Quelle: Fotolia / Tom-Hanisch
POLITIK:
Bund legt NIS-2-Umsetzungsgesetz vor
Das Bundesinnenministerium hat einen Entwurf zur Umsetzung der NIS-2-Richtlinie der EU vorgelegt, um Wirtschaft und Verwaltung besser gegen Cyberangriffe zu schützen.
Das Bundesministerium des Innern und für Heimat (BMI) will mit dem neuen Gesetzesentwurf die europäische NIS-2-Richtlinie
in deutsches Recht überführen. Ziel sei es, Cybersicherheitsvorgaben für Wirtschaft und öffentliche Verwaltung verbindlicher
zu gestalten und die Resilienz gegenüber digitalen Angriffen zu stärken. Das sogenannte NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
erweitert unter anderem den bisherigen Anwendungsbereich des IT-Sicherheitsgesetzes und legt neue Anforderungen an das Informationssicherheitsmanagement
in der Bundesverwaltung fest.
Der Entwurf ist eine Reaktion auf die gewachsene Bedrohungslage durch geopolitische Entwicklungen wie den russischen Angriffskrieg gegen die Ukraine und die Folgen des Hamas-Terrorangriffs auf Israel. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben Phänomene wie Ransomware und Cyberangriffe über die Lieferkette deutlich zugenommen. Diese Gefahren seien heute Teil des wirtschaftlichen Alltags, so das BMI. Die Richtlinie (EU) 2022/2555 soll innerhalb der EU ein hohes gemeinsames Niveau an Cybersicherheit schaffen.
Mit dem Gesetz soll unter anderem ein dreistufiges Meldeverfahren für Sicherheitsvorfälle eingeführt werden, das die bisherige einstufige Regelung ersetzt. Zudem wird das BSI mit neuen Aufsichtsbefugnissen ausgestattet. Unternehmen, die bislang nicht unter die Regelungen für Kritische Infrastrukturen fielen, werden künftig ebenfalls erfasst. Die Kategorien „wichtige“ und „besonders wichtige Einrichtungen“ bilden dabei die neue Basis für Pflichten und Aufsicht.
Die Energiewirtschaft ist vor allem von Änderungen im Energiewirtschaftsgesetz, im Energiesicherungsgesetz und im Wärmeplanungsgesetz betroffen. Insbesondere gilt: „Der Betreiber eines Energieversorgungsnetzes hat einen angemessenen
Schutz gegen Bedrohungen für Telekommunikationssysteme sowie elektronische Datenverarbeitungssysteme, die für den sicheren Netzbetrieb notwendig sind, zu gewährleisten.“ Dies betrifft auch die Beschaffung von Anlagengütern und Dienstleistungen.
Der Bundesverband der Energie- und Wasserwirtschaft (BDEW) kritisiert den Entwurf in einer Stellungnahme: „Das berechtigte politische Interesse, den Einsatz von IT-Komponenten jener Hersteller untersagen zu können, die aus geopolitischer Sicht keine verlässlichen oder vertrauenswürdigen Partner sind, darf aber nicht zu einem erheblichen rechtlichen und wirtschaftlichen Risiko für die
Betreiber Kritischer Infrastrukturen werden.“
BDEW befürchtet nachträgliche Ausbauverpflichtungen
Durch den Duldungscharakter des Prüfverfahrens gemäß § 41 BSIG entstünden laut BDEW betriebliche Risiken im Rahmen der Betriebsführung und möglicher nachträglicher Ausbauverpflichtungen. „Dies kann zu längerfristigen Ausfällen von für den Betrieb essenziellen Komponenten im Leitsystem oder im Umfeld der Fernwartung führen“, fürchtet der Verband.
Der BDEW fordert daher, das Prüfverfahren zu den kritischen Komponenten gemäß § 41 BSIG durch eine Ausschlussliste von generell nicht-vertrauenswürdigen Herstellern zu ersetzen. Zudem müssten die Normen zur Abgrenzung des BSIG zu den spezialgesetzlichen Normen des EnWG überarbeitet werden da es zu unklaren Doppelregulierungen kommt.
Die Bundesnetzagentur bestimmt im Einvernehmen mit dem BSI einen IT-Sicherheitskatalog der Anforderungen an den angemessenen Schutz auflistet. Dieser soll mit den Betreibern von Energieversorgungsnetzen und deren Branchenverbänden erarbeitet werden. Die Bundesnetzagentur überprüft den IT-Sicherheitskatalog alle zwei Jahre und aktualisiert ihn bei Bedarf. Die Einhaltung der Anforderungen des IT-Sicherheitskatalogs ist vom Betreiber zu dokumentieren.
Hohe Schäden durch Cyberattacken
Nach Berechnungen des Branchenverbands Bitkom beläuft sich der durch Cyberangriffe verursachte jährliche Schaden für deutsche Unternehmen auf rund 210 Milliarden Euro. Das Gesetz zielt darauf ab, diese Schäden zu begrenzen. Laut dem BMI könnten allein durch die Umsetzung der Richtlinie in etwa 3,6 Milliarden Euro Schaden jährlich vermieden werden – bezogen auf rund 14.500 betroffene Unternehmen.
Das BMI betont, dass die Umsetzung der Richtlinie auch dazu dient, Wettbewerbsverzerrungen im europäischen Binnenmarkt zu vermeiden. Unterschiedliche nationale Anforderungen an die Cybersicherheit würden ansonsten zu höheren Kosten und Nachteilen bei der grenzüberschreitenden Dienstleistungserbringung führen. Die Bundesregierung sieht darin einen Beitrag zur wirtschaftlichen Sicherheit in einer zunehmend digitalisierten Welt. Der Gesetzesentwurf befindet sich derzeit im Ressortabstimmungsverfahren.
