Cyber­si­cher­heit:
Gesetz zur Umset­zung der NIS-2-Richtlinie

Das Bun­des­ka­bi­nett hat am 24. Juli 2024 den Gesetz­ent­wurf des Bun­des­mi­nis­te­ri­ums des Innern und für Hei­mat zur Umset­zung der NIS-2-Richt­li­nie der Euro­päi­schen Uni­on in natio­na­les Recht und Stär­kung der Cyber­si­cher­heit beschlos­sen. Der Regie­rungs­ent­wurf wur­de am 11. Okto­ber 2024 vom Bun­des­tag in die Fach­aus­schüs­se über­wie­sen. Nun wird der Ent­wurf das wei­te­re par­la­men­ta­ri­sche Gesetz­ge­bungs­ver­fah­ren durch­lau­fen und soll bis März 2025 in Kraft tre­ten. Es emp­fiehlt sich, den Aspekt der Cyber­si­cher­heit des­we­gen bereits jetzt mit Hoch­druck in den Blick zu neh­men, um Ver­zö­ge­run­gen bei der Umset­zung der zukünf­ti­gen gesetz­li­chen Anfor­de­run­gen für betrof­fe­ne Unter­neh­men zu vermeiden.


Hin­ter­grund

Die mit dem geplan­ten Gesetz ein­her­ge­hen­de Neu­fas­sung des Geset­zes über das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik und über die Sicher­heit in der Infor­ma­ti­ons­tech­nik von Ein­rich­tun­gen (BSI-Gesetz) sieht unter ande­rem vor, dass betrof­fe­ne Unter­neh­men Risi­ko­ma­nage­ment­maß­nah­men im Bereich Cyber­si­cher­heit eta­blie­ren müs­sen. Die­se beinhal­ten bei­spiels­wei­se die Ent­wick­lung von Kon­zep­ten zur Bewer­tung von infor­ma­ti­ons­tech­ni­schen Sicher­heits­ri­si­ken, die Imple­men­tie­rung von Sicher­heits­kon­zep­ten sowie die Ein­rich­tung von Aus­wer­tungs­ver­fah­ren zur Über­prü­fung der Wirk­sam­keit der Maßnahmen. 

Dar­über hin­aus ist eine Regis­trie­rungs­pflicht für die betrof­fe­nen Unter­neh­men beim Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik vor­ge­se­hen und die Unter­neh­men haben Mel­de­pflich­ten bei Sicher­heits­vor­fäl­len ein­zu­hal­ten. Die­se Unter­neh­men sind nicht nur dann von den Anfor­de­run­gen des BSI-Geset­zes betrof­fen, wenn sie direkt dem gesetz­li­chen Anwen­dungs­be­reich unter­lie­gen, son­dern auch bei indi­rek­ter Aus­wir­kung über die Lieferkette! 

Wenn Sie bzw. Ihr Unter­neh­men eine der fol­gen­den Fra­gen mit ja“ beant­wor­ten kön­nen, sind Sie direkt vom Anwen­dungs­be­reich des BSI-Geset­zes erfasst:

  • Sind Sie Betrei­ber von kri­ti­schen Anla­gen, die der Ver­sor­gung der All­ge­mein­heit dienen?
  • Sind Sie Ver­trau­ens­diens­te­an­bie­ter, qua­li­fi­zier­ter Ver­trau­ens­diens­te­an­bie­ter, Top Level Domain Name Regis­try oder DNS-Diensteanbieter?
  • Sind Sie Anbie­ter öffent­lich zugäng­li­cher Tele­kom­mu­ni­ka­ti­ons­diens­te oder Betrei­ber öffent­li­cher Kommunikationsnetze?
  • Sind Sie ein Unternehmen
    • mit min­des­tens 50 Mit­ar­bei­ten­den oder
    • einem Jah­res­um­satz und einer Jah­res­bi­lanz­sum­me von jeweils über 10 Mil­lio­nen Euro, das ent­gelt­lich Waren oder Dienst­leis­tun­gen anbie­tet, aus einem der nach­fol­gen­den Sek­to­ren:
      Ener­gie, Trans­port und Ver­kehr, Finanz­we­sen, Gesund­heit, Was­ser, digi­ta­le Infra­struk­tur, Welt­raum, Abfall­be­wirt­schaf­tung, Pro­duk­ti­on, Her­stel­lung und Han­del mit che­mi­schen Stof­fen, Pro­duk­ti­on, Ver­ar­bei­tung und Ver­trieb von Lebens­mit­teln, ver­ar­bei­ten­des Gewerbe/​Herstellung von Waren, Anbie­ter digi­ta­ler Diens­te oder Forschung?

Aber auch Unter­neh­men, die nicht unmit­tel­bar in den Anwen­dungs­be­reich des BSI-Geset­zes fal­len, wer­den von den Rege­lun­gen betrof­fen sein. Denn die nach dem BSI-Gesetz direkt ver­pflich­te­ten Unter­neh­men haben auch Maß­nah­men zu tref­fen, um die Cyber­si­cher­heit inner­halb ihrer Lie­fer­ket­ten sicher­zu­stel­len. Die neu­en Com­pli­ance-Ver­pflich­tun­gen wer­den die ver­pflich­te­ten Unter­neh­men somit inner­halb der Lie­fer­ket­te wei­ter­ge­ben. Wenn Ihr Unter­neh­men also inner­halb der Lie­fer­ket­te eines nach den oben genann­ten Kri­te­ri­en ver­pflich­te­ten Unter­neh­mens tätig ist, über­prü­fen Sie bit­te eben­falls Ihre Risikomanagementmaßnahmen.


Pra­xis­hin­weis

Die Behör­den tei­len Ihnen nicht mit, ob Ihr Unter­neh­men Pflich­ten nach dem BSI-Gesetz tref­fen. Ihr Unter­neh­men muss sich selbst anhand der im Gesetz vor­ge­se­he­nen Kri­te­ri­en beur­tei­len oder sich dies­be­züg­lich bera­ten las­sen. Bei Ver­stö­ßen gegen die Pflich­ten sieht das BSI-Gesetz Buß­gel­der in Höhe von bis zu zehn Mil­lio­nen Euro oder zwei Pro­zent des Jah­res­um­sat­zes vor.

Gern prü­fen wir gemein­sam mit Ihnen im Rah­men einer NIS-2-Betrof­fen­heits­prü­fung Ihren Hand­lungs­be­darf und die wei­te­ren not­wen­di­gen Schrit­te zur Erfül­lung Ihrer Pflich­ten nach dem BSI-Gesetz. Dabei bera­ten wir Sie bei Bedarf auch zur Ent­wick­lung von IT-Sicher­heits­kon­zep­ten für Ihr Unternehmen.

Ansprechpartner


Gerald Suffel

Senior IT- and Business Auditor

Telefon: +49 40 4223 6660-57

Marie Peters

Rechtsanwältin

Telefon: +49 40 4223 6660-50

Alexander Hausner, LL. M.

Rechtsanwalt,
Fachanwalt für Arbeitsrecht,
zert. Datenschutzbeauftragter

Telefon: +49 40 4223 6660-44

Wir verwenden die nachfolgend aufgeführten Cookies, um die Zugriffe auf unsere Website zu analysieren und um die Nutzerfreundlichkeit zu erhöhen. Dadurch erhobene Daten geben wir an unsere Partner für Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Die jeweilige Einwilligung für die Nutzung der Cookies ist freiwillig, für die Nutzung dieser Website nicht notwendig und kann jederzeit widerrufen werden. Weitere Informationen finden Sie in unseren Datenschutzhinweisen.