkeit erforderlich. Auch wichtige Kennzahlen wie Personalbestand, Umsatz und Bilanzsummen müssen sorgfältig berechnet werden. Unternehmen sollten eine Bestandsaufnahme ihrer aktuellen Netzwerk- und IT-Infrastruktur, einschließlich der Sicherheitsinfrastruktur, durchführen und diese nach Abschluss der Folgenabschätzung mit den NIS2-UmsuCG-Standards vergleichen. Werden Lücken festgestellt, so müssen diese aufgrund der fehlenden Übergangsfrist umgehend geschlossen werden.

Rechtsberatung

Simpliant Legal - Wittig, Bressner, Groß Rechtsanwälte Partnerschaftsgesellschaft mbB

Unternehmensberatung

Simpliant GmbH

Software

Simpliant Technologies GmbH

Datenschutz

Wir begleiten Sie bei der Umsetzung aller datenschutzrechtlichen Anforderungen der DSGVO.

Informationssicherheit

Wir unterstützen Sie beim Aufbau eines ganzheitlichen ISMS wie der ISO 27001.

Künstliche Intelligenz

Wir beraten Sie bei der Integration von KI und entwickeln rechtskonforme Nutzungskonzepte.