Neuer NIS-2-Gesetzesentwurf auf dem Prüfstand: Was sollten Sie dazu wissen?

Vor einigen Tagen veröffentlichte die AG KRITIS den neusten Referentenentwurf zum NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) auf ihrer Website. Welche Regelungen könnten für Sie relevant werden, sollte das Gesetz in dieser Fassung verabschiedet werden? Unsere Expert*innen haben den Entwurf für Sie analysiert und die wichtigsten Aspekte zusammengefasst:

Worauf basiert der Entwurf?

Der aktuelle Entwurf orientiert sich am Regierungsentwurf vom 2. Oktober 2024. Überarbeitungen aus der Sitzung des 4. Ausschusses vom 29. November 2024 wurden nur teilweise übernommen.

Weitere zentrale Änderungen:

Allgemeine Begriffsänderungen und Anpassungen

• Die Definition „kritische Dienstleistung“ wurde gestrafft: Sozialsicherungsträger und Grundsicherung für Arbeitssuchende fallen weg, stattdessen wird allgemein auf „Finanz- und Versicherungswesen“ verwiesen.
• Es wird die neue Anlagekategorie der digitalen Energiedienste eingeführt. Diese muss, wie weite Teile der bisherigen Energiebranche auch, an die Bundesnetzagentur (BNetzA) berichten und nicht an das BSI.

Änderungen an Risikomanagementanforderungen

• Die Anforderungen an das Risikomanagement werden konkretisiert und die Begriffsdefinitionen klarer gefasst.
• Der verpflichtende Betrieb für ein System zur Angriffserkennnung (SzA) für Betreiber kritischer Anlagen wird auf die kritische Anlage und dazugehöriger Komponenten beschränkt.
• Die Passage, dass eine freiwillige Meldung nicht zu weiteren Konsequenzen führen kann, wird gestrichen.
• Die Mindestanforderungen zum Schutz der Bundesverwaltung werden künftig konkretisiert und orientieren sich am IT-Grundschutz-Kompendium des BSI.
• Wichtig: Nach Einschätzung unserer Expert*innen ist der IT-Grundschutz nur für Behörden verpflichtend. Unternehmen können es verwenden, können aber auch weiterhin andere Standards verwenden.

Nachweispflichten

• Die Pflicht für Einrichtungen der Bundesverwaltung, dem Bundesamt regelmäßig einen Nachweis über die Erfüllung der gesetzlichen Anforderungen zu erbringen, wurde von fünf auf drei Jahre verkürzt.
• Gut für KRITIS Betreiber: Auch das neue Gesetz sieht ein dreijähriges Nachweisintervall vor. Hier bleibt es also bei der Verlängerung des Intervalls von zwei auf drei Jahre. Die Nachweispflicht besteht auch weiterhin erst einmal nur für die kritische Anlage.
• Für besonders wichtige Einrichtungen kann das Bundesamt festlegen, für wen ein Nachweis im gleichen Turnus erforderlich ist.

Besondere Klarstellungen in der Gesetzesbegründung

• Cloud-Computing-Dienste (IaaS, PaaS, SaaS, NaaS) werden erfasst. Im Gegensatz dazu sollen Dienste, bei denen die verfügbaren Ressourcen vorab festgelegt werden (z.B. reines Webhosting) nicht erfasst werden.
• DNS-Dienste gelten nur dann als eigenständig, wenn sie nicht untrennbarer Teil eines Internetzugangsdienstes sind.
• Die Rolle des MSP (Managed Service Provider) wird um eine Beschreibung ergänzt, die klarstellt, dass auch Unternehmen, die ausschließlich den zentralen IT-Betrieb eines Unternehmensverbundes übernehmen, in der Regel unter den Begriff des MSP fallen und damit reguliert werden.

---

Wir halten Sie über die weitere Entwicklung und das Gesetzgebungsverfahren auf dem Laufenden. Bei Fragen oder Beratungsbedarf zur NIS-2-Richtlinie stehen unsere Expert*innen jederzeit zur Verfügung. Kontaktieren Sie uns gerne.