NIS2-Umsetzungsgesetz – Sind Sie als Unternehmen davon betroffen?

So oder so möchten wir Sie nicht im Regen stehen lassen. Dieser Artikel ist Teil 2 unserer neuen Reihe „Newsupdate – Gesetzliche Anforderungen zur IT-Sicherheit”. Damit möchten wir Sie immer aktuell über das Geschehen informieren. In unserem letzten Artikel haben wir Ihnen einen Überblick über die bisherig geplanten Änderungen gegeben. Der folgende Artikel soll Ihnen nun einen konkreteren Überblick darüber geben, wer nach jetzigem Stand unter das NIS2-Umsetzungsgesetz fallen wird.

Ende 2022 wurde durch das europäische Parlament und den Rat der EU die NIS2-Richtlinie verabschiedet, um ein allgemein gültiges hohes Cybersicherheitsniveau im EU-Raum zu gewährleisten. Die Länder sollen die Richtlinie bis Oktober 2024 in nationales Recht umsetzen. In Deutschland soll das NIS2-Umsetzungsgesetz nach jetzigem Stand im Frühling 2024 verabschiedet werden und im Oktober 2024 in Kraft treten.

Seit Ende September 2023 liegt als dritter Entwurf dieses Gesetzes ein vom Innenministerium veröffentlichtes „Diskussionspapier” zum Dialog mit der Wirtschaft vor. Im Oktober fand dann das sog. „Werkstattgespräch” zwischen dem Innenministerium und den Wirtschaftsverbänden zum NIS2-Umsetzungsgesetz statt. Gegenstand war das Diskussionspapier und diverse Änderungswünsche. Die Änderungen des Diskussionspapiers wurden teilweise noch einmal bestätigt.

Es wird ein weiterer Entwurf mit Änderungen folgen. Dies bedeutet auch, dass der Adressatenkreis noch immer nicht mit abschließender Sicherheit bestimmt werden kann.
 
Nun aber zunächst zu den aktuellen Adressaten des zukünftigen Gesetzes nach heutigem Stand:
 

Besonders wichtige Einrichtungen und wichtige Einrichtungen

Der Gesetzesentwurf spricht von besonders wichtigen Einrichtungen und wichtigen Einrichtungen. Die Zugehörigkeit zu den besonders wichtigen Einrichtungen (BWE) oder wichtigen Einrichtungen (WE) hängt u.a. von der Unternehmensgröße und dem Sektor ab und bestimmt den Umfang der Aufgaben, staatlicher Aufsicht und möglichen Sanktionen.

Unter BWE fallen natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die anderen natürlichen oder juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet, die, einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen ist und entweder mindesten 250 Mitarbeiter beschäftigt oder einen Jahresumsatz von 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweist.

Unabhängig von Unternehmensgröße und Sektor gehören ebenso dazu, qualifizierte Vertrauensdiensteanbieter (z.B. Aussteller von Zertifikaten für Webseiten oder Verschlüsselung), Top Level Domain Registries oder DNS-Diensteanbieter, Betreiber kritischer Anlagen (KRITIS) sowie Einrichtungen, die gem. Anlage 3 des Entwurfes dem Teilsektor Zentralregierung des Sektors öffentliche Verwaltung angehören.

So zählen nach Anlage 1 des Entwurfs z.B. zum Sektor Gesundheit folgende Einrichtungen:

• Erbringer von Gesundheitsdienstleistungen
• EU-Referenzlaboratorien im Sinne des Artikels 15 der Verordnung (EU) 2022/2371 des Europäischen Parlaments und des Rates
• Unternehmen, die Forschungs- und Entwicklungstätigkeiten in Bezug auf Arzneimittel im Sinne des § 2 AMG ausüben
• Unternehmen, die pharmazeutische Erzeugnisse im Sinne des Abschnitts C Abteilung 21 der Statistischen Systematik der Wirtschaftszweige in der Europäischen Gemeinschaft (NACE Rev. 2) herstellen
• Unternehmen, die Medizinprodukte herstellen, die während einer Notlage im Bereich der öffentlichen Gesundheit als kritisch im Sinne des Artikels 22 der Verordnung (EU) 2022/123 des Europäischen Parlaments und des Rates („Liste kritischer Medizinprodukte für Notlagen im Bereich der öffentlichen Gesundheit“) eingestuft werden

Eine WE liegt bereits bei 50 Mitarbeitern oder einem Jahresumsatz und Jahresbilanzsumme von über 10 Millionen Euro und der Zugehörigkeit zu den in Anlage 1 und 2 genannten Sektoren vor. Unabhängig von der Unternehmensgröße und Sektor sind nicht qualifizierte Vertrauensdiensteanbieter ebenfalls wichtige Einrichtungen.
 
In beiden Fällen sind Finanzunternehmen i.S.v. Art. 2 Abs. 2 europäischen Digital Operational Resilience Acts (DORA) sowie Unternehmen für welche die Anforderungen des DORA aufgrund von § 1a Absatz 2 Kreditwesengesetz oder § 293 Abs. 5 Versicherungsaufsichtsgesetz gelten, ausgenommen.
 
Die Einrichtungsarten zu den Sektoren der WE und BEW stehen noch in der Diskussion. Wir werden Sie hier auf dem Laufenden halten.
 

Folgen des Werkstattgesprächs

In den öffentlichen Folien des BMI (PowerPoint-Präsentation (intrapol.org)) zu dem bereits oben erwähnten „Werkstattgespräch” ist ersichtlich wie der Bund zu den dort gemachten Vorschlägen steht und somit, mit welchen Änderungen noch zu rechnen ist.
 
Vor allem ist bezüglich des Adressatenkreises zu beachten, dass bei der Qualifizierung als BWE aufgrund des Betriebs einer „kritischen Anlage“ wohl nach noch kommender Änderung nur der betroffene Unternehmensteil den speziellen Anforderungen an kritische Anlagen unterliegen soll. Zudem sollen zu den Bereichsausnahmen neben den Finanzunternehmen nach dem DORA auch Betreiber von öffentlichen Telekommunikationsnetzen, Energieversorgungsnetzen und Energieanlagen zählen. Es soll des Weiteren die Kritikalität als Bewertungsfaktor auch bei der Kategorisierung in BWE zusätzlich miteinbezogen werden.

Darüber hinaus sollen u.a. Prüfungen nur noch alle drei Jahre stattfinden. Der Scope bei Sicherheitsmaßnahmen nach § 30 soll generell für alle Einrichtungskategorien auf versorgungsrelevante Bereiche eingegrenzt werden.
 
Ablehnend steht der Bund dem generellen Ausschluss von kleinen und mittleren Unternehmen sowie konzerneigener IT-Dienstleister gegenüber. Ebenso gegenüber der Aufnahme von Kommunen und Ländern, die Verlängerung der Meldefristen sowie einer weiteren Beschneidung der „size-cap-rule”.
 
Es bleibt also spannend, wie es weitergeht.