NIS2UmsuCG: Wie viel Neues enthält der aktuellste Referentenentwurf vom 7.5.2024?

Mit der deutschen Umsetzung der NIS-2-Richtlinie ist es ein bisschen so wie mit der Quadratur des Kreises: Mit jedem neu vorgelegten Entwurf wird es auch neue Kritik geben – mittlerweile kann deshalb bezweifelt werden, ob es in der Cybersecurity Compliance die gesetzliche „one size fits all“-Regelung geben kann. Und das wird auch mit einem Blick auf den allerneuesten Entwurf des NIS2UmsuCG deutlich, der gestern durch das BMI veröffentlicht wurde. Ja, es ist ein neuer Entwurf – enthält er aber bahnbrechende Änderungen? Nicht wirklich. Sicherlich wird es im Rahmen der jetzt stattfindenden Verbändeanhörung einiges zu kommentieren geben, ob dies aber im Sinne einer pünktlichen Richtlinienumsetzung umfassend berücksichtigt wird, sei dahingestellt. Deshalb beschränkt sich auch die neue Fassung von NIS2UmsuCG auf punktuelle Änderungen an zahllosen Stellen, die teils Konkretisierung bieten, teils die Anforderungen abschwächen, und wiederum teils vorhersehbar gewesen sind.

Komplexe Holding-Strukturen bedürfen juristischer Einzelfallprüfung

So finden wir eine begrüßenswerte Konkretisierung und Erweiterung der Begriffsdefinitionen zu Beginn des Gesetzes vor, weil in dessen Umsetzung gemessen an der Komplexität und dem Umfang des Regulierungsvorhabens besonders viel Auslegungsarbeit notwendig sein wird. Hier wurde an vielen Stellen nachgeschärft. Eine der zentralen Anforderungen im Anwendungsbereich von NIS2UmsuCG ist die Frage, ob die Betreiber von kritischen Anlagen automatisch als besonders wichtige Einrichtungen gelten. Auch in der aktuellen Entwurfsfassung wird klargestellt, dass die Betreiber von kritischen Anlagen als besonders wichtige Einrichtung gelten. Einerseits kommt das Unternehmen entgegen, indem deutlich wird, wie sich der kritische Anlagenbetrieb im Verhältnis zum Unternehmen verhält – andererseits jedoch dürften damit die durch NIS-2 vorgegebenen Cybersecurity-Anforderungen eine erhebliche Ausdehnung erfahren. Nicht wenige Unternehmen werden mit dieser Klarstellung deshalb mit erheblichen Implementierungsaufwänden zu rechnen haben. Erhalten geblieben ist die Anforderung, dass bei der Bestimmung von Mitarbeiterzahl, Jahresumsatz und Jahresbilanzsumme zur Feststellung der Betroffenheit grundsätzlich auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit abzustellen ist. Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse, unabhängig von seinen Partner- oder verbundenen Unternehmen ist. Allzu viel generelle Klarheit verschafft dies sicherlich nicht, sondern zeigt auf, dass hier gerade bei komplexen Holding-Strukturen einzelfallbezogene Rechtsberatung notwendig sein wird.

Viel Pflicht für Private, wenig Pflicht für den Bund

Im aktuellsten Entwurf bedauerlich ist der vorgesehene umfassende Ausschluss von Bundeseinrichtungen inklusive Sonderregelungen für das Auswärtige Amt: Dadurch wird erneut belegt, dass der Staat selbst die Cybersicherheit bundeseigener Einrichtungen, aber eben auch von Ländern und der kommunalen Verwaltung, nach wie vor eher stiefmütterlich behandelt. Es ist nur schwer vertretbar, einerseits den Anwendungsbereich des NIS2UmsuCG für die Privatwirtschaft deutlich weiter zu fassen, andererseits staatliche Einrichtungen weitestmöglich auszuklammern.

