Gesetzesvorhaben im Bereich Digitalisierung
Hier finden Sie den aktuellen Stand der relevantesten Gesetzesvorhaben im Bereich Digitalisierung.
NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz
30.07.2025: Kabinett verabschiedet Regierungsentwurf
Wesentliche Unterschiede zum Referentenentwurf:
- Deutlich geringere Kosten für den Bund und die Bundesverwaltung.
- Etwas höhere Kosten für die Länder.
- Präzisere Begriffsdefinitionen, engere Anlehnung an EU-Recht.
- Erweiterte Einbindung der Länder in die Zuständigkeiten.
- Klarere Staffelung der Bußgelder.
- Anpassung der Struktur: 30 statt 29 Artikel
26.06.2025: BMI veröffentlicht Referentenentwurf
Inhalt:
Allgemeines
- Umsetzung der EU-Richtlinie (EU) 2022/2555 (NIS-2) in deutsches Recht
- Ziel: Erhöhung der Cybersicherheit und Resilienz durch einheitliche Sicherheitsanforderungen
- Einführung eines neuen Stammgesetzes: „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG)
- Zentrale Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI)
Struktur des Gesetzes
- Neufassung des Gesetzes über das BSI (BSIG-neu)
- Anpassungen in zahlreichen anderen Gesetzen (u. a. EnWG, TKG, BND-Gesetz, Atomgesetz)
- NIS2UmsuCG als Artikelgesetz mit über 60 Einzelregelungen
Adressaten / Verpflichtete
- Einführung von zwei Kategorien: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“
- Betroffen sind u. a. Unternehmen der Energieversorgung, Gesundheit, Wasser, Verkehr, digitale Infrastruktur, Verwaltung, Forschung
- Schwellenwerte: in der Regel ≥250 Beschäftigte oder ≥50 Mio. Euro Jahresumsatz / ≥43 Mio. Euro Bilanzsumme
- Möglichkeit zur Einbeziehung kleinerer Unternehmen mit kritischer Bedeutung
Pflichten für Unternehmen
- Einführung eines verpflichtenden Maßnahmenkatalogs zur IT-Sicherheit: Risikoanalysen, Notfallpläne, Backup, Authentifizierung, Verschlüsselung, Schulungen etc.
- Pflicht zur Risikobewertung der Lieferkette und IT-Dienstleister
- Einrichtung eines Sicherheitsvorfall-Managements
Meldepflichten
- Drei-Stufen-System bei Sicherheitsvorfällen: Frühwarnung innerhalb von 24 Stunden, Folgeinformation innerhalb von 72 Stunden, Abschlussbericht innerhalb eines MonatsEinführung eines zentralen Melderegisters beim BSI
Aufsicht und Kontrolle
- Das BSI erhält deutlich ausgeweitete Befugnisse: Vor-Ort-Kontrollen, Anordnungen und Untersagungen, Veröffentlichung von Sicherheitslücken, Regelmäßige Prüfungen bei besonders wichtigen Einrichtungen
- Risikoabhängige Aufsicht bei wichtigen Einrichtungen
Haftung und Sanktionen
- Geschäftsleitungen haften für Nichteinhaltung der Pflichten
- Deutlich verschärfte Bußgelder: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
- Bußgeldtatbestände u. a. für fehlende Sicherheitsmaßnahmen, verspätete oder unterlassene Meldungen, mangelnde Kooperation mit dem BSI
Öffentliche Verwaltung
- Einführung eines verpflichtenden Informationssicherheitsmanagements für alle Bundesbehörden
- Benennung eines Chief Information Security Officer Bund (CISO Bund)
- Verpflichtung zur Einführung eines Sicherheitskonzepts und Benennung von IT-Sicherheitsbeauftragten
Weitere Regelungen
- Verbesserung des Schutzes für Verschlusssachen und geheimhaltungsbedürftige Informationen
- Koordination auf Bundesebene durch neue Koordinierungsstelle
- Möglichkeit zur sektorspezifischen Ergänzung durch Rechtsverordnungen
11.09.2025: Erste Beratung im Bundestag
- Erste Beratung des von der Bundesregierung eingebrachten Entwurfs eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, Überweisung an die Ausschüsse Inneres, Digitales und Staatsmodernisierung sowie Haushalt (mitberatend)
26.09.2025: Erster Durchgang im Bundesrat
- Erster Durchgang im Bundesrat abgeschlossen
KRITIS-Dachgesetz
10.09.2025: Kabinettsbeschluss
Zweck & Grundlage
- Das Gesetz setzt die EU-Richtlinie zur Resilienz kritischer Einrichtungen (CER-Richtlinie) in deutsches Recht um.
- Ziel ist es, bundeseinheitliche und sektorenübergreifende Mindeststandards für den Schutz, die Resilienz und den physischen Schutz kritischer Infrastrukturen zu etablieren.
Wer ist betroffen/was gilt als KRITIS
- Kritische Infrastrukturen aus elf Sektoren: Energie, Transport & Verkehr, Finanz- und Versicherungswesen, Gesundheit, Trinkwasser, Abwasser, Ernährung, Informationstechnik & Telekommunikation, Weltraum, Siedlungsabfallentsorgung, Öffentliche Verwaltung.
- Eine Einrichtung gilt dem Entwurf zufolge als kritisch, wenn sie essenziell für die Gesamtversorgung in Deutschland ist und mehr als 500.000 Personen versorgt werden.
Pflichten & Maßnahmen
- Betreiber von kritischen Anlagen sollen Risikoanalysen und Risikobewertungen durchführen.
- Es werden bundeseinheitliche Mindestanforderungen definiert, etwa physische Schutzmaßnahmen, Notfallteams, Objektschutz und Ausfallsicherheit.
- Meldepflicht für erhebliche Störungen: Betreiber müssen Vorfälle melden, u.a. über ein Portal des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) und des BSI.
Aufsicht/Behördenrollen
- Zuständig sind u.a. das BBK sowie das BSI; es wird ein Meldewesen eingerichtet, das zentrale Stellen und Plattformen einbindet.
- Unternehmen müssen sich registrieren und eine Kontaktstelle benennen.
Weitere Aspekte
- Der Entwurf betrifft nicht nur IT-Sicherheit, sondern auch physische Sicherheit gegenüber Störungen, Angriffen etc. (z. B. Naturkatastrophen, Terror, Sabotage).
- Mit dem Gesetz entstehen Kosten und Pflichten für die betroffenen Betreiber. Im Entwurf werden einmalige Belastungsrichtwerte (≈ 1,7 Mrd. €) und jährliche Mehrkosten (≈ 500 Mio. €) angegeben.
Login
Für Fragen stehen wir Ihnen gerne zur Verfügung:
Telefon: 030 400 54 100
E-Mail: gronenberg@elfnullelf.de
Telefon: 030 400 54 100
E-Mail: haun@elfnullelf.de