Der Referentenentwurf des BMI zur NIS-2 steht als PDF zum Download bereit.
Die Stellungnahme des BDEW zum Entwurf steht als PDF zum Download bereit.
Der Entwurf ist eine Reaktion auf die gewachsene Bedrohungslage durch geopolitische Entwicklungen wie den russischen Angriffskrieg gegen die Ukraine und die Folgen des Hamas-Terrorangriffs auf Israel. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben Phänomene wie Ransomware und Cyberangriffe über die Lieferkette deutlich zugenommen. Diese Gefahren seien heute Teil des wirtschaftlichen Alltags, so das BMI. Die Richtlinie (EU) 2022/2555 soll innerhalb der EU ein hohes gemeinsames Niveau an Cybersicherheit schaffen.
Mit dem Gesetz soll unter anderem ein dreistufiges Meldeverfahren für Sicherheitsvorfälle eingeführt werden, das die bisherige einstufige Regelung ersetzt. Zudem wird das BSI mit neuen Aufsichtsbefugnissen ausgestattet. Unternehmen, die bislang nicht unter die Regelungen für Kritische Infrastrukturen fielen, werden künftig ebenfalls erfasst. Die Kategorien „wichtige“ und „besonders wichtige Einrichtungen“ bilden dabei die neue Basis für Pflichten und Aufsicht.
Die Energiewirtschaft ist vor allem von Änderungen im Energiewirtschaftsgesetz, im Energiesicherungsgesetz und im Wärmeplanungsgesetz betroffen. Insbesondere gilt: „Der Betreiber eines Energieversorgungsnetzes hat einen angemessenen
Schutz gegen Bedrohungen für Telekommunikationssysteme sowie elektronische Datenverarbeitungssysteme, die für den sicheren Netzbetrieb notwendig sind, zu gewährleisten.“ Dies betrifft auch die Beschaffung von Anlagengütern und Dienstleistungen.
Der Bundesverband der Energie- und Wasserwirtschaft (BDEW) kritisiert den Entwurf in einer Stellungnahme: „Das berechtigte politische Interesse, den Einsatz von IT-Komponenten jener Hersteller untersagen zu können, die aus geopolitischer Sicht keine verlässlichen oder vertrauenswürdigen Partner sind, darf aber nicht zu einem erheblichen rechtlichen und wirtschaftlichen Risiko für die
Betreiber Kritischer Infrastrukturen werden.“
BDEW befürchtet nachträgliche Ausbauverpflichtungen
Durch den Duldungscharakter des Prüfverfahrens gemäß § 41 BSIG entstünden laut BDEW betriebliche Risiken im Rahmen der Betriebsführung und möglicher nachträglicher Ausbauverpflichtungen. „Dies kann zu längerfristigen Ausfällen von für den Betrieb essenziellen Komponenten im Leitsystem oder im Umfeld der Fernwartung führen“, fürchtet der Verband.
Der BDEW fordert daher, das Prüfverfahren zu den kritischen Komponenten gemäß § 41 BSIG durch eine Ausschlussliste von generell nicht-vertrauenswürdigen Herstellern zu ersetzen. Zudem müssten die Normen zur Abgrenzung des BSIG zu den spezialgesetzlichen Normen des EnWG überarbeitet werden da es zu unklaren Doppelregulierungen kommt.
Die Bundesnetzagentur bestimmt im Einvernehmen mit dem BSI einen IT-Sicherheitskatalog der Anforderungen an den angemessenen Schutz auflistet. Dieser soll mit den Betreibern von Energieversorgungsnetzen und deren Branchenverbänden erarbeitet werden. Die Bundesnetzagentur überprüft den IT-Sicherheitskatalog alle zwei Jahre und aktualisiert ihn bei Bedarf. Die Einhaltung der Anforderungen des IT-Sicherheitskatalogs ist vom Betreiber zu dokumentieren.
Hohe Schäden durch Cyberattacken
Nach Berechnungen des Branchenverbands Bitkom beläuft sich der durch Cyberangriffe verursachte jährliche Schaden für deutsche Unternehmen auf rund 210 Milliarden Euro. Das Gesetz zielt darauf ab, diese Schäden zu begrenzen. Laut dem BMI könnten allein durch die Umsetzung der Richtlinie in etwa 3,6 Milliarden Euro Schaden jährlich vermieden werden – bezogen auf rund 14.500 betroffene Unternehmen.
Das BMI betont, dass die Umsetzung der Richtlinie auch dazu dient, Wettbewerbsverzerrungen im europäischen Binnenmarkt zu vermeiden. Unterschiedliche nationale Anforderungen an die Cybersicherheit würden ansonsten zu höheren Kosten und Nachteilen bei der grenzüberschreitenden Dienstleistungserbringung führen. Die Bundesregierung sieht darin einen Beitrag zur wirtschaftlichen Sicherheit in einer zunehmend digitalisierten Welt. Der Gesetzesentwurf befindet sich derzeit im Ressortabstimmungsverfahren.
Der Referentenentwurf des BMI zur NIS-2 steht als PDF zum Download bereit.
Die Stellungnahme des BDEW zum Entwurf steht als PDF zum Download bereit.
© 2025 Energie & Management GmbH
Dienstag, 10.06.2025, 17:47 Uhr
Dienstag, 10.06.2025, 17:47 Uhr
teilen
teilen
teilen
teilen
Mehr zum Thema
Schneller zur Quote