Nichts Neues in Sachen Risikomanagement

Wer zusätzlich erwartet hat, dass sich bei den umzusetzenden Pflichten für das Risikomanagement viel ändert, wird ebenfalls enttäuscht werden: Dies ist im ganzen Entwurf einer der Bereiche mit den geringsten Änderungen und hier wird auch in einer finalen Fassung von NIS2UmsuCG nichts Bahnbrechendes zu erwarten sein, da der Gesetzgeber die Anforderungen an das Risikomanagement im Einzelfall nicht festlegen kann und wird. Fraglich ist aber ohnehin, ob eine abschließende gesetzliche Kasuistik in dieser Hinsicht wirklich hilfreicher wäre, denn die aktuelle Unbestimmtheit wäre dann wiederum einigen Unternehmen und Einrichtungen zu bestimmt, weil sie nicht passgenau wäre.

Es kommt ganz viel Klein-Klein: Von DORA über Geldbußen bis hin zum Ausschluss der Leitungsorgane

Ansonsten wurde sehr viel im Klein-Klein reguliert: Teils wurden Schwellenwerte angehoben, so bei Benachrichtigungspflichten, es wurde einiges konkretisiert, so im Hinblick auf die Online-Plattform des BSI zum Schwachstellenaustausch, die Abgrenzung von NIS-2 zu vorrangigen bereichsspezifischen Regelungen wie z.B. DORA ist feingranularer als zuvor, es gibt einige erhebliche Änderungen im Bereich Konformitätsbewertung und Konformitätserklärung und auch bei den Geldbußen hat sich etwas getan, denn hier erfolgt bei den prozentualen Werten nunmehr eine Anknüpfung an einen Jahresumsatz von mehr als 500 Millionen Euro. Im Rahmen dieser ganzen zahllosen Einzelfalländerungen sticht eine Besonderheit noch hervor und diese betrifft den sogenannten BSI-„Hackerparagrafen“, also die Detektion von Schwachstellen durch die Behörde: Hier wird nunmehr auf eine „bekannte“ Schwachstelle referenziert, zuvor war dies allgemein eine Schwachstelle, womit es in der Auslegung eher möglich sein kann, die Benachrichtigungspflichten rechtlich einzugrenzen. Eine abschließende Konkretisierung wird bei den viel gefürchteten Untersagungsbefugnissen des BSI zur Ausübung von Leitungsaufgaben vorgenommen: Hier wird nunmehr klargestellt, dass sich diese auf die Geschäftsführungs- oder Vorstandsebene oder Ebene des rechtlichen Vertreters bezieht.

Bei der Einhaltung der Umsetzungsfrist dürfen wir aber optimistisch sein – oder ein bisschen träumen

Wenig Neues gibt es mit dem neuen Entwurf für NIS2UmsuCG beim Zeitplan: Nach wie vor ist hier von einem Inkrafttreten zum 1. Oktober 2024 die Rede – im Bund ist man wohl optimistisch, die Frist noch halten zu können. Zumindest eines ist damit klar: Mit dem neuen, für manch einen überraschenden Vorstoß für den allerneuesten Referentenentwurf des NIS2UmsuCG wurde zumindest bestätigt, dass die Bundesregierung nach wie vor ein ernsthaftes Interesse an der Umsetzung von NIS-2 hat, was teils bereits in Zweifel gezogen wurde. Wenn mit einer Verzögerung in der Verabschiedung zu rechnen ist, dürfte diese hoffentlich nicht allzu erheblich sein. Vor allem wird es hier noch auf die Länder ankommen und inwieweit diese bereit sind, Befugnisse der Gefahrenabwehr im Cyberschutz im Zweifel an den Bund abzugeben. Der Schritt, einen neuen Referentenentwurf vorzulegen, ist jedenfalls unabhängig der europäischen Fristen richtig, denn wir sehen mit jedem Tag von Neuem, dass die Gefahrenlage bereits da ist und weder auf den Bund noch auf uns wartet.

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben