Der neue Referentenentwurf zur Umsetzung der NIS-2-Richtlinie

Nahezu sehnsüchtig hat die Cybersicherheits-Branche darauf gewartet, dass es bei der Umsetzung der NIS-2-Richtlinie vorangeht. In kurzer Zeit sind Anfang Juni 2025 gleich zwei Referentenentwürfe bekannt geworden, die zeigen, wie deutlich hinter den Kulissen die Umsetzung vorangetrieben wird. Der jüngste Entwurf mit Stand vom 2. Juni 2025 enthält im Vergleich zum Regierungsentwurf aus der letzten Legislaturperiode einige kleinere Veränderungen, die bei der praktischen Umsetzung aber durchaus von Bedeutung sein werden. Aufgrund der großen Herausforderung durch die bevorstehende Umsetzung der neuen Vorgaben in den Unternehmen, der besonderen Bedeutung von Compliance im Gesetz und den erheblichen Sanktionen muss dieser Entwurf auf den Schirm der Projekt-Teams in den Unternehmen.

Was ist die NIS-2-Richtlinie und was ist der Stand?

Die Zweite Netzwerk- und Informationssicherheitsrichtlinie der EU (RL (EU) 2022/2555) will den europäischen Binnenmarkt cyberresilienter gestalten. Ihr Ziel ist es, dass Unternehmen und öffentliche Einrichtungen, die Dienstleistungen von für die Gesellschaft besonderer Bedeutung erbringen, möglichst ohne Funktionsbeeinträchtigungen durch IT-Sicherheitsvorfälle agieren können. Die Richtlinie hätte bis Oktober 2024 in nationales Recht umgesetzt werden müssen. Wann genau das Gesetz nun verabschiedet werden könnte, ist noch nicht klar. Der aktuelle Entwurf ist noch früh im Gesetzgebungsverfahren zu verorten, aufgrund des bereits eingeleiteten Vertragsverletzungsverfahrens gegen Deutschland drängt die Zeit aber, eine Umsetzung binnen eines halben Jahres soll angestrebt sein. Der Entwurf baut im Großteil aus einem Regierungsentwurf aus der vorherigen Legislaturperiode auf.

Wie ist die Umsetzung im Überblick geplant?

Umgesetzt wird die Richtlinie im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Dessen Anwendungsbereich wird signifikant vergrößert, es wird drei Einrichtungskategorien erhalten. Unternehmen aus den kritischen Sektoren müssen, je nach Größe, abgestufte IT-Sicherheitspflichten ergreifen. Außerdem gibt es eine Reihe an Kooperationspflichten mit der Aufsichtsbehörde. Hierzu zählt bei einem Sicherheitsvorfall eine dreistufige Meldepflicht an das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Außerdem sind weitere Regelwerke zu beachten. Konkretisierungen zum BSIG werden in einer Rechtsverordnung vorgenommen, die nach dem neuen Entwurf „Verordnung zur Bestimmung kritischer Anlagen nach dem BSI-Gesetz“ (vormals: BSI-Kritisverordnung) heißen soll. In bestimmten Sektoren sind die Vorgaben zur IT-Sicherheit spezialgesetzlich geregelt, für den Energiesektor stehen daher auch Änderungen im Energiewirtschaftsgesetz (EnWG) an.

Warum ist das Vorhaben für Geschäftsleitung und Compliance-Abteilung besonders wichtig?

Das BSIG wird künftig eine eigene Compliance-Regelung erhalten. Diese ist im Vergleich zum letzten Entwurf aus der vorherigen Legislaturperiode unverändert. Die Vorschrift wird klarstellen, dass die Umsetzung der IT-Sicherheitsvorschriften Aufgabe der Geschäftsleitung ist. Außerhalb eines delegationsfeindlichen Kernbereichs können und müssen Aufgaben im Unternehmen verteilt werden. Hierbei muss sorgfältig vorgegangen werden, damit die Delegation rechtssicher ist. Nur dann kann die Leitungsebene von ihrer Verantwortung befreit werden.

Der Entwurf stellt auch weiterhin klar, dass Leitungspersonen für Schäden aufgrund der Verletzung ihrer Leitungspflicht persönlich haften können. Außerdem müssen Leitungspersonen regelmäßig im Bereich Risikomanagement Schulungen besuchen.

Bei Verstößen gegen die Vorgaben des künftigen BSIG drohen erhebliche Bußgelder, die Bußgeldvorschrift bleibt im neuen Entwurf im Vergleich zur vorherigen Entwurfsfassung unberührt. Aufgrund der Richtlinien-Vorgaben wird eine Konzernbemessungsregelung beim Bußgeld eingeführt, wie auch schon in der DSGVO bekannt. Insgesamt ist mit einem Anstieg an Bußgeldverfahren im Bereich der IT-Sicherheit zu rechnen, sowohl aus dem BSIG als auch der DSGVO, weil hier interbehördliche Unterrichtungspflichten eingeführt werden.

Was plant der neue Entwurf für den Anwendungsbereich?

Man sollte meinen, der Anwendungsbereich sei durch die NIS-2-Richtlinie klar vorgegeben. Dies ist aber bei weitem nicht so, es existieren eine Reihe an Unsicherheiten, welche Unternehmen und Tätigkeiten erfasst sein sollen. Die Unsicherheiten wurden zum Teil auch in die bisherigen Entwürfe übertragen. Auch der neueste Entwurf kann sie nicht gänzlich ausräumen.

Der neueste Referentenentwurf unternimmt den Versuch, den bisher „heiß diskutierten“ breiten Anwendungsbereich von Unternehmen, die Risikomanagementvorgaben treffen müssen, zu strukturieren. Bei der Zuordnung von Einrichtungsarten, also der Differenzierung zwischen wichtigen und besonders wichtigen Einrichtungen, können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. Zwar erweckt der unbestimmte Rechtsbegriff „vernachlässigbar“ zunächst den Eindruck der Unsicherheit, er eröffnet aber auch einen Argumentationsraum für die Unternehmen, die gerade die Bedeutung der Geschäftsbereiche für die Gesamtheit der Einrichtung am besten beurteilen können – oder nun die Zeit haben, dies mittels Risikoanalysen und Business Impact Analysen herauszufinden.

Eine vermeintliche Klarstellung in der Entwurfsbegründung sorgt für Aufsehen in der Branche. Bei den sogenannten Managed Services Providern, also großen (eigentlich) externen IT-Dienstleistern, kann man nach der aktuellen Lesart des neuen Referentenentwurfs davon ausgehen, dass hiervon auch IT-Dienstleister innerhalb eines Konzerns erfasst sind, ohne dass der Konzern selbst sensible Dienstleistungen erbringt. Ob dies der Intention der Richtlinie entspricht, wird bezweifelt.

Eine Neuerung sind die Betreiber digitaler Energiedienste, die künftig vom EnWG zu IT-Sicherheitsmaßnahmen verpflichtet werden sollen. Damit will der Gesetzgeber wohl die aktuellen Entwicklungen am Energiedienstleistermarkt abdecken. Künftig werden dann etwa auch Virtual Power Plants („Virtuelle Kraftwerke“) oder Demand Response Plattformen zu IT-Sicherheitsmaßnahmen verpflichtet. Im Energiesektor deutet sich auch eine Veränderung bei der Aufsicht über die Umsetzung von Cybersicherheitsvorgaben an. Bislang lag dies fest in der Hand der Bundesnetzagentur. Das BSI, das deutlich überwiegend für die anderen Kritis-Sektoren für die Aufsicht zuständig ist, veröffentlichte jüngst für den Energiesektor bereits ein Positionspapier zur Cybersicherheit. Nun sieht der neueste Entwurf für die IT-Sicherheitsanforderungen im Energiesektor vor, dass diese nicht mehr „nur“ im Benehmen mit dem BSI durch die Bundesnetzagentur vorgegeben werden, sondern im Einvernehmen mit dem BSI. Das BSI muss also künftig dem Katalog an IT-Sicherheitsanforderungen im Energiesektor aktiv zustimmen.

Welche Änderungen sind beim Risikomanagement geplant?

Ist der Anwendungsbereich des künftigen BSIG eröffnet, sieht der neue Entwurf geringe Änderungen im Vergleich zu den Vorgängerversionen für die zu ergreifenden IT-Sicherheits-Maßnahmen vor, zu denen die Unternehmen und Einrichtungen verpflichtet werden, oftmals geht es nur um das Wording. So wurde etwa der bisher verwendete Begriff der Cyberhygiene ausgetauscht gegen Schulungen und Sensibilisierungsmaßnahmen. Hierunter fallen sämtliche Tools, um den Sicherheitsfaktor Mensch im Kontext der Cybersicherheit zu minimieren.

Die Betreiber kritischer Anlagen als Nachfolger der Kritischen Infrastrukturen müssen künftig, wie schon im jetzigen BSIG vorgesehen, Systeme zur Angriffserkennung als Baustein ihres Sicherheitsmanagements installieren. Während allgemein der Scope des Risikomanagements im Vergleich zum jetzigen BSIG erweitert wird, soll der Scope dieser Systeme weiterhin auf die IT-Prozesse gerichtet sein, die für die Erbringung der jeweiligen kritischen Dienstleistung maßgeblich sind.

Was sind die nächsten Schritte aus der Compliance-Sicht?

Vielerorts wurden bereits umfangreiche Betroffenheitsprüfungen in den Unternehmen durchgeführt. Diese müssen nun noch einmal überprüft werden, ob sich durch die wenigen geplanten Anpassungen im neuen Referentenentwurf noch einmal Veränderungen ergeben können. Die bereits begonnene Vorbereitungsphase für die Umsetzung der NIS-2-Richtlinie muss fortgesetzt werden, diese Antizipation ist aufgrund der technischen-organisatorischen Herausforderung unerlässlich. Zudem muss die Vernetzung von Compliance und technischer Umsetzung der Vorgaben vorangetrieben werden.

Das jüngst vorgestellte Bundeslagebild Cybercrime des Bundeskriminalamts zeigt, wie hoch weiterhin die Bedrohungslage für Unternehmen sämtlicher Größen ist, gerade wenn sie aus einem kritischen Sektor stammen. Daher darf der Fokus bei der NIS-2-Umsetzung nicht nur auf der Umsetzung der präventiven Vorgaben liegen, sondern muss gleichermaßen auch auf die Krisenreaktion gesetzt werden, weil die Vorfälle sich nie gänzlich vermeiden lassen werden. Dies schließt den rechtssicheren Umgang mit der künftigen dreistufigen Meldepflicht sowie die Aufarbeitung des Cyber Incidents ein, die regelmäßig in einer internen Untersuchung bezüglich der Einhaltung rechtlicher Vorgaben mündet.