Aufsätze : Wirtschaftsschutz durch Cybersicherheitsregulierung* – Eine Analyse der deutschen Umsetzung der NIS-2-RL durch das NIS2UmsuCG : aus der RDV 1/2025, Seite 30 bis 39

Damit befand sich das NIS2UmsuCG außergewöhnlich lange im Entwurfsstadium. Hierfür gibt es im Wesentlichen zwei Gründe: Erstens waren aufgrund des Regelungsgegenstands der Informationssicherheit der Bundesverwaltung in § 29 BSIGE sämtliche Bundesministerien bei der Ressortabstimmung beteiligt, die sich aufgrund der nicht unerheblichen Haushaltswirksamkeit des Vorhabens verzögerte. Zweitens versuchte die Ampel-Koalition weitere Cybersicherheitsvorhaben des Koalitionsvertrags,^[12] das Schwachstellenmanagement^[13] und eine Neuaufstellung des BSI als unabhängige(re)^[14] Behörde mit einer dem BKA ähnlichen Zentralstellenfunktion im Bund-Länder-Verhältnis mit der Umsetzung der Richtlinie zu verbinden. Über diese Punkte wurde man sich aber bis zuletzt in der AG BSI, einem Gesprächsformat des BMI mit den fachlich befassten Bundestagsabgeordneten der Koalition, nicht einig.^[15]

2. Parlamentarisches Verfahren

Das NIS2UmsuCG wurde im Bundestag in erster Lesung am 11.10.2024 beraten. Der Bundestagsausschuss für Inneres hat am 04.11.2024 eine öffentliche Anhörung von Sachverständigen durchgeführt. Alles in allem haben die Sachverständigen viel Kritik vorgebracht.^[16] Im Fokus der Kritik standen insbesondere die Regelung zum CISO Bund in § 48 BSIG-E, die großflächigen Ausnahmen vom Anwendungsbereich des § 29 BSIG-E für die Bundesverwaltung,^[17]begriffliche Differenzen zur NIS-2-RL, die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung (SzA) in § 31 Abs. 2 BSIG-E, die Ausgestaltung der Risikomanagementpflichten in §  30 BSIG-E sowie die verpasste Gelegenheit zur umfassenden Überarbeitung des Cybersicherheitsrechts inkl. der oben beschriebenen weiteren Cybersicherheitsvorhaben.

Für das weitere parlamentarische Verfahren war der 05. oder 06.12.2024 für die zweite und dritte Lesung im Bundestag geplant, ein Beschluss im Bundesrat am 14.02.2025 und ein Inkrafttreten des Gesetzes im März 2025.^[18] Durch den Bruch der Koalition der 20. Legislaturperiode am 06.11.2024 ist unklar, ob das NIS2UmsuCG noch in dieser Legislatur beschlossen wird.^[19] Bei Fertigstellung des Manuskripts am 20.12.2024 wurde der Entwurf noch nicht beschlossen. Die Beschlüsse des Innenausschusses im Nachgang der Sachverständigenanhörung flossen am 29.11.2024 noch in eine Formulierungshilfe der Bundesregierung ein.^[20]

3. Unionsrechtliche Folgen der verspäteten Umsetzung

Die Umsetzung der NIS-2-RL ist neben Deutschland in einer Mehrheit der Mitgliedstaaten noch nicht erfolgt.^[21] Schon recht kurz nach Ablauf der Umsetzungsfrist leitete die EUKommission am 28.11.2024 mit dem Versand der Mahnschreiben^[22] an insgesamt 23 Mitgliedstaaten, darunter auch Deutschland, nach Art. 258 Abs. 1 Hs. 2 AEUV das Vorverfahren für ein Vertragsverletzungsverfahren ein.^[23]

Angesichts der üblichen Verfahrensdauer vor dem EuGH dürfte die Umsetzung noch vor der Verhängung finanzieller Sanktionen nach Art. 260 Abs. 2 AEUV erfolgen. Von wesentlich höherer Relevanz sind die Folgen der Nichtumsetzung für die Betroffenen im Anwendungsbereich der NIS-2-RL. Nach Art. 41 Abs. 1 S. 3 NIS-2-RL ist keine Umsetzungsfrist für die Betroffenen vorgesehen. Sobald die RL in nationales Recht umgesetzt ist, müssen die Pflichten daher befolgt werden.

Da die NIS-2-RL im Kern vom Staat durchzusetzende Anforderungen an private Akteure enthält, scheidet eine vom EuGH anerkannte^[24] unmittelbare Wirkung der RL aus, da es sich in diesem Fall um eine dem Sanktionsgedanken der unmittelbaren Wirkung widersprechende umgekehrte vertikale Wirkung handeln würde.^[25] Die Nichtumsetzung durch die Mitgliedstaaten wirkt daher im Ergebnis wie eine Übergangsfrist. Dies dürfte im Wesentlichen auch der Grund für die europaweit schleppende Umsetzung einerseits und die verhältnismäßig schnelle Einleitung eines Vertragsverletzungsverfahrens andererseits sein.

III. Auswirkungen auf private Akteure

Im Fokus des NIS2UmsuCG liegt die Verpflichtung privater Akteure zu Cybersicherheitsmaßnahmen. Gemäß den Zielen der NIS-2-RL spannt die deutsche Umsetzung einen regulatorischen Schirm über größere Teile der Wirtschaft.

1. Umfassende Überarbeitung des BSIG

Mit dem NIS2UmsuCG bezweckt der Gesetzgeber u.a. die Vorgaben der NIS-2-RL in nationales Recht umzusetzen – eine Herkulesaufgabe eigener Schöpfung, denn allein das BSIG, der Kern des NIS2UmsuCG, wächst von bislang 15 auf 65 Paragrafen. Dementsprechend liegt der Fokus der nachfolgenden Betrachtung auf der Umsetzung der NIS-2-RL durch den BSIG-E.

2. Anwendungsbereich

Der von der NIS-2-RL vorgegebene Anwendungsbereich wird in Art. 3 der RL geregelt. Im Kern wird zwischen wesentlichen Einrichtungen nach Art. 3 Abs. 1 und wichtigen Einrichtungen nach Art. 3 Abs. 2 NIS-2-RL anhand von Sektorenzugehörigkeit und der Überschreitung von Unternehmenskennzahlen wie Bilanz, Umsatz und der Anzahl von Beschäftigten unterschieden. Die konkreten Schwellenwerte orientieren sich nach Art. 2 Abs. 1 UAbs. 1 NIS-2-RL an der Empfehlung der Kommission vom 06.05.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen.^[26] Im Vergleich zur NIS-RL erweitert sich der Anwendungsbereich erheblich, was gerade Ziel der Überarbeitung der RL zur Sicherstellung eines funktionsfähigen Binnenmarkts ist.^[27]Die Ausdehnung des Anwendungsbereichs auf größere Teile der Wirtschaft erfolgt, „um eine umfassende Abdeckung der Sektoren und Dienste zu gewährleisten, die im Binnenmarkt für grundlegende gesellschaftliche und wirtschaftliche Tätigkeiten von entscheidender Bedeutung sind“.^[28] Mit der Überarbeitung des Rechtsrahmens der Sicherheit von Netz- und Informationssystemen zur NIS-2-RL erfolgt damit eine Entwicklung vom Infrastrukturschutz^[29]hin zu einem umfassenderen Wirtschaftsschutz. Dies wird dadurch unterstrichen, dass die noch immer fehlende Fixierung der Unternehmen im besonderen öffentlichen Interesse nach § 2 Abs. 14 BSIG vollständig im § 28 Abs. 2 BSIG-E aufgeht.^[30]

Die Regelung der Betroffenen von Informationssicherheitspflichten setzt das NIS2UmsuCG in § 28 BSIG-E um. Die Prognosen der dadurch Betroffenen unterstreichen den Charakter des Wirtschaftsschutzes.^[31] Der Anwendungsbereich des § 28 BSIG-E kennt im Kern^[32] drei Kategorien: Die besonders wichtigen Einrichtungen nach §  28 Abs.  1. BSIG-E, die wichtigen Einrichtungen nach §  28 Abs.  2 BSIG-E sowie die Betreiber kritischer Anlagen nach § 28 Abs. 7 BSIG-E.

a) Besonders wichtige Einrichtungen

§ 28 Abs. 1 BSIG-E regelt die besonders wichtigen Einrichtungen. Insbesondere erfasst sind davon nach §  28 Abs.  1 Nr.  4 BSIG-E natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft, die anderen entgeltlich Waren oder Dienstleistungen anbieten, die einem der in Anlage 1 zum BSIG-E bestimmten Wirtschaftssektoren zugeordnet werden können und als Großunternehmen mindestens 250 Mitarbeiter beschäftigen oder einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro aufweisen. Betroffen sind demnach nur Einrichtungen, die über den KMUSchwellenwerten der Empfehlung 2003/361/EG liegen.

Mit der Bezeichnung „besonders wichtige Einrichtungen“ weicht die deutsche Umsetzung von Art.  3 Abs.  1 NIS-2-RL („wesentliche Einrichtungen“) ab. Hintergrund der Abweichung dürfte sein, dass man die Unterscheidung von „wesentlichen“ und „wichtigen“ Einrichtungen in Art. 3 NIS-2-RL irreführend fand.^[33]Mit der in § 28 BSIG-E gewählten Unterscheidung besteht zwar keine Verwechslungsgefahr mehr, der zentrale Grund der Neufassung der RL, die europaweite Harmonisierung der Anwendungsbereiche^[34] wird damit jedoch konterkariert.^[35]

b) Wichtige Einrichtungen

Die wichtigen Einrichtungen werden in §  28 Abs.  2 BSIG-E definiert. Nach §  28 Abs.  2 Nr.  3 BSIG-E sind das v.a. Unternehmen, die einem der Sektoren in Anlage 1 und 2 zum BSIG-E unterfallen und die hinsichtlich der Beschäftigen sowie Jahresumsatz und Bilanzsumme den Kategorien des kleinen oder mittleren Unternehmens im Sinne der KMU-Definition unterfallen.^[36]Durch die Verwendung von „oder“ zwischen § 28 Abs. 2 Nr. 3 lit. a) und b) BSIG-E weicht die deutsche Umsetzung überschießend vom „und“ in Art. 2 im Anhang zur Empfehlung 2003/361/EG ab, wodurch der Anwendungsbereich breiter ausfallen kann.^[37]

c) Kritische Anlagen

Neben den durch Art.  3 NIS-2-RL vorgegebenen Kategorien etabliert Art. 28 Abs. 7 BSIG-E eine dritte Kategorie, die Betreiber kritischer Anlagen, die den bisherigen Begriff der Kritischen Infrastrukturen (KRITIS) ersetzen. Unter den Betreibern kritischer Anlagen sind natürliche oder juristische Personen zu verstehen, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine oder mehrere kritische Anlagen ausüben. Die kritische Anlage wird in § 2 Nr. 22 BSIG-E als Anlage definiert, die für die Erbringung einer kritischen Dienstleistung erheblich ist. Die kritische Dienstleistung wiederum wird in § 2 Nr. 24 BSIG-E legaldefiniert. Danach handelt es sich um kritische Dienstleistungen, wenn die Allgemeinheit versorgt werden soll, der Ausfall oder eine Beeinträchtigung der Dienstleistung „zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde“ und einem der Sektoren Energie, Transport und Verkehr, Finanzwesen, Sozialversicherungsträger sowie Grundsicherung für Arbeitssuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung unterfällt. Eine genaue Bestimmung der betroffenen Anlagen erfolgt nach § 56 Abs. 4 BSIG-E im Verordnungswege.

Mit dem Begriff der kritischen Anlagen wird im Ergebnis die bisherige KRITIS-Systematik nach dem BSIG i.V.m. BSI-KritisV neben der neuen, durch die NIS-2-RL vorgegebenen, Systematik fortgesetzt. Hierfür soll die BSI-KritisV fortgelten oder angepasst werden. Entgegen dem bisherigen nationalen Recht^[38] fehlt zukünftig eine rechtliche Lösung für das gemeinsame Betreiben kritischer Anlagen durch mehrere juristische Personen.^[39]Auch wenn die Betreiber kritischer Anlagen nach § 28 Abs. 1 Nr. 1 BSIG-E als Unterfall der besonders wichtigen Einrichtungen gelten sollen, rechtfertigen die deutlich erhöhten Anforderungen an kritische Anlagen^[40], diese als eigenständige dritte Unternehmenskategorie zu sehen.^[41]

d) Konzerneinbindung und Einschränkungen des Anwendungsbereichs (§ 28 Abs. 3 BSIG-E)

Hinsichtlich der konkret zu Risikomanagementmaßnahmen verpflichteten Einrichtungen geht die NIS-2-RL und der BSIG-E vom Idealbild einer juristischen Person als Betreiber eines Diensts oder einer Anlage aus.^[42] Hier fehlt es an einer Konzernregelung für verbundene Unternehmen. Zur Bestimmung der Unternehmensschwellenwerte für den Anwendungsbereich werden nach § 28 Abs. 3 S. 2 BSIG-E i.V.m. Art. 3 der Empfehlung 2003/361/EG jedoch durch einen Konzern verbundene Unternehmen berücksichtigt.^[43]Dadurch kann ein grds. nicht reguliertes Unternehmen aufgrund der Anrechnung von Unternehmenskennzahlen verbundener Unternehmen in den Anwendungsbereich fallen. Diese Prüfung ist individuell für jedes Konzernunternehmen vorzunehmen und eine „Infektionswirkung“ gegenüber dem gesamten Konzern besteht nicht.^[44] Ob der Anwendungsbereich des BSIG-E auch eröffnet ist, wenn konzerninterne IT-Dienstleistungen in einem Unternehmen konzentriert werden,^[45] ist unklar: Während der BSIG-E schweigt, schließt ErwG 35 S. 5 NIS-2-RL den Anwendungsbereich hier aus.

§ 28 Abs.  3 Nr.  1 BSIG-E nimmt gegenüber der NIS-2-RL eine dort nicht vorgesehene Einschränkung des Anwendungsbereichs vor, wonach nur „auf die der Einrichtungsart zuzuordnende Geschäftstätigkeit“ abzustellen ist. Nach der Konzeption des Entwurfs kommt es also nicht darauf an, ob man die Unternehmenskennzahlen überschreitet, sondern ob man sie auch im Rahmen der hauptsächlichen Geschäftstätigkeit überschreitet.^[46] Zwar sieht ErwG 16 der NIS-2-RL einen Ausgleich unbilliger Härten bei der Konzernanrechnung vor, worauf die Begründung zum NIS2UmsuCG auch anspielt. Da dies jedoch keine Entsprechung im Normtext der RL gefunden hat und § 28 Abs. 3 Nr. 1 BSIG-E den ErwG zudem überdehnt, ist die Umsetzung des Anwendungsbereichs an dieser Stelle europarechtswidrig.^[47]

e) Sektorenregelungen

Die Anlagen 1 und 2 zum BSIG-E übernehmen die Anhänge I und II der NIS-2-RL. In Anlage 1 sind Sektoren besonders wichtiger und wichtiger Einrichtungen geregelt, in Anlage 2 weitere Sektoren wichtiger Einrichtungen. Im Vergleich zur NIS-RL werden zahlreiche neue Sektoren reguliert,^[48] was ein wesentlicher Faktor für die enorme Ausweitung des Anwendungsbereichs ist.^[49] Ein – hier nur beispielhaft beleuchtetes – Problem ist die Verweisung auf einschlägiges Fachrecht zur konkreten Bestimmung der Betroffenen. In Spalte D der Anlagen 1 und 2 zum BSIG-E wird auf Definitionen des den Sektor regulierenden Rechts verwiesen. Nicht immer eignet sich dieses aber zur Bestimmung des Anwendungsbereichs von Cybersicherheitsregulierung. Besonders deutlich erkennbar ist dieses Problem beim Sektor der Produktion, Herstellung und Handel mit chemischen Stoffen in Nr. 3.1.1. der Anlage 2 zum BSIG-E. Für den Anwendungsbereich wird hier auf den Hersteller- und Importeursbegriff^[50] in Art. 3 Nr. 9 und 11 der REACH-VO^[51] verwiesen. Durch die pauschale Verweisung auf Wirtschaftsakteure der europäischen Chemikalienregulierung ergibt sich ein kaum überschaubarer Anwendungsbereich von rund 22.500 Unternehmen in Deutschland.^[52] Ebenfalls besonders breit ausgefallen ist der Sektor des verarbeitenden Gewerbes und die Herstellung von Waren in Anlage 2 Nr.  5 zum BSIG-E. Insbesondere die Unterkategorien der Herstellung von Datenverarbeitungsgeräten (Nr. 5.2), der Maschinenbau (Nr.  5.4) und der Fahrzeugbau (Nr.  5.5 sowie 5.6) begründen bei vielen deutschen Unternehmen eine Betroffenheit, da die statistische Systematik der Wirtschaftszweige (NACE), auf die verwiesen wird, breit aufgefächert ist. An diesen beiden Beispielen zeigt sich, dass sich der Anwendungsbereich keineswegs pauschal überschlagen lässt und von einem zielgerichteten Wirtschaftsschutz kaum gesprochen werden kann.

3. Risikomanagementmaßnahmen

Grundsätzlich erfindet der Gesetzgeber das Rad hinsichtlich der Risikomanagementmaßnahmen bis auf wenige Aspekte nicht neu; zusammengefasst geht es um das Ergreifen geeigneter und verhältnismäßiger technischer, operativer und organisatorischer Maßnahmen zur Beherrschung von IT-Sicherheitsrisiken und die Verhinderung oder Minimierung der Auswirkungen von Sicherheitsvorfällen.^[53] Es geht also primär um das Implementieren eines einrichtungsbezogenen Cybersicherheitsrisikomanagementsystems (Informationsmanagementsystem – ISMS).^[54] Das NIS2UmsuCG verfolgt dabei einen gefahrenübergreifenden Ansatz, d.h. es zielt darauf ab, die Netz- und Informationssysteme sowie auch die physische Umwelt dieser Systeme vor Sicherheitsvorfällen zu schützen.^[55]

Art.  21 Abs.  2 NIS-2-RL enthält einen detaillierten Maßnahmenkatalog, dessen Anforderungen als Mindeststandard implementiert werden müssen und der in §  30 Abs.  2 S.  2 BSIG-E umgesetzt wird. Inhaltlich halten die verbindlich zu implementierenden Maßnahmen (überwiegend) keine großen Überraschungen parat: Es müssen Konzepte in Bezug auf die Risikoanalyse und die IT-Sicherheit erstellt werden, die Bewältigung von Sicherheitsvorfällen und die Aufrechterhaltung des Betriebs – etwa durch Back-up-Management, Notfallwiederherstellungskonzepte und ein vernünftiges Krisenmanagement – sichergestellt werden, Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von ITSystemen, Komponenten und Prozessen ergriffen werden, wobei auch der Umgang mit Schwachstellen explizit Erwähnung findet, und Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen überlegt werden. Darüber hinaus sind Cyberhygienemaßnahmen – was mit diesem Begriff konkret gemeint ist, bleibt indes unklar^[56]– und IT-Sicherheitsschulungen ebenso erforderlich wie ein vernünftiges Zugriffsmanagement, Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung sowie die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung und sicheren (Notfall-)Kommunikationssystemen. Materiell können die Vorgaben etwa durch eine Zertifizierung nach ISO 27001 erfüllt werden.^[57] Die Bedeutung von Standards wird dadurch verstärkt, dass auf Ebene der Rechtsprechung eine verlässliche Beurteilung der Angemessenheit ergriffener Maßnahmen infolge der ausfüllungsbedürftigen und daher schwer subsumtionsfähigen Rechtsbegriffe ohne Rückgriff auf beispielsweise das BSI IT-Grundschutz-Kompendium oder ISO 27001 kaum möglich ist.^[58]

Neu sind jedoch zwei Dinge: Erstens soll das BSIG zukünftig anstelle der Verwendung unbestimmter Rechtsbegriffe in § 8a Abs. 1 BSIG (angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik) eine Maßnahmenliste ergänzen. Dadurch entsteht die Mentalität einer To-Do-Liste, bei deren Abarbeiten falsche Sicherheit suggeriert wird und deren fragwürdige Prioritäten nicht zu jeder Einrichtung passen.^[59] Zweitens wird die Cybersicherheit der Lieferkette explizit einbezogen. Der Gesetzgeber hat erkannt, dass Abhängigkeiten von und insbesondere Cyberangriffe über die IT-Lieferkette (Supply-Chain-Angriffe) zu den größten Bedrohungen zählen.^[60] Art.  21 Abs.  2 NIS-2-RL verweist ausdrücklich auf sicherheitsbezogene Aspekte der Beziehungen zwischen Einrichtungen und ihren unmittelbaren (Dienste-)Anbietern.^[61] Art. 21 Abs. 2 lit. d) NIS-2-RL wurde unverändert in § 30 Abs. 2 Nr. 4 BSIG-E übernommen. Erforderlich ist, dass betroffene Einrichtungen ebenfalls innerhalb der Lieferkette die Sicherheit prüfen und gewährleisten, beispielsweise mittels vertraglicher Vereinbarungen mit Zulieferern und Dienstleistern zu Risikomanagementmaßnahmen, Bewältigung von Cybersicherheitsvorfällen, Patchmanagement sowie der Berücksichtigung von Empfehlungen des BSI.^[62] Auch müssen Einrichtungen bei der Erwägung geeigneter Risikomanagementmaßnahmen die Ergebnisse der koordinierten Risikobewertungen kritischer Lieferketten i.S.d. Art. 22 Abs. 1 NIS-2-RL berücksichtigen.^[63]

Dass die NIS-2-RL (und damit auch das NIS2UmsuCG) spezifische Regelungen in Bezug auf die Lieferkette enthält, ist vor dem Hintergrund von Vorfällen wie dem CrowdStrikeVorfall im Juli 2024 – ein fehlerhaftes Update eines Softwareprodukts der Firma CrowdStrike hatte weltweit zu Ausfällen an mehr als 8,5 Millionen Windows-Geräten geführt, was allerdings durch das Testen von Software-Updates im Kundenunternehmen hätte vermieden werden können^[64] – nur zu nachvollziehbar. Die praktische Umsetzung dieser Vorgabe hingegen wirft mit Blick auf Standardsoftware Fragen auf; möglich erscheint beispielsweise eine Lösung über eine Vorgabe mittels Durchführungsrechtsakt, spezielle und nach europäischen Cybersicherheitsschemata zertifizierte IKTProdukte, -Dienste und -Prozesse zu nutzen.^[65]

4. Meldepflichten

Die in §  32 BSIG-E statuierte Meldepflicht sieht ein mehrstufiges System vor: Bei erheblichen Sicherheitsvorfällen ist zunächst spätestens innerhalb von 24 Stunden nach Kenntniserlangung von dem Vorfall eine frühe Erstmeldung zu erstatten. Diese ist wiederum spätestens innerhalb von 72 Stunden nach Kenntniserlangung in einer Folgemeldung zu bestätigen oder zu aktualisieren, wobei hier auch eine erste Bewertung des Vorfalls einschließlich seines Schweregrads, möglicher Auswirkungen und ggf. der Kompromittierungsindikatoren beizufügen ist. Spätestens einen Monat nach dieser zweiten Meldung ist – sofern der Vorfall nicht noch andauert^[66] – eine Abschlussmeldung vorzunehmen, die neben einer ausführlichen Beschreibung des Vorfalls, seines Schweregrads und seiner (ggf. grenzüberschreitenden) Auswirkungen auch mögliche Ursachen sowie getroffene und laufende Abhilfemaßnahmen erforschen muss. Daneben müssen auf Ersuchen des BSI relevante Statusaktualisierungen in Zwischenmeldungen gemeldet werden (§ 32 Abs. 1 Nr. 3 BSIG-E).

Wann ein erheblicher Sicherheitsvorfall i.S.d. § 32 BSIG-E vorliegt, soll sich aus § 2 Nr. 11 BSIG-E ergeben, wobei angesichts der unscharfen Formulierung auf eine Konkretisierung durch eine zu erlassende Rechtsverordnung zu hoffen ist.^[67] In Art. 23 Abs. 3 NIS-2-RL findet sich eine etwas ausführlichere Legaldefinition, die durch Art. 3 der DurchführungsVO der Kommission^[68] konkretisiert wird.

5. Pflichten der Geschäftsführung

a) Vorgaben der NIS-2-RL

Unter dem Stichwort Governance fordert Art.  20 Abs.  1 NIS-2-RL, „dass die Leitungsorgane wesentlicher und wichtiger Einrichtungen die von diesen Einrichtungen zur Einhaltung von Art. 21 ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit billigen, ihre Umsetzung überwachen und für Verstöße gegen diesen Artikel durch die betreffenden Einrichtungen verantwortlich gemacht werden können“. Weiter heißt es in Abs. 2: „Die Mitgliedstaaten stellen sicher, dass die Mitglieder der Leitungsorgane wesentlicher und wichtiger Einrichtungen an Schulungen teilnehmen müssen, und fordern wesentliche und wichtige Einrichtungen auf, allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.“

Art.  32 Abs.  6 UAbs.  1 NIS-2-RL verpflichtet die Mitgliedstaaten außerdem, sicherzustellen, dass eine natürliche Person, „die für eine wesentliche Einrichtung verantwortlich ist oder […] als Vertreterin der wesentlichen Einrichtung handelt, befugt ist zu gewährleisten, dass die Einrichtung diese Richtlinie erfüllt.“. Mithin sind als Leitungspersonen handelnde natürliche Personen für die Einhaltung der NIS-2-Anforderungen verantwortlich – und gemäß Art.  32 Abs.  6 UAbs.  1 S. 2 NIS-2-RL für etwaige Pflichtverstöße haftbar zu machen. Mit Regelungen wie u.a. der persönlichen Haftung der Geschäftsführung wird bezweckt, auf diese einen gewissen Druck zur Umsetzung der erforderlichen Cybersicherheitsmaßnahmen auszuüben.^[69] Nichtsdestotrotz wird vertreten, dass eine teleologische Auslegung der Verpflichtungen der NIS-2-RL sowie auch des NIS2UmsuCG unter Verhältnismäßigkeitsgesichtspunkten als eine absolute Pflicht zur Ergreifung der aufwendigen Maßnahmen nur dann bestehen soll, wenn diese der Aufrechterhaltung der Geschäftstätigkeit des jeweiligen Unternehmens dienen.^[70]

b) Umsetzungs-, Überwachungs- und Schulungspflicht für die Geschäftsleitung

Umgesetzt wird dieser Kurs, leicht abgewandelt, in §  38 BSIG-E.

aa) Billigungs- und Überwachungspflicht (§ 38 Abs. 1 BSIG-E)

Zunächst bestimmt § 38 Abs. 1 BSIG-E, dass Geschäftsleitungen besonders wichtiger und wichtiger Einrichtungen verpflichtet sind, die Risikomanagementmaßnahmen umzusetzen und die Umsetzung zu überwachen. Auffällig ist die Wortwahl im NIS2UmsuCG. Der deutsche Gesetzgeber verpflichtet Leitungsorgane – mit Blick auf die entsprechenden Vorgaben der NIS-2-RL überschießend – mithin nicht nur zu einer (bloß) formellen Zustimmung, sondern aktiv zur Umsetzung der Maßnahmen.^[71] Der Referentenentwurf erklärte Cybersicherheit eindeutig zur „Chefsache“^[72]; sinnvoll ist dies schon deswegen, weil die Geschäftsleitung über die notwendigen Entscheidungskompetenzen – nicht nur in Budgetfragen – verfügt.^[73] Ob die Regelung des § 38 Abs. 1 BSIG-E überhaupt erforderlich ist, wird teils mit Verweis auf die allgemeinen gesellschaftsrechtlichen Sorgfaltspflichten – die im Übrigen nicht nur für Geschäftsleiter (besonders) wichtiger Einrichtungen, sondern auch diejenigen anderer Unternehmen treffen – bezweifelt.^[74]

In der Entwurfsfassung vom 03.07.2023 enthielt §  38 Abs.  1 S.  2 BSIG-E noch den Zusatz, dass die Beauftragung eines Dritten zur Erfüllung der Verpflichtungen nach S. 2 unzulässig ist^[75]; im aktuellen Regierungsentwurf ist hiervon keine Rede mehr.^[76] Eine Delegation der Pflicht, die Risikomanagementmaßnahmen zu billigen und ihre Umsetzung zu überwachen – sei es intern oder extern – ist somit nicht (mehr) ausgeschlossen, was in der weit überwiegenden Anzahl der Fälle nicht nur sachgerecht, sondern mit Blick auf die Notwendigkeit der Hinzuziehung entsprechender (externer) Expertise schlicht notwendig sein dürfte.^[77]

bb) Schulungspflicht

Weiterhin „sollen“ sie gemäß Abs. 3 regelmäßig an Schulungen teilnehmen, „um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können“. Während sich für die Geschäftsleitung im Vergleich zