Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Page 1

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Kommentierung des Entwurfs vom 3. Juli 2023

18. September 2023

Executive Summary

Angesichts der signifikanten Zunahme schwerwiegender Cyberangriffe auf Unternehmen und staatliche Einrichtungen ist es absolut sinnvoll, die Cyberresilienz europaweit zu stärken. Die deutsche Industrie begrüßt daher die zügige Umsetzung der sich aus der NIS-2-Richtlinie ergebenden europarechtlichen Vorgaben in nationales Recht. Der BDI sieht jedoch weiterhin kritisch, dass die Bundesregierung ein KRITIS-Dachgesetz zur Umsetzung der Resilience of Critical Entities-Richtlinie (CER) und davon losgelöst ein NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz verfasst. Es wäre vorzugswürdig, die entsprechenden rechtlichen Vorgaben in einem Gesetz, mindestens aber in einem gemeinsamen Gesetzgebungsverfahren, zu bündeln. Nur durch eine Bündelung kann Kohärenz – sowohl hinsichtlich der Anforderungen als auch in der Umsetzung – gewährleistet werden. Cybersicherheitsanforderungen, die die Breite der deutschen Industrie erfüllen müssen, werden zum einen das Cybersicherheitsniveau der InnoNation, also des Industrie- und Innovationsstandorts Deutschland erhöhen. Andererseits werden sie nur dann dieses Ziel erreichen, wenn sie praxisnah und möglichst unbürokratisch umgesetzt werden. Hierfür ist es unabdingbar, dass

▪ Unternehmen ihren Melde- und Registrierungspflichten volldigital nachkommen können;

▪ aus den Meldungen ein tagesaktuelles Cybersicherheitslagebild erstellt wird;

▪ Kompetenzen zwischen Bundes- und Landesbehörden überlappungsfrei geregelt werden;

▪ europaweit agierende Unternehmen nur in einem Mitgliedsstaat gebündelt für die gesamte EU ihren Nachweis-, Melde- und Registrierungspflichten nachkommen müssen und

▪ die Anforderungen der NIS-2-Richtlinie zeitnah EU-weit möglichst einheitlich – insbesondere bezüglich Anwendungsbereich und umzusetzenden Maßnahmen – implementiert werden.

Positive Elemente des Referentenentwurfs

▪ Streichung Unternehmen im besonderen öffentlichen Interesse: Die deutsche Industrie begrüßt, dass die Kategorie „Unternehmen im besonderen öffentlichen Interesse“ ersatzlos gestrichen wurde und künftig neben Kritischen Anlagen nur noch wichtige sowie besonders wichtige Einrichtungen existieren. Diese Streichung des deutschen Sonderwegs nach IT-Sicherheitsgesetz 2.0 erleichtert die Umsetzbarkeit des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) erheblich.

▪ Nachweis der Umsetzung durch besonders wichtige Einrichtungen: Der BDI begrüßt, dass das BSI den besonders wichtigen Einrichtungen eine Frist von bis zur vier Jahren gewähren kann, bis sie die Erfüllung der Anforderungen nach § 30 Abs. 1 erstmals nachweisen müssen. Diese Frist erhöht signifikant die Umsetzbarkeit der gesetzlichen Anforderungen.

Steven Heckler | Stellvertretender Abteilungsleiter Digitalisierung und Innovation | s.heckler@bdi.eu | www.bdi.eu
POSITION | DIGITALPOLITIK | CYBERSICHERHEIT

Negative Elemente des Referentenentwurfs

▪ Unklarer Anwendungsbereich: Die Bundesregierung sollte analog zur NIS-2-Richtlinie in § 28 deutlich präziser die Teilsektoren benennen. Der Referentenentwurf (RefE) muss zwingenddie Teilsektoren des Sektors „verarbeitendesGewerbe“ benennen, um eine deutlichüber die NIS-2-Vorgaben hinausgehende Ausweitung des Anwendungsbereichs zu verhindern. Außerdem verzögert die nachträgliche Ausdifferenzierung in einer RVO gemäß § 53 Abs. 1 die Feststellung der Betroffenheit und somit die Rechtssicherheit für die Einrichtungen unnötig. Ferner sollte zusätzliche Klarheit geschaffen werden, wie Einrichtungen zu behandeln sind, die mit Blick auf die festgelegten Sektoren / Kategorien verschiedenartige oder gemischte Tätigkeiten erbringen. Insbesondere ist im Kontext zunehmender Vernetzungdie Herstellung von Waren von den Leistungsangeboten der „digitalen Infrastruktur“ kaum vollständig zu trennen.

▪ Fehlende Aufnahme öffentliche Verwaltung der Länder und Kommunen in den Anwendungsbereich: Das NIS2UmsuCG ordnet nach § 28 Abs 3 Nr 5 lediglich Verwaltungseinheiten der Zentralregierung der Kategorie „wichtige Einrichtungen“ zu. Hier bedarf es dringender Nachbesserungen, denn die deutsche Industrie ist auf eine stets funktionierende öffentliche Verwaltung angewiesen, die nicht durch Cybersicherheitsvorfälle über Monate lahmgelegt ist. Neben Bundesbehörden sollten auch Behörden der Länder und Kommunen – insbesondere Genehmigungs- und Überwachungsbehörden, die sensible Daten verarbeiten und für besonders wichtige und wichtige Einrichtungen essenzielle Verwaltungsleistungen erbringen – als besonders wichtige Einrichtungen definiert werden.

▪ Einsatz von Cybersicherheitszertifizierungsschemata: Da bereits in den CSA-Schemes keinerlei Details zum Anwendungsbereich der Schutzniveaus enthalten sind, sollte der Gesetzgeber § 30 Abs. 9 detaillierter fassen. Die aktuell sehr offene Bestimmung in § 30 Abs. 9 lässt befürchten, dass zukünftig nur noch jene nach Vertrauensniveau „high“ oder sogar „high+“ zertifizierten Lösungen zum Einsatz kommen dürfen. Dies würde die digitale Transformation der deutschen Industrie erschweren

▪ NIS2UmsuCG sieht keine Sicherheitsüberprüfung von in sicherheitssensiblen Bereichen tätigen Mitarbeitenden vor: Damit die weitreichenden Risikomaßnahmen nach § 30 nicht ins Leere laufen, sollten neben technischen Maßnahmen Mitarbeiterinnen und Mitarbeiter, die in sicherheitskritischen Stellen im Unternehmen beispielsweise in für die IT-Sicherheit zuständigen Abteilungen tätig sind, auf ihre Vertrauenswürdigkeit hin überprüft werden Das NIS2UmsuCG sollte besonders wichtigen Einrichtungen, wichtigen Einrichtungen und Betreibern Kritischer Anlagen diese Möglichkeit kostenfrei einräumen. Da das NIS2UmsuCG als Artikelgesetz angelegt ist, sollte es zwingend auch die Aufnahme von Sicherheitsüberprüfungen von in sicherheitssensiblen Bereichen tätigen Mitarbeitenden enthalten.

▪ Drohende Fragmentierung. Die deutsche Industrie befürwortet diemit der NIS 2 angestrebte Harmonisierung auf europäischer Ebene. Durch Fragmentierung und unterschiedliche Regelungen innerhalb und außerhalb der Union entstehen für Unternehmen erhebliche Mehraufwände und gegebenenfalls auch ungleiche Standortvoraussetzungen. Die Umsetzung der NIS 2 in nationales Recht sollte daher stets darauf abzielen, dass einzelne Maßnahmen EUweit einheitlich angewendet werden. So sollten Mitgliedsstaaten auf Anforderungen (z. B. nationale Nachweise) verzichten, die nicht EU-weit anerkannt werden. Internationale Standards sollten berücksichtigt und anerkannt werden. Dies würde die Erfüllungsaufwände für international agierende Unternehmen signifikant reduzieren, ohne die Cyberresilienz zu schwächen.

▪ Fehlende Übergangsfristen für wichtige Einrichtungen: Analog zu § 34 Abs 1 Satz 1 sollte das BSI wichtigen Einrichtungen – insbesondere mittleren Unternehmen – ebenso eine Übergangsfrist von bis zu vier Jahren für die Meldepflichten nach § 31 einräumen können

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 2
Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 3 Inhaltsverzeichnis Executive Summary.......................................................................................................................1 Positive Elemente des Referentenentwurfs 1 Negative Elemente des Referentenentwurfs 2 Bewertung im Detail.......................................................................................................................4 Artikel 1 – Änderung des BSI-Gesetzes 4 § 2 Begriffsbestimmungen 4 § 5 Allgemeine Meldestelle für die Sicherheit in der Informationstechnik 5 § 6 Informationsaustausch.........................................................................................................6 § 11 Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen 6 § 13 Warnungen 7 § 14 Untersuchung der Sicherheit in der Informationstechnik 8 § 19a Überprüfung der Vertrauenswürdigkeit von Mitarbeitenden 8 § 28 Anwendungsbereich: Betreiber Kritischer Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen...............................................................................................................9 § 30 Risikomanagementmaßnahmen 10 § 31 Meldepflichten 11 § 32 Registrierungspflicht ........................................................................................................13 § 34 Nachweispflichten für besonders wichtige Einrichtungen 14 § 36 Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen 14 § 38 Billigungs- und Überwachungspflicht für Leitungsorgane von wesentlichen Einrichtungen und wichtigen Einrichtungen; Schulungen................................................................................14 § 48 Amt des Koordinators für Informationssicherheit und § 49 Aufgaben des Koordinators 15 § 60 Sanktionsvorschriften.......................................................................................................15 Impressum....................................................................................................................................17

Bewertung im Detail

Artikel 1 – Änderung des BSI-Gesetzes

§ 2 Begriffsbestimmungen

Der BDI sieht die Notwendigkeit, dass der Gesetzgeber die Begriffe „Großunternehmen“ sowie „mittlere Unternehmen“ im Kontext existierender Firmenstrukturen klarer definiert Die gewählten Begriffe „Großunternehmen“ sowie „mittlere Unternehmen“ berücksichtigen die Rolle von Partnerunternehmen / verbundene Unternehmen nicht ausreichend. Ein Konzern besteht aus mehreren zusammengeschlossenen Unternehmen, die eine wirtschaftliche Einheit bilden. Es stellt sich die Frage, inwieweit der jeweilige Mutterkonzern als Einrichtung im Anwendungsbereich als alleiniges Rechtssubjekt im Kontext der Umsetzung der NIS-2-Richtlinie fungieren kann. Ein konkretes Beispiel wäre hierbei die Registrierungspflicht nach § 32. Den betroffenen Konzernen und Unternehmen sollte die Möglichkeit zugestanden werden, die Registrierung der verbundenen Unternehmen (soweit Einrichtungsartendefinition und Size-Cap-Rule erfüllt sind) zentralisiert umzusetzen. Dadurch werden administrative Aufwände reduziert. Hinzu kommt, dass Unternehmensfunktionen, die den Bereich IT-Sicherheit betreffen, als Querschnittsfunktionen durch bestimmte Unternehmensabteilungen erfüllt werden. Die Möglichkeit zur zentralen Registrierung durch den Konzern für alle verbundene Unternehmen, die aufgrund Größenkriterium und Sektor-Zugehörigkeit in den Anwendungsbereich fallen, würde dem gerecht werden.

Zudem wäre es empfehlenswert, wenn der Gesetzgeber im NIS2UmsuCG ausdrücklich folgendes klarstellen würde: Im Fall einer Qualifizierung eines Unternehmens als „wichtige“ oder „besonders wichtige Einrichtung“ durch Überschreitung der Schwellenwerte für mittlere oder große Unternehmen allein aufgrund der Hinzurechnung von Daten verbundener oder Partnerunternehmen sollten die gesetzlichen Pflichten (aktuell v. a. §§ 30 ff.) auch nur insoweit gelten, wie es konkret um das betroffene Unternehmen und dessen Cybersicherheit geht. Es sollte ausdrücklich festgehalten werden, dass die gesetzlichen Pflichtennichthinsichtlich solcher Teile von IT-Systemen, -Komponenten und -Prozessen greifen, die von einem verbundenen oder Partnerunternehmen bestimmt werden, aber für das betroffene Unternehmen selbst beziehungsweise dessen Zuordnung zu einem gelisteten Sektor irrelevant sind.

Die Definition von IKT-Produkt nach § 2 Abs. 1 Nr. 14 sollte zwingend sowohl Hard- als auch Software umfassen. Über den Bezug auf den Cybersecurity Act bestehen diesbezüglich Unsicherheiten, inwiefern Software ebenso mit abgedeckt ist.

Damit Unternehmen sich bei der Beauftragung von Managed Service Providern (MSP) direkt auf die Anforderungen aus dem NIS2UmsuCG beziehen können, muss in der Aufzählung der Aufgaben, die ein MSP übernimmt, neben der Installation, der Verwaltung, dem Betrieb und der Wartung von IKTProdukten, -Netzen, -Infrastruktur, -Anwendungen auch deren Implementierung genannt werden. Dies ist für einen ganzheitlichen Ansatz von zentraler Bedeutung.

Die deutsche Industrie würde die Umsetzung folgender Änderungen am vorliegenden Referentenentwurf im Rahmen der Ressortberatungen sowie in den Beratungen in Bundestag und Bundesrat begrüßen:

(1) „Managed Service Provider“ oder „MSP“ eine Einrichtung, die Dienste im Zusammenhang mit der Installation, der Implementierung, der Verwaltung, dem Betrieb oder der Wartung von IKT-Produkten, -Netzen, -Infrastruktur, -Anwendungen oder jeglicher anderer Netz- und Informationssysteme durch Unterstützung oder aktive Verwaltung in den Räumlichkeiten der Kunden oder aus der Ferne erbringt

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 4

§ 5 Allgemeine Meldestelle für die Sicherheit in der Informationstechnik

Die deutsche Industrie begrüßt, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch zukünftig die zentraleStelle in Deutschland für die Bearbeitung von Meldungenvon Unternehmen sowie im Binnenverhältnis der Behörden des Bundes ist. Wir sehen es als zwingend erforderlich an, dass aus den an das BSI durch die Wirtschaft übermittelten Informationen zu aktuellen Cybersicherheitsvorfällen ein tagesaktuelles, kostenfreies Lagebild zu digitalen und physischen Bedrohungen erstellt wird und mit den unter das NIS-2-Umsetzungsgesetz fallenden Unternehmen geteilt wird. Hierfür erachten wir das in der Nationalen Cyber-Sicherheitsstrategie der Bundesregierung angekündigte und in § 6 des NIS2UmsuCG angelegte BSI Information Sharing Portal als probaten Ansatz.

Im Kontext der Anforderungen des Online-Zugangsgesetzes (OZG) ist es zwingend erforderlich, dass das BSI einen voll digitalisierten Ende-zu-Ende Meldeweg etabliert, der eine sichere Authentifizierung der meldenden Einrichtung ermöglicht. Es ist zu prüfen, inwieferndasauf Elster- oder anderen im OZG vorgesehenen Identifizierungsmitteln basierende Unternehmenskonto hierfür als technische Grundlage fungieren kann, da dies ein Rechte- und Rollenmanagement enthalten und zukünftig als zentrale digitale Schnittstelle zwischen Unternehmen und der öffentlichen Verwaltung fungieren soll. Der bundesweiteRoll-outdes Unternehmenskontos wärehierfür eine bis spätestens März2024 umzusetzende Voraussetzung. Vom Aufbau von Parallelstrukturen sollte hingegen zwingend Abstand genommen werden.

Damit die Sicherheitsexpertinnen und -experten in den Unternehmen einen zentralen Ort für Informationenzuallen aktuellen Bedrohungenhaben, sollte das Information SharingPortalauchInformationen zu analogen Bedrohungen und Vorfällen (z. B. Sabotage, Naturkatastrophen, Bombenentschärfungen oder durch natürliche Vorfälle bedingte Ausfälle von Strom, Mobilfunk und Glasfaser) enthalten. Des Weiteren ist es für Security-Abteilungen von Unternehmen sehr wichtig, dass die über das Portal bereitgestellten Informationen auch eine hinreichende Detailtiefe aufweisen und „actionable“ sind, diese also auf Basis der Informationen konkrete Maßnahmen zur Stärkung der Resilienz ihrer Systeme ableiten können. Angesichts der Fülle an aktuellen Sicherheitsbedrohungen für Unternehmen ist eine Bündelung entsprechender Informationen von zentraler Bedeutung. Die deutsche Industrie sieht die Notwendigkeit zur Etablierung eines zentralen „Sicherheitslagebilds“. Von zentraler staatlicher Stelle sollten über ein Sicherheitslagebild all diejenigen Informationen in geeignetem Umfang bereitgestellt werden, die aufgrund der verschiedensten Berichtspflichten der Wirtschaft an den Staat gemeldet wurden. InsbesonderedieWahrscheinlichkeit, dassein gleichgearteter Angriff bei mehreren Unternehmen nacheinander erfolgreich ist, kann so erheblich verringert werden. Die Zentralisierung derartiger Information setzt zudem Ressourcen zur Bekämpfung von Risiken in den Unternehmen frei, die derzeit auch für mehrfaches, redundantes Reporting eingesetzt werden müssen. Zugleich sollte mit dem Ansteigen der Meldungen auch zusätzliche personelle Strukturen auf staatlicher Seiteaufgebaut werden, um die gesammelten Informationen zu sichten, zu filtern, zu verdichten und Warnungen aussprechen zu können.

Die deutsche Industrie würde die Umsetzung folgender Änderungen am vorliegenden Referentenentwurf im Rahmen der Ressortberatungen sowie in den Beratungen in Bundestag und Bundesrat begrüßen:

(2) Das Bundesamtnimmt zur Wahrnehmung der Aufgaben nachAbsatz 1 Informationen zuSchwachstellen, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen sowie zu Sicherheitsvorfällen, Cyberbedrohungen und Beinahevorfällen entgegen. Das Bundesamt richtet hierzu Ende-zu-Ende digitalisierte geeignete Meldemöglichkeite auf Basis des Unternehmenskontos ein. Die Meldungen können anonym erfolgen. Soweit die Meldung nicht anonym erfolgt, kann der Meldende zum Zeitpunkt der Meldung oder später verlangen, dass seine personenbezogenen Daten nur anonymisiert weitergegeben werden

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 5

dürfen. Dies gilt nicht in den Fällen des § 8 Absatz 6 und 7 Satz 1. Eine Übermittlung der personenbezogenen Daten in den Fällen von § 8 Absatz 6 und 7 Satz 1 hat zu unterbleiben, wenn für das Bundesamt erkennbar ist, dass die schutzwürdigen Interessen des Meldenden das Allgemeininteresse an der Übermittlung überwiegen. Zu berücksichtigen ist dabei auch die Art und Weise, mittels derer der Meldende die Erkenntnisse gewonnen hat. Die Entscheidung nach Satz 6 muss dem oder der behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem oder einer weiteren Bediensteten des Bundesamtes, der oder die die Befähigung zum Richteramt hat, zur vorherigen Prüfung vorgelegt werden.

(3)

1. Dritte im Rahmen eines tagesaktuellen Lageberichts oder über das BSI Information Sharing Portal bekannt gewordene Schwachstellen, Schadprogramme, erfolgte oder versuchte Angriffe auf die Sicherheit in der Informationstechnik zu informieren,soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist,

4. Betreiber Kritischer Anlagen,besonders wichtiger Einrichtungen und wichtiger Einrichtungengemäß § 38 Absatz 2 Nummer 4 Buchstabe a über die sie betreffenden Informationen im Rahmen eines tagesaktuellen Lageberichts oder über das BSI Information Sharing Portal tagesaktuell zu unterrichten.

§ 6 Informationsaustausch

Die deutsche Industrie begrüßt, dass das BSI einen Informationsaustausch zu Cybersicherheitsvorfällen, Beinahevorfällen, Schwachstellen, Techniken und Verfahren, Kompromittierungsindikatoren, gegnerische Taktiken, bedrohungsspezifische Informationen, Cybersicherheitswarnungen und Empfehlungen für die Konfiguration von Cybersicherheitsinstrumenten sowie zur Aufdeckung von Cyberangriffen etablieren wird In diesem Kontext erachten wir den Aufbau des BSI Information Sharing Portals als richtigen und zwingend notwendigen Ansatz, um für die Breite der Organisationen, die in den Anwendungsbereich des NIS2UmsuCG fallen, einen effizienten Informationsaustausch zu ermöglichen. BMI und BSI sollten rasch in einer Beta-Fassung einen ersten Entwurf des BSI Information Sharing Portals vorlegen und diesen gemeinsam mit der Wirtschaft entlang deren Bedarfe weiterentwickeln. In jedem Fall sollte das Portal zielgruppengerechte, hilfreiche Lageinformationen für Unternehmen bereitstellen.

Neben dem Informationsaustausch in digitaler Form sollte jedoch auch weiterhin der Umsetzungsplan KRITIS fortgeführt werden, um den persönlichen und vertrauensvollen Austausch zwischen den Akteuren zu ermöglichen.

Die deutsche Industrie würde die Umsetzung folgender Änderungen am vorliegenden Referentenentwurf im Rahmen der Ressortberatungen sowie in den Beratungen in Bundestag und Bundesrat begrüßen:

(3) Das Bundesamt stellt den Betreibern Kritischer Anlagen, besonders wichtigen Einrichtungen, wichtigen Einrichtungen, Einrichtungen der Bundesverwaltung sowie deren jeweiligen Lieferanten oder Dienstleistern bis spätestens [drei Monate nach Inkrafttreten] eine Beta-Version einer volldigitalen Plattform zum Informationsaustausch bereit und entwickelt diese auf Basis einer öffentlichen Konsultation weiter.

§ 11 Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme in herausgehobenen Fällen

Die deutsche Industrie begrüßt, dass das BSI in herausgehobenen Cybersicherheitsvorfällen auf Ersuchen eines Betreibers Kritischer Anlagen, einer besonders wichtigen Einrichtung oder einer

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 6

wichtigenEinrichtung beiderWiederherstellungderSicherheit oder Funktionsfähigkeit des betroffenen IT-Systems unterstützen wird Angesichts der weitreichenden Expertise des BSI sowie der zunehmenden Schwere von Cybersicherheitsvorfällen ist jede Form der verstärkten Kooperation von Staat und Wirtschaft im Bereich Cybersecurity ein begrüßenswerter Schritt.

Sofern das Bundesamt zur Behebung eines herausgehobenen Falles einer Kompromittierung der informationstechnischen Systeme einen Dritten hinzuzieht, muss zwingend das Einverständnis des Ersuchendeneingeholt werden. Dies giltumsomehr,als dassder Ersuchende die Kostenfür den Einsatz Dritter übernehmen muss.

Die deutsche Industrie würde die Umsetzung folgender Änderungen am vorliegenden Referentenentwurf im Rahmen der Ressortberatungen sowie in den Beratungen in Bundestag und Bundesrat begrüßen:

(5) Das Bundesamt kann sich bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, wenn dies zur rechtzeitigen oder vollständigen Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich ist. Die hierdurch entstehenden Kosten hat der Ersuchende zu tragen. Vor Beauftragung eines Dritten muss das Bundesamt das Einverständnis des Ersuchenden einholen. Das Bundesamt kann den Ersuchenden auch auf qualifizierte Dritte verweisen. Das Bundesamt und vom Ersuchenden oder vom Bundesamt nach Satz 1 beauftragte Dritte können einander bei Maßnahmen nach Absatz 1 mit der Einwilligung des Ersuchenden Daten übermitteln. Hierfür gilt Absatz 3 entsprechend.

§ 13 Warnungen

Um die wirksame Vermeidung von Cybergefahren sicherzustellen, ist es in bestimmten Fällen sachdienlich, dass das BSI die Öffentlichkeit sowie betroffene Kreise über Verstöße besonders wichtiger Einrichtungen oder wichtiger Einrichtungen gegen die aus dem NIS2UmsuCG resultierenden Pflichten informiert. Diese Warnungen sollten jedoch verhältnismäßig sein und nur dann und nur solange erfolgen, wie eine Warnung zur Gefahrenabwehr durch Information der Öffentlichkeit geeignet und erforderlich ist. Es ist klarzustellen, dass öffentliche Bekanntmachungen darüber hinaus nicht zum Zweck der Sanktionierung von Verstößen veröffentlicht werden dürfen und spätestens dann zurückzunehmen sind, wenn diebetreffende Einrichtungden gerügten Verstoßnachweislich korrigierthat. Ferner sollten die besonders wichtigen Einrichtungen oder wichtigen Einrichtungen stets mit angemessener Frist vorab konsultiert werden,um zu klären, warum siedie Anforderungen, die sich aus dem NIS2UmsuCG ergeben, nicht erfüllen Außerdem muss der betreffenden Einrichtung zunächst Gelegenheit gegeben werden, binnen angemessener Frist den Verstoß zu korrigieren oder angemessene Abhilfe zu schaffen.

Ferner begrüßen wir, dass § 13 Abs. 2 Nr. 2 vorsieht, dass erfolgte Warnungen sechs Monate nach der Veröffentlichung entfernt werden müssen, wenn nicht weiterhin hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik bestehen

Die deutsche Industrie würde die Umsetzung folgender Änderungen am vorliegenden Referentenentwurf im Rahmen der Ressortberatungen sowie in den Beratungen in Bundestag und Bundesrat begrüßen:

(2) Die Hersteller betroffener Produkte sowie Betreiber Kritischer Anlagen oder besonders wichtiger Einrichtung oder wichtiger Einrichtungen sind rechtzeitig vor Veröffentlichung der Warnungen zu informieren. Diese Informationspflicht besteht nicht,

1. wenn hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks gefährdet wird. oder

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 7

2. wenn berechtigterweise davon ausgegangen werden kann, dass der Hersteller an einer vorherigen Benachrichtigung kein Interesse hat

Soweit entdeckte Schwachstellen oder Schadprogramme nicht allgemein bekannt werden sollen, um eineWeiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist, kann es den Kreis der zu warnenden Personen einschränken. Kriterien für die Auswahl des zu warnenden Personenkreises nach Satz 3 sind insbesondere die besondere Gefährdung bestimmter Einrichtungen oder die besondere Zuverlässigkeit des Empfängers.

§ 14 Untersuchung der Sicherheit in der Informationstechnik

Die deutsche Industrie setzt sich seit Längerem dafür ein, dass alle Produkte mit digitalen Elementen risikoadäquate Cybersicherheitseigenschaften aufweisen. Cyberresiliente Hard- und Software sind zentrale Elemente, damit Betreiber Kritischer Anlagen, besonders wichtiger Einrichtungen und wichtiger Einrichtungen die Anforderungen aus dem NIS2UmsuCG erfüllen können. Die deutsche Industrie begrüßt daher, dass das BSI auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen kann. Durch entsprechende Maßnahmen kann das BSI bereits vor dem Inkrafttreten des Cyber Resilience Acts (CRA) Kompetenzen in der Marktaufsicht sammeln und die sich aus dem CRA ergebenden Anforderungen später besser umsetzen.

§ 19a Überprüfung der Vertrauenswürdigkeit von Mitarbeitenden

Die deutsche Industrie fordert, dass Betreiber Kritischer Anlagen, besonders wichtiger Einrichtungen und wichtiger Einrichtungen geeignete Prozesse vorsehen können, um die Vertrauenswürdigkeit der Beschäftigten zu überprüfen. Dies ist von herausgehobener Bedeutung. Neben technischen Maßnahmen ist es sinnvoll, Mitarbeiterinnen und Mitarbeitern, die in sicherheitskritischen Stellen im Unternehmen, beispielsweise in für die IT-Sicherheit zuständigen Abteilungen tätig sind, auf ihre Vertrauenswürdigkeit hin zu untersuchen. Dies würde die Bestrebungen der Unternehmen, ihre Cyberresilienz ganzheitlich zu stärken, unterstützen. Staatliche Stellen müssen diese Möglichkeit unterstützen, beispielsweise indem Anträge auf Führungszeugnisse rasch bearbeitet werden und Unternehmen eine Sicherheitsüberprüfung von entsprechenden Mitarbeiterinnen und Mitarbeiter beantragen können Hierfür müssen die notwendigen personellen Ressourcen vorgehalten werden. Eine entsprechende personelle Aufstockung der zuständigen Stellen ist unbedingt angezeigt. Um den Aufwand bei den für Sicherheitsüberprüfungen zuständigen Überwachungsbehörden zu reduzieren unddie Prozesse möglichst effizient auszugestalten, wäre eine Anerkennungsklausel für Sicherheitsüberprüfungen aus anderen Bereichen bei inhaltlich ähnlichen Abfragedaten zielführend. Darüber hinaus sind die Prozesse auch für ausländische Arbeitnehmerinnen und -arbeitnehmer praxisgerecht zu gestalten.

Die deutsche Industrie würde die Umsetzung folgender Änderungen am vorliegenden Referentenentwurf im Rahmen der Ressortberatungen sowie in den Beratungen in Bundestag und Bundesrat begrüßen:

§ 19a Überprüfung der Vertrauenswürdigkeit von Mitarbeitenden

(1) Auf Bitte einer besonders wichtigen Einrichtung, einer wichtigen Einrichtung oder eines Betreibers einer Kritischen Anlage führt das Bundesamt in Zusammenarbeit mit dem Bundeskriminalamt, dem Bundesamt für Verfassungsschutz, den Polizeibehörden sowie dem Bundesministerium für Wirtschaft und Klimaschutz eine Überprüfung nach SÜG von in besonders sicherheitskritischen Bereichen tätigen oder zukünftig tätigen Personen durch.

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 8

(2) Das Bundesamt teilt der besonders wichtigen Einrichtung, der wichtigen Einrichtung oder dem Betreiber einer Kritischen Anlage das Ergebnis der Überprüfung nach Absatz 1 binnen drei Monaten mit.

(3) Die Überprüfung nach Absatz 1 erfolgt kostenfrei.

§ 28 Anwendungsbereich: Betreiber Kritischer Anlagen, besonders wichtige Einrichtungen und wichtige Einrichtungen

Die deutsche Industrie begrüßt ausdrücklich, dass die Unternehmen im besonderen öffentlichen Interesse (UBI) als gesonderte Unternehmenskategorie gestrichen wurden und stattdessen die bisherigen UBI 1 und UBI 3 in die Kategorie „besondere Einrichtungen“ integriert wurden.

Wir fordern den Gesetzgeber jedoch auf, statt die Einrichtungsarten „kritische Anlagen“ (inkl. Schwellenwerte), „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“ erst im Rahmen der Rechtsverordnung nach § 53 Abs 1 zu benennen, diese direkt im NIS2UmsuCG zu definieren. Es ist dringend angezeigt, die in der NIS-2-Richtlinie eindeutig definierten Sektoren auch in das nationale Umsetzungsgesetz aufzunehmen. Ferner ist es unerlässlich, dass die drei Kategorien – und insbesondere die „kritischen Anlagen“ – identisch im KRITIS-Dachgesetz und im NIS2UmsuCG definiert werden. Durch den erwartbaren zeitlichen Verzug, der durch eine nachgelagerte Ausdifferenzierung des Anwendungsbereichs im Rahmen einer Rechtsverordnung erfolgt, wird es zu unnötigen Rechtsunsicherheiten für die betroffenen Unternehmen kommen. Dies ist dringend zu vermeiden. In diesem Kontext fordern wir die Bundesregierung und den Bundestag dazu auf, von über die europäischen Vorgaben hinausgehende Aufnahmen von Teilsektoren abzusehen. So ist der Sektor „verarbeitendes Gewerbe“ im aktuellen Referentenentwurf des NIS2UmsuCG signifikant weiter gefasst, als dies in der NIS-2-Richtlinie vorgesehen ist. Dies liegt primär daran, dass der Bundesgesetzgeber die Benennung von konkreten Teilsektoren unterlässt, wodurch beispielsweise auch die holzverarbeitende Industrie oder die Stahlindustrie in den Anwendungsbereich des nationalen Umsetzungsgesetzes fallen würden

wohingegen dies auf EU-Ebene nicht vorgesehen war. Ähnliches gilt auch für den Subsektor „Logistik“. So benennt die NIS-2-Richtlinie ausschließlich „Post und Kurierdienste“ als neu aufzunehmenden Sektor. Die Aufnahme aller in diesem Sektor hinaus tätigen mittleren und Großunternehmen als wichtige Einrichtungen stellt demgegenüber eine massive Ausweitung dar und ist nicht in der NIS-2-Richtlinie vorgesehen.

Unternehmen des Sektors „Informationstechnik und Telekommunikation“, die nicht vollumfänglich vom Geltungsbereich des KRITIS-Dachgesetzes erfasst sein sollen (vgl. § 10 Abs. 3,§ 11 Abs. 14und § 12 Abs. 9 KRITIS-DachG-E), benötigenaußerdem Rechtssicherheit hinsichtlich der Frage, ob für sie über das NIS2UmsCG Anforderungen an die physische Sicherheit eingeführt werden. Aus der Gesetzesbegründung zu § 28 NIS2UmsCG resultiert jedoch eine Rechtsunsicherheit, da laut den dortigen Ausführungen erst in der Rechtsverordnung zum NIS2UmsCG bestimmt werden soll, ob auch Regelungen zur physischen Sicherheit eingeführt werden.

Im Falle der Qualifizierung als „besonders wichtige Einrichtung“ ausschließlich aufgrund des Betriebs einer „kritischen Anlage“ gemäß § 28 Abs. 6 Nr. 4 BSIG-E sollte auch nur der diese „kritische Anlage“ betreffende Unternehmensteil den speziellen Anforderungen an „besonders wichtige Einrichtungen“ unterfallen. Dies unter der Voraussetzung, dass Beschaffenheit und Betrieb der informationstechnischen Systeme, Komponenten und Prozesse, die das Unternehmen für die Erbringung der Dienste der kritischen Anlage nutzt, sich nachvollziehbar innerhalb des Gesamtbetriebs abgrenzen lassen Dies ist insbesondere vor dem Hintergrund sinnvoll, wenn die von der kritischen Anlage erbrachte Dienstleistung in keinem Zusammenhang mit den im sonstigen Kerngeschäft erbrachten Dienstleistungen der betroffenen Einrichtung stehen. Eine ähnliche Ausnahme ermöglichen bereits § 2 Abs. 1 Nr. 12, 2. Hs. sowie Nr. 23, 2. Hs. BSIG-E: „[D]ie Daten von Partner- oder verbundenen Unternehmen im Sinne der [KMU-Empfehlung] sind nicht hinzurechnen, wenn das Unternehmen unter

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 9

Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme,Komponenten und Prozesse, die das Unternehmen für die Erbringung seiner Dienste nutzt, ausübt“. Ansonsten wären die betroffenen Unternehmen gezwungen, Unternehmensteile, die Betreiber der kritischen Anlage sind, unternehmensrechtlich in ein verbundenes Unternehmen auszugliedern, einzig um eine Betroffenheit des Gesamtunternehmens zu verhindern.

Das NIS2UmsuCG ordnet nach § 28 Abs 3 Nr. 5 lediglich Verwaltungseinheiten der Zentralregierung der Kategorie „wichtigeEinrichtungen“ zu. Hier bedarf esdringender Nachbesserungen, denn diedeutsche Industrie ist auf eine stets funktionierende öffentliche Verwaltung auf allen Ebenen des Föderalstaats angewiesen, die nicht durch Cybersicherheitsvorfälle über Monate lahmgelegt ist. Anhalt-Bitterfeld, Schwerin, Potsdam – zahlreiche Städte und Landkreise sind in den letzten Jahren Opfer von weitreichenden Cybersicherheitsvorfällen geworden. Bürgerinnen und Bürgern sowie Unternehmen standen infolgedessen – teils über Monate – wichtige Verwaltungsdienstleistungen nicht zur Verfügung. Die deutsche Industrie ist auf eine stets gut funktionierende öffentliche Verwaltung, beispielsweise bei Planungs- und Genehmigungsverfahren, angewiesen. Angesichts der weitreichenden Ausweitung des Anwendungsbereichs auch auf mittlere Unternehmen mit mehr als 50 Mitarbeiterinnen und Mitarbeitern, respektive einem Jahresumsatz größer zehn Millionen Euro, müssen auch Kommunen, Landkreise und Städte zur Umsetzung von risikoadäquaten Cybersicherheitsmaßnahmen verpflichtet werden. Wir fordern die Bundesregierung, den Bundestag und den Bundesrat auf, die öffentliche Verwaltung aller Ebenen des Föderalstaats in den Anwendungsbereich des NIS2UmsuCG aufzunehmen, damit alle Behörden risikoadäquate Cybersicherheitsmaßnahmen implementieren und so sensible Daten besser vor Cyberkriminellen schützen. Nur so kann die Integrität und Verfügbarkeit wichtiger Verwaltungsverfahren angesichts stetig steigender Cyberbedrohungen sichergestellt werden.

Die deutsche Industrie würde die Umsetzung folgender Änderungen am vorliegenden Referentenentwurf im Rahmen der Ressortberatungen sowie in den Beratungen in Bundestag und Bundesrat begrüßen:

Absatz 6

5. eine Einrichtung, die gemäß Rechtsverordnung nach § 53 Absatz 1 dem Teilsektor Zentralregierung dems Sektors öffentliche Verwaltung auf Bundes-, Landes- und Kommunalebene angehört,

Absatz 7

2. ein mittleres Unternehmen oder Großunternehmen, das einer der durch Rechtsverordnung nach § 57 Absatz 1 bestimmten Einrichtungsarten der Sektoren Post und Kurierdienste Logistik, Siedlungsabfall, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe gemäß 2a, Anbieter digitaler Dienste oder Forschung zuzuordnen ist

2a. Der Sektor verarbeitendes Gewerbe umfasst die Teilsektoren (a) Herstellung von Medizinprodukten und In-vitro-Diagnostika, (b) Herstellung von Datenverarbeitungsgeräten, (c) elektronischen und optischen Erzeugnissen, (d) Herstellung von elektrischen Ausrüstungen, (e) Maschinenbau, (f) Herstellung von Kraftwagen und Kraftwagenteilen sowie (g) sonstiger Fahrzeugbau.

§ 30 Risikomanagementmaßnahmen

Die Implementierung von verhältnismäßigen und wirksamen technischen sowie organisatorischen Risikomanagementmaßnahmen ist von herausgehobener Bedeutung, um die Resilienz gegenüber Cyberkriminalität zu erhöhen. Die deutsche Industrie begrüßt, dass die Bundesregierung den Grundsatz

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 10

der Verhältnismäßigkeit direkt in § 30 Abs. 1 Satz 1 aufgenommen hat. Da der Anwendungsbereich des NIS2UmsuCG sehr weit ist, wäre ein one-size-fits-all Ansatz für den risikoadäquaten Schutz nicht zielführend.

zu Absatz 2: Die entsprechenden Anforderungen sollten der NIS 2 entsprechen, wobei folgende Formulierung in Absatz 2 von der NIS 2 abweicht: „Maßnahmen nach Absatz 1 sollen den Stand der Technik einhalten […]“. Es sollte klargestellt werden, dass dies im Einklang mit der NIS 2 so zu verstehen ist, dass der Stand der Technik wie alle anderen in § 30 festgelegten Kriterien im Rahmen des Risikomanagements zu berücksichtigen sind. Der Stand der Technik gibt dabei vor, was überhaupt technisch möglich ist und somit im Rahmen des Riskmanagements erwogen werden kann. Eine Grundregel, dass allein das technisch Mögliche in aller Regel auch umzusetzen sei, wäre unverhältnismäßig. Die gewählte Formulierung sollte daher entsprechend der Formulierung in der NIS 2 angepasst werden, sodass der Stand der Technik für das Risikomanagement zu berücksichtigen ist.

zu Absatz 9: Viele Anwenderunternehmen der deutschen Industrie sehen weiterhin kritisch, dass der Gesetzgeber per Verordnung die Anwendung bestimmter Cybersicherheitszertifizierungsschemata nach EU Cybersecurity Act für besonders wichtige und wichtige Einrichtungen verpflichtend vorschreiben kann. Insbesondere da weiterhin völlig unklar ist, welche technischen Anforderungen mit den Leveln „basic“, „substantial“ und „high“ verbunden werden, bedarf es hier einer risikoadäquaten Anwendung von Abs 9 Im Rahmen eines risikobasierten Ansatzes sollten – unter Berücksichtigung des bestimmungsgemäßen Gebrauchs – insbesondere der konkrete Verwendungszweck und die Integrationstiefe des betreffenden IKT-Produkts oder -Prozesses berücksichtigt werden. Um praxisnahe Lösungen zu finden, bedarf es dringend eines strukturierten Dialogs zwischen den Bundesministerien sowie Cloud-Anbietern und den Anwenderindustrien. Der BDI bietet an, hierfür ein Format unter Einbeziehung der zuständigen Ressorts durchzuführen. Ferner ist im Rahmen der NIS-2-Umsetzung auf eine europaweit einheitliche Implementierungspraxis des EUCS – sowie zukünftiger Schemata – hinzuwirken, um den digitalen Binnenmarkt nicht zu zersplittern.

Sofern sektoraleGesetze (z. B. Medizinprodukteverordnung (MDR) / Verordnung (EU) 2017/745 sowie die Verordnung über In-vitro-Diagnostika (IVDR) / Verordnung (EU) 2017/746) Anwendung finden, die Anforderungen von Cybersecurity bereits enthalten (z. B. MDR / IVDR) und die von der Europäischen Kommission als ausreichend angesehen werden (vergleiche Erwägungsgrund 12 zu MDR / IVDR aus dem Verordnungsvorschlag zum „Cyber Resilience Act“), sollte auf eine zusätzlicheZertifizierung über Cybersicherheitszertifizierungsschemata nach EU Cybersecurity Act verzichtet werden. Auch sollten nach Abschluss des Gesetzgebungsverfahrens zum Cyber Resilience Act die ineinandergreifenden Anforderungen aus dem CRA Berücksichtigung finden.

Das NIS2UmsuCG sollte die im Erwägungsgrund 29 der NIS-2-Richtlinie genannte Möglichkeit zur Harmonisierung bestehender Cybersicherheitsverpflichtungen bei Luftverkehrseinrichtungen aufgreifen. Im Anwendungsbereich der NIS-2-Richtlinie liegende Unternehmen in der Luftverkehrswirtschaft (u. a. Luftfahrtunternehmen) müssen bereits vergleichbare Anforderungen (siehe Cybersicherheitsmaßnahmen nach der DVO (EU) 2019/1583) erfüllen, unabhängig davon, ob sie bisher in den Wirkungsbereich der geltenden BSI-Kritisverordnung fallen. Das BSI sollte prüfen können, ob diese Anforderungen und die darin enthaltenen Vorgaben gleichwertig zu denen des NIS2UmsuCG sind. Sollte dies der Fall sein, sind Doppelstrukturen und -anforderungen zu vermeiden. Eine derartige Regelung könnte vergleichbar zu jener die branchenspezifischen Sicherheitsstandards betreffend unter Absatz 12 geschaffen werden.

§ 31 Meldepflichten

Zahlreiche deutsche Industrieunternehmen haben Standorte in mehreren EU-Mitgliedsstaaten. Vielfach erfolgt die unternehmensweite Steuerung der Cybersicherheit jedoch von einem zentralen

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 11

Standort aus. Vor diesem Hintergrund ist es zwingend erforderlich, dass Unternehmen, die in mehr als einem EU-Mitgliedsstaat tätig sind, ihren Nachweis-, Registrierungs- und Meldepflichten nur in einem Mitgliedsstaat nachkommen müssen, um den Erfüllungsaufwand in einem akzeptablen Rahmen zu belassen.

Vor dem Hintergrund der parallel umzusetzenden Resilience of Critical Entities Directive und den darin enthaltenen Meldepflichten begrüßt die deutsche Industrie, dass das Meldewesen nach NIS2UmsuCG durch das BSI im Einvernehmen mit dem Bundesamt für Bevölkerungs- und Katastrophenschutz aufgebaut werden soll.

Angesichts der massiven Ausweitung der Meldepflichten pro erheblichem Sicherheitsvorfall (von einer Meldung pro Vorfall nach IT-Sicherheitsgesetz 2.0 zu bis zu fünf Meldungen nach NIS2UmsuCG) ist es zwingend erforderlich, dass das BSI gemeinsam mit der Kommission und der ENISA – sowie unter Einbeziehung des Bundesamts für Bevölkerungs- und Katastrophenschutz – zusammenarbeitet, um im Wege eines Durchführungsrechtsaktes ein effizientes, volldigitalisiertes Meldeportal zu etablieren Dies dient dazu, dass die ohnehin kurzen Meldefristen durch Mehrfachmeldungen und unterschiedliche Formerfordernisse in der Umsetzung nicht zusätzlich verkürzt werden. Pro Cybersicherheitsvorfall sollten Unternehmen ein Formular sukzessive befüllen, statt immer wieder ihre Meldungen neu beginnen zu müssen oder eine Meldung in einem mindestens europäisch standardisierten Datenformat hochladen können.

Angesichts des erheblichen Erfüllungsaufwands, der mit jeder Meldung verbunden ist, sollte das BSI in derüberwiegenden Mehrzahl der Fälle von einer Zwischenmeldung nach § 31 Abs. 1 Nr. 3 absehen. Insbesondere mittlere Unternehmen werden während der Bearbeitung eines erheblichen Sicherheitsvorfalls ihre gesamten personellen und finanziellen IT-Security-Ressourcen in die Vorfallsbearbeitung investieren müssen, sodass jede zusätzliche und nicht zwingend notwendige Meldung vermieden werden muss. Stattdessen muss das Beratungsangebot nach § 36 Abs. 1 gestärkt und alle Sicherheitsbehörden zur Einbeziehung wichtiger Einrichtungen verpflichtet werden.

Da das NIS2UmsuCG den Schutz von besonders wichtigen sowie wichtigen Einrichtungen vor Cybersicherheitsvorfällen in den Fokus nimmt, sollte § 31 durchgehend Bezug auf erhebliche Cybersicherheitsvorfälle undnicht erheblicheSicherheitsvorfällenehmen. AndernfallsmüsstenUnternehmen auch physische Angriffemelden, die die betroffenen Einrichtungenbereits im Zuge der Umsetzung des KRITIS-Dachgesetzes werden melden müssen.

Für internationale Unternehmen, deren Cybersecurity-Teams vielfach englischsprachig sind, sollte die Möglichkeitangeboten werden, dassdiese die Meldungauch inenglischer SpracheandasBundesamt absetzen können. Da viele Meldungen weitergabepflichtig sind – auch an internationale Partner –würde dies zudem die Arbeit des Bundesamts erleichtern.

Die deutsche Industrie begrüßt, dass nach § 34 Abs. 1 Satz 1 das BSI bei der Erstregistrierung von besonders wichtigen Einrichtungen diesen bis zu vier Jahren Zeit einräumen kann, bevor diese den Meldepflichten nach § 31 erstmals nachkommen müssen. Eine analoge Regelung für wichtige Einrichtungen fehlt indes im NIS2UmsuCG. Dies würde bedeuten, dass wichtige Einrichtungen höheren Anforderungen bezüglich der Meldepflichten unterliegen würden als besonders wichtige Einrichtungen. Der BDI sieht es daher als zwingend erforderlich an, dass § 31 regelt, dass das BSI analog zu § 34 Absatz 1 Satz 1 bei der Erstregistrierung von wichtigen Einrichtungen diesen ebenfalls bis zu vier Jahren Zeit einräumen kann, bevor diese den Meldepflichten nach § 31 nachkommen müssen.

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 12

Die deutsche Industrie würde die Umsetzung folgender Änderungen am vorliegenden Referentenentwurf im Rahmen der Ressortberatungen sowie in den Beratungen in Bundestag und Bundesrat begrüßen:

(1)

1. unverzüglich,spätestensjedochinnerhalbvon 24Stunden nach Kenntniserlangungvoneinem erheblichen CybersSicherheitsvorfall, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche CybersSicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte,

2. unverzüglich,spätestensjedoch innerhalbvon 72Stunden nach Kenntniserlangungvoneinem erheblichen CybersSicherheitsvorfall, eine Meldung über den CybersSicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen CybersSicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden;

(3 a) Unternehmen können die Meldungen nach Absatz 2 und 3 in deutscher oder englischer Sprache an das Bundesamt übermitteln.

(6) Wichtige Einrichtungen haben die Erfüllung der Anforderungen nach Absatz 1 bis 5 spätestens zu einem vom Bundesamt bei der Registrierung festgelegten Zeitpunkt umzusetzen. Der in Satz 1 genannte Zeitpunkt ist durch das Bundesamt auf einen Zeitpunkt spätestens vier Jahre nach Inkrafttreten dieses Gesetzes festzulegen.

§ 32 Registrierungspflicht

Die deutsche Industrie fordert die Bundesregierung auf, ein volldigitales, sicheres Registrierungswesen aufzusetzen, über das Unternehmen ihren Registrierungspflichten nach NIS2UmsuCG und KRITIS-Dachgesetz nachkommen können. Im Sinne der durchgängigen Implementierung des Once-onlyPrinzipsmuss sichergestellt sein, dass Unternehmen sich nicht beim BSI undzusätzlich per separatem Formular beim Bundesamt für Bevölkerungs- und Katastrophenschutz registrieren müssen. Vielmehr sollten diese Registrierungspflichten im Sinne einer nutzendenorientierten öffentlichen Verwaltung in einem effizienten und volldigitalisierten Prozess zusammengeführt werden. Auf die so gemeldeten Registrierungsdaten sollten die zuständigen staatlichen Stellen nach dem Need-to-know-Prinzip zugreifen können. Dies würde die Erfüllungsaufwände für Unternehmen reduzieren und Kapazitäten in der Wirtschaft schaffen, die in den Schutz vor Bedrohungen investiert werden könnten.

Die deutsche Industrie würde die Umsetzung folgender Änderungen am vorliegenden Referentenentwurf im Rahmen der Ressortberatungen sowie in den Beratungen in Bundestag und Bundesrat begrüßen:

(8) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Bevölkerungs- und Katastrophenschutz stellen spätestens am 15. Tag nach Inkrafttreten dieses Gesetzes ein gemeinsames, voll digitales Registrierungsformular zur Verfügung, über welches die besonders wichtigen Einrichtungen, Betreiber Kritischer Anlagen und wichtigen Einrichtungen sowie Domain-NameRegistry-Diensteanbieter ihren sich aus diesem Gesetz sowie dem [KRITIS-Dachgesetz] ergebenden Registrierungspflichten nachkommen können.

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 13

§ 34 Nachweispflichten für besonders wichtige Einrichtungen

Für deutsche Industrieunternehmen mit Standorten inmehreren Mitgliedstaaten ist es essenziell, dass die Bundesregierung in Abstimmung mit ihren europäischen Partnern sicherstellt, dass Nachweispflichten jeweils nur in dem Land erfolgen müssen, in dem ein Land seinen Hauptsitz hat, da von diesem zumeist die Cybersicherheitsgovernance erfolgt.

Der BDI begrüßt, dass das BSI den besonders wichtigen Einrichtungen eine Frist von bis zur vier Jahren gewähren kann, bis sie den Anforderungen nach § 30 Abs. 1 erstmals nachkommen müssen. Diese Frist erhöht signifikant die Umsetzbarkeit der gesetzlichen Anforderungen.

Eine europäisch einheitliche Lösung ist grundsätzlich vorzugswürdig und jede Regelung in einem Mitgliedstaat, welche über die Anforderungen der NIS 2-Richtlinie hinausgeht, zu einer zusätzlichen Belastung für besonders wichtige Einrichtungen führt.

Die deutsche Industrie würde die Umsetzung folgender Änderungen am vorliegenden Referentenentwurf im Rahmen der Ressortberatungen sowie in den Beratungen in Bundestag und Bundesrat begrüßen:

(3a) Besonders wichtige Einrichtungen, die ihren Hauptsitz in Deutschland haben und für die aus Deutschland heraus ihre Cybersicherheitsgovernance erfolgt, müssen den Nachweispflichten nur in Deutschland nachkommen.

(3b) Besonders wichtige Einrichtungen, deren Hauptsitz in einem anderen EU-Mitgliedsstaat liegt, müssen dem Bundesamt einmalig bei der Registrierung eine Bescheinigung der nationalen zuständigen Behörde vorlegen, in der ihr Hauptsitz ist und aus der hervorgeht, dass sie ihren Pflichten nach

§ 30, § 31 und § 34 dort nachkommen. Das Bundesamt kann das Unternehmen alle fünf Jahre auffordern, eine neuerliche Bescheinigung gemäß Satz 1 vorzulegen.

§ 36 Rückmeldungen des Bundesamts gegenüber meldenden Einrichtungen

Der Bundesverband der Deutschen Industrie e.V. (BDI) begrüßt ausdrücklich, dass das BSI zukünftig binnen 24 Stunden nach Eingang der Frühwarnung verpflichtet ist, dem meldenden Unternehmen eine Rückmeldung zukommen zu lassen. Insbesondere bewerten wir es positiv, dass das BSI auf Ersuchen der meldenden Einrichtung, Orientierungshilfen oder operative Beratung für die Durchführung möglicher Abhilfemaßnahmen zukommen lassen muss. Dies wird insbesondere für mittlere Unternehmen von herausgehobener Bedeutung zur effizienten Vorfallsbearbeitung sein.

§ 38 Billigungs- und Überwachungspflicht für Leitungsorgane von wesentlichen Einrichtungen und wichtigen Einrichtungen; Schulungen

Der europäische Gesetzgeber hat die „Managerhaftung“ in der NIS-2-Richtlinie in Art. 20 Abs. 1 allgemein und in Art 32 Abs. 6 zusätzlich für besonders wichtige Einrichtungen definiert. Diese Differenzierung fehlt in § 38. Die deutsche Industrie fordert den Gesetzgeber auf, diese Differenzierung in nationale Umsetzungsgesetz aufzunehmenund keine über den europäischen Rechtsrahmen hinausgehenden Anforderungen im NIS2UmsuCG festzuschreiben. Zugleich erachten wir es als sehr problematisch, dass die Behördenleitung in der öffentlichen Verwaltung keine einer Geschäftsleitung eines Unternehmens gleichgelagerten Verpflichtungen aufgelegt bekommt. Hier müsste die öffentliche Verwaltung auf Bundesebene eine Vorbildfunktion einnehmen.

Aus unserer Sicht bedarf es einer Klarstellung bezüglich der Möglichkeit zur Delegation der Umsetzung. Insbesondere aus der Perspektive einer Konzernstruktur ist unklar, in welchem Umfang die Delegation vonVerantwortlichkeiten auf Konzern- / Unternehmensangehörige im Zusammenhang mit der Einhaltung der Risikomanagement-Vorgaben zur IT-Sicherheit noch möglich ist. Üblicherweise erfolgt

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 14

die Verteilung von Aufgaben im Zusammenhang mit der IT-Sicherheit auf einzelne Unternehmensabteilungen und damit korrespondierende Führungsfunktionen (auch unternehmensübergreifend innerhalb eines Konzerns; CISO o.Ä.). § 38 Abs. 1 Satz 2 BSIG-E besagt, dass die Beauftragung eines Dritten zur Erfüllung der Verpflichtungen (Billigung und Überwachung) nicht zulässig sei. Die entsprechenden Aufgaben sind damit delegationsfeindlich. Das ist in der zugrundeliegenden NIS-2-Richtlinie so auch vorgesehen (siehe dort Art. 20). Dass Billigung und Überwachung delegationsfeindlich sind, bedeutet, dass die sonstige Umsetzung dies im Umkehrschluss nicht ist. Es bedarf einer ausdrücklichen Klarstellung, wonach die Umsetzung von Cybersicherheitsmaßnahmen durch Dritte weiterhin möglich ist. Dies würde Rechtssicherheit schaffen.

Ferner sollte Absatz 3 gestrichen werden, da die NIS 2-Richtlinie keine entsprechenden Regelungen hinsichtlich eines Verzichts oder Vergleichs vorsieht. Inwiefern zum Beispiel die jeweiligen Aufsichtsgremien der Einrichtung zur Durchsetzung eines Anspruchs verpflichtet sind, sollte sich nach allgemeinen Grundsätzen bestimmen.

Die deutsche Industrie würde die Umsetzung folgender Änderungen am vorliegenden Referentenentwurf im Rahmen der Ressortberatungen sowie in den Beratungen in Bundestag und Bundesrat begrüßen:

(2) Geschäftsleiter, welche ihre Pflichten nach Absatz 1 verletzen, haften der Einrichtung für den entstandenen Schaden. Satz 1 gilt nicht für Geschäftsleiter besonders wichtiger Einrichtungen des Teilsektors Zentralregierung des Sektors öffentliche Verwaltung.

(3) Ein Verzicht der Einrichtung auf Ersatzansprüche nach Absatz 2 oder ein Vergleich der Einrichtung über diese Ansprüche ist unwirksam. Dies gilt nicht, wenn der Ersatzpflichtige zahlungsunfähig ist und sich zur Abwendung des Insolvenzverfahrens mit seinen Gläubigern vergleicht oder wenn die Ersatzpflicht in einem Insolvenzplan geregelt wird.

§ 48 Amt des Koordinators für Informationssicherheit und § 49 Aufgaben des Koordinators

Grundsätzlichbewertet der BDI eine stärkere Koordinierung des Informationssicherheitsmanagements des Bundes und die damit einhergehende Etablierung des „Koordinators für Informationssicherheit“ als positiven Schritt. Damit die Verantwortungsdiffusion in Sicherheitsbelangen nicht weiter anwächst, bedarf es der Klärung des Kompetenzverhältnisses zwischen der BSI-Präsidentin und dem Koordinator für Informationssicherheit Zudem muss sichergestellt werden, dass auch Länder und Kommunen geeignete personelle Strukturen schaffen, um ebenenübergreifend auf eine bessere Koordination der Cybersicherheitsmaßnahmen hinzuwirken.

§ 60 Sanktionsvorschriften

Mit dem in § 60 enthaltenen Verweis auf das Ordnungswidrigkeitengesetz sieht der Gesetzgeber eine Verzehnfachung der Bußgeldhöhe vor, wodurch er in nicht akzeptablem Maße die in der NIS-2-Richtlinie enthaltenen Bußgeldobergrenzen für eine Vielzahl von Unternehmen überschreitet. Bei wichtigen Einrichtungen mit einem Jahresumsatz von 1,4 Milliarden Euro würde diese Verzehnfachung zu einem höheren Höchstbußgeld führen als EU-weit vorgesehen. Bei besonders wichtigen Einrichtungen mit einem Jahresumsatz von einer Milliarde Euro würde dies zu einem höheren Höchstbußgeld führen als EU-weit vorgesehen. Die deutsche Industrie erachtet Bußgelder grundsätzlich als probates Mittel, um die Beachtung und Implementierung vongesetzlichen Anforderungen zu forcieren.Gleichwohlmüssen Bußgelder stets angemessen sein. Die eklatante Überschreitung des EU-weit vorgesehenen Bußgeldrahmens im NIS2UmsuCG sollte nichtsdestotrotz zwingend gestrichen werden, da sie Unternehmen am Standort Deutschland in ungerechtfertigt hohem Maße im Verhältnis zu Wettbewerbern im EUAusland benachteiligt

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 15

Die deutsche Industrie fordert daher den Gesetzgeber zu folgender Änderung an § 60 auf:

(5) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 2 Nummer 1 Buchstabe a mit einer Geldbuße bis zu zwei Millionen Euro, wobei § 30Absatz 2Satz 3desGesetzes über Ordnungswidrigkeiten anzuwenden ist, sowie in den Fällen des Absatzes 2 Nummer 1 Buchstabe c, Nummern 5, 10, 11, 12 und 13 mit einer Geldbuße bis zu fünfhunderttausend Euro und in den Fällen des Absatzes 2 Nummer 1 Buchstabe b und des Absatzes 3 mit einer Geldbuße bis zu einhunderttausend Euro geahndet werden.

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 16

Impressum

Bundesverband der Deutschen Industrie e.V. (BDI) Breite Straße 29, 10178 Berlin

www.bdi.eu

T: +49 30 2028-0

EU-Transparenzregister: 1771817758-48

Lobbyregister: R000534

Autor

Steven Heckler

Stellvertretender Abteilungsleiter Digitalisierung und Innovation

T: +49 30 2028-1523

s.heckler@bdi.eu

BDI-Dokumentennummer: 1821

Zweiter Leak NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 17

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.