26.06.2025: BMI veröffentlicht Referentenentwurf

Inhalt:

Allgemeines

• Umsetzung der EU-Richtlinie (EU) 2022/2555 (NIS-2) in deutsches Recht
• Ziel: Erhöhung der Cybersicherheit und Resilienz durch einheitliche Sicherheitsanforderungen
• Einführung eines neuen Stammgesetzes: „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG)
• Zentrale Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Struktur des Gesetzes

• Neufassung des Gesetzes über das BSI (BSIG-neu)
• Anpassungen in zahlreichen anderen Gesetzen (u. a. EnWG, TKG, BND-Gesetz, Atomgesetz)
• NIS2UmsuCG als Artikelgesetz mit über 60 Einzelregelungen

Adressaten / Verpflichtete

• Einführung von zwei Kategorien: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“
• Betroffen sind u. a. Unternehmen der Energieversorgung, Gesundheit, Wasser, Verkehr, digitale Infrastruktur, Verwaltung, Forschung
• Schwellenwerte: in der Regel ≥250 Beschäftigte oder ≥50 Mio. Euro Jahresumsatz / ≥43 Mio. Euro Bilanzsumme
• Möglichkeit zur Einbeziehung kleinerer Unternehmen mit kritischer Bedeutung

Pflichten für Unternehmen

• Einführung eines verpflichtenden Maßnahmenkatalogs zur IT-Sicherheit: Risikoanalysen, Notfallpläne, Backup, Authentifizierung, Verschlüsselung, Schulungen etc.
• Pflicht zur Risikobewertung der Lieferkette und IT-Dienstleister
• Einrichtung eines Sicherheitsvorfall-Managements

Meldepflichten

• Drei-Stufen-System bei Sicherheitsvorfällen: Frühwarnung innerhalb von 24 Stunden, Folgeinformation innerhalb von 72 Stunden, Abschlussbericht innerhalb eines MonatsEinführung eines zentralen Melderegisters beim BSI

Aufsicht und Kontrolle

• Das BSI erhält deutlich ausgeweitete Befugnisse: Vor-Ort-Kontrollen, Anordnungen und Untersagungen, Veröffentlichung von Sicherheitslücken, Regelmäßige Prüfungen bei besonders wichtigen Einrichtungen
• Risikoabhängige Aufsicht bei wichtigen Einrichtungen

Haftung und Sanktionen

• Geschäftsleitungen haften für Nichteinhaltung der Pflichten
• Deutlich verschärfte Bußgelder: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
• Bußgeldtatbestände u. a. für fehlende Sicherheitsmaßnahmen, verspätete oder unterlassene Meldungen, mangelnde Kooperation mit dem BSI

Öffentliche Verwaltung

• Einführung eines verpflichtenden Informationssicherheitsmanagements für alle Bundesbehörden
• Benennung eines Chief Information Security Officer Bund (CISO Bund)
• Verpflichtung zur Einführung eines Sicherheitskonzepts und Benennung von IT-Sicherheitsbeauftragten

Weitere Regelungen

• Verbesserung des Schutzes für Verschlusssachen und geheimhaltungsbedürftige Informationen
• Koordination auf Bundesebene durch neue Koordinierungsstelle
• Möglichkeit zur sektorspezifischen Ergänzung durch Rechtsverordnungen