Der 4. Referentenentwurf ist da: Es tut sich etwas in Sachen NIS-2

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 26.06.2024

Rechtsgebiete: InternationalesWirtschaftsrechtComplianceIT-RechtIT-SicherheitsrechtTelekommunikationsrecht|689 Aufrufe

Prof. Dr. Dennis-Kenji Kipker und Tilmann Dittrich

Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, kurz NIS2UmsuCG, beschäftigt die deutsche Politik und die Expertenkreise seit geraumer Zeit gleichermaßen. Und das nicht ohne Grund: Denn bis zum 17.10.2024 muss die NIS-2-Richtlinie in nationales Recht umgesetzt sein. Ziel der aktuellen europäischen Cybersicherheitsrichtlinie ist die krisenresiliente Ausgestaltung des europäischen digitalen Binnenmarkts, indem über die Kritischen Infrastrukturen hinaus für die Gesellschaft und Wirtschaft bedeutende Einrichtungen verschärfte IT-Sicherheitsvorkehrungen treffen müssen. Dass Deutschland die europäische Frist zur nationalen Umsetzung von NIS-2 halten kann, galt bislang als zweifelhaft. Doch vielleicht besteht Anlass zur Hoffnung, denn es wurde jetzt kurz vor der parlamentarischen Sommerpause nicht nur ein neuer und vierter Referentenentwurf für NIS2UmsuCG veröffentlicht, sondern für die Kabinettssitzung am 24. Juli überdies eine Befassung mit dem Gesetzentwurf angesetzt. Überdies soll sich auch der Bundestag in Kürze mit dem Gesetzentwurf befassen.

Insgesamt halten sich die im 4. Referentenentwurf vorgeschlagenen Änderungen im Vergleich zur Vorfassung in Grenzen – was aber anhand der Ergebnisse aus der Verbändeanhörung und der entsprechenden und zwischenzeitlich erfolgten Kommunikation aus dem Bundesinnenministerium auch absehbar gewesen ist. Im Vergleich zum Stand des Entwurfs aus Mai 2024 ergibt sich eine Reihe an kleineren Anpassungen. Besonders bedeutend ist die in den vergangenen Monaten viel kritisierte Compliance-Vorschrift, die künftig die Geschäftsleiter der betroffenen Einrichtungen dazu verpflichtet, ihrer Leitungsverantwortung zur Umsetzung der gesetzlichen Vorgaben auch in Sachen Cybersicherheit gerecht zu werden. Einer der großen Diskussionspunkte seit den ersten Versionen des Referentenentwurfs ist dabei die Verzichtsvorschrift. Denn die Geschäftsleitung kann künftig ausdrücklich dafür in Regress genommen werden, wenn sie ihren Compliance-Pflichten nicht nachkommt. Im ersten Entwurf sorgte eine Ergänzung der persönlichen Haftung für Unmut, weil der Verzicht auf den Geschäftsleiter-Regress vollständig ausgeschlossen sein sollte. Dies wurde nach und nach aufgeweicht, nun sieht der Entwurf eine persönliche Haftung unter Verweis auf die allgemeinen Compliance-Vorschriften des Gesellschaftsrechts vor, eine persönliche Haftung aus dem neuen BSIG hingegen kommt nur in Betracht, wenn das Gesellschaftsrecht keine Haftung vorsieht. Von einer Verzichtsvorschrift scheint somit nicht mehr die Rede zu sein.

Ein weiteres Problem der bisherigen Entwurfsfassungen war in der Abgrenzung des neuen BSIG zu den Sondervorschriften des TKG und des EnWG zu sehen, die für Kritische Infrastrukturen aus besonderen Sektoren bislang eigene IT-Sicherheitsvorschriften enthielten. Hier versucht man sich auch im aktuellsten Entwurf des NIS2UmsuCG immer noch an einer praxistauglichen Abgrenzung zwischen den unterschiedlichen Rechtsvorschriften.

Neben kleineren Anpassungen, etwa der Ausnahme von Bundesbank und Handelskammern von den Vorschriften zur Bundesverwaltung, fällt insbesondere zum Ende des 4. Referentenentwurfs hin noch eine systematische Neuerung ins Auge, nämlich die Trennung der gesetzlichen Unterteilung von Aufsicht und Sanktionen. Nach der neuesten Fassung schließt nun Teil 8 zu den Bußgeldern das künftige BSIG ab, während die Aufsichtsmaßnahmen im vorherigen Teil 7 behandelt werden.

Auch wenn es nach außen hin nicht immer den Anschein erwecken mag, so wird doch deutlich, dass hinter den Kulissen des BMI mit der nationalen Umsetzung von NIS-2 eifrig an den Vorschriften zum neuen BSIG gearbeitet wird. Deutlich wird aber ebenso: Der 4. Referentenentwurf bringt nicht wirklich etwas bahnbrechend Neues mit sich. Aber auch das ist normal, denn während sich nach der Veröffentlichung der 1. Entwurfsfassung im vergangenen Jahr noch massive Änderungsbedarfe zeigten, werden die Stellschrauben nun deutlich kleiner gedreht. Wichtiger ist mit der Veröffentlichung dieser letzten Entwurfsfassung somit vielmehr die Erkenntnis, dass es nun endlich weiter geht im nationalen Gesetzgebungsverfahren zu NIS-2.

Link zum 4. Referentenentwurf: https://intrapol.org/2024/06/26/update-in-sachen-nis2-4-referentenentwurf-veroeffentlicht-kabinettsbefassung-steht/