Knapp 30.000 Unternehmen zusätzlich betroffen
Inoffizieller Entwurf zum IT-Sicherheitsgesetz 3.0 bekannt geworden
Dem VKU ist eine inoffizielle Version des IT-Sicherheitsgesetz 3.0 bekannt geworden. Auf Grund des veränderten Anwendungsbereichs werden zukünftig schätzungsweise 30.000 Unternehmen zusätzlich unter die Regelungen fallen.
17.05.23
Dem VKU ist eine inoffizielle Version des IT-Sicherheitsgesetz 3.0 bekannt geworden. Auf Grund des veränderten Anwendungsbereichs werden zukünftig schätzungsweise 30.000 Unternehmen zusätzlich unter die Regelungen fallen.
Die NIS 2-Richtlinie zur Erhöhung der Cybersicherheit (Richtlinie (EU) 2022/2555) muss bis zum 17.10.2024 in deutsches Recht umgesetzt werden (näheres hierzu ist in diesem VKU-Nachrichtenartikel beschrieben). Die Umsetzung wird zu maßgeblichen Anpassungen der deutschen Gesetzgebung im Bereich der Cybersicherheit führen. Nunmehr ist eine erste (inoffizielle) Fassung des Referentenentwurfs des „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) mit Stand vom 03.04.2023 bekannt geworden. Inoffiziell wird dieses Gesetz häufig „IT-Sicherheitsgesetz 3.0“ genannt.
Bei dem NIS2UmsuCG handelt es sich (wie auch bereits beim IT-Sicherheitsgesetz 2.0) um ein Artikelgesetz. D.h. die Regelungen zum IT-Sicherheitsrecht werden in verschiedenen Gesetzen geregelt, wobei das BSIG weiterhin das „allgemeine Gesetz“ im Rahmen der IT-Sicherheitsgesetzgebung ist. Das BSIG soll hierbei deutlich anwachsen von aktuell 15 Paragraphen auf zukünftig 65 Paragraphen.
Wichtige Inhaltliche Punkte:
- Es kommt zu einer neuen Ausgestaltung des Anwendungsbereichs und damit zu einer deutlichen Ausweitung des Adressatenkreises (§ 28 BSIG). Verkürzt gesprochen werden künftig alle mittleren und großen Unternehmen in den einschlägigen Sektoren Cybersicherheitspflichten unterworfen. Lediglich Kleinst- und kleine Unternehmen im Sinne der KMU-Definition wären aus dem Geltungsbereich ausgenommen (weniger als 50 Beschäftigte und nicht mehr als 10 Mio. Euro Jahresumsatz bzw. Jahresbilanz). Schätzungen gehen von mindestens 30.000 zusätzlich erfassten Unternehmen aus.
- Im Grundsatz soll zukünftig unterschieden werden zwischen Betreibern von kritischen Anlagen (= bisher kritische Infrastrukturen), besonders wichtigen Einrichtungen (= wesentliche Einrichtung nach der NIS 2-Richtlinie) und wichtigen Einrichtungen (= wichtige Einrichtungen nach der NIS 2-Richtlinie).
- Wichtige Pflichten der Adressaten sind (§§ 30 ff. BSIG): die Einführung von Risikomanagementmaßnahmen und eine regelmäßige Nachweiserbringung, Meldepflichten bei Cybersicherheitsvorfällen, Registrierungspflichten für die Betreiber beim BSI und teilweise Unterrichtungspflichten gegenüber von Cyberangriffen betroffenen eigenen Kunden.
- Innerhalb der Pflichten wird abgestuft, je nachdem ob es sich um eine kritische Anlage, eine besonders wichtige Einrichtung oder um eine wichtige Einrichtung handelt. Die Pflicht zum Einsatz von Systemen zur Angriffserkennung trifft nur die Betreiber von kritischen Anlagen.
- Die Überwachungspflichten und Haftung der Geschäftsleitung wird explizit festgeschrieben. Ein Verzicht der Regressansprüche von Unternehmen gegenüber der Geschäftsleitung ist nur in absoluten Ausnahmefällen möglich.
- Die Bußgelder können bis zu 20 Millionen Euro betragen. Teilweise wird auch bei den Bußgeldern danach abgestuft, ob es sich um Betreiber von kritischen Anlagen, besonders wichtige Einrichtungen oder wichtige Einrichtungen handelt.
Vorläufige Bewertung:
- Für die bisherigen Betreiber von kritischen Infrastrukturen dürfte sich nicht viel ändern, da sehr ähnlich Pflichten für die Betreiber von kritischen Anlangen festgelegt werden. Für die neu hinzugekommenen Adressaten ergeben sich allerdings erstmals explizite und sehr ausdifferenzierte Pflichten im Bereich der Cybersicherheit.
- Besonderheiten ergeben sich für Unternehmen im Energiesektor, denn die Sonderregelungen in § 11 EnWG sollen größtenteils gestrichen werden. Die Verpflichtungen für Betreiber und Einrichtungen im Energiesektor sollen zukünftig einheitlich im BSIG geregelt werden und die Aufsicht im Energiesektor soll durch das BSI erfolgen.
- Auswirkungen hätte dies nach der bisherigen Entwurfsfassung wohl auf die Pflicht für die Einführung von Systemen zur Angriffserkennung. Bisher mussten Betreiber von Energienetzen die Kritis-Schwellenwerte nicht erreichen, um der Pflicht zum Einsatz von Systemen zur Angriffserkennung zu unterfallen (siehe den aktuellen § 11 Abs. 1e EnWG). Auch würden sich wohl im Energiebereich Änderungen der möglichen Bußgeldhöhe ergeben. Im EnWG konnten bisher die maßgeblichen Verstöße wohl höchstens mit bis zu 100.000 Euro geahndet werden konnten. Ob dies bis zur finalen Verabschiedung des Gesetzes noch geändert wird, bleibt abzuwarten.
- Da der Entwurf aus dem April 2023 stammt und sich dieser Bereich sehr dynamisch entwickelt, ist noch mit einigen Änderungen im Laufe des Gesetzgebungsprozesses zu rechnen. Interessant wird z.B. ob die Regeln zu den kritischen Komponenten nochmals geändert werden. Im vorliegenden Entwurf besteht kaum ein Unterschied zu den bisherigen Regelungen.
Im Grundsatz soll das NIS2UMsuCG im März 2024 verkündet werden und am 1. Oktober 2024 in Kraft treten. Die Nachweispflicht zur Umsetzung der Risikomaßnahmen soll allerdings erst zwei bzw. drei Jahre später, also frühestens im Oktober 2026, greifen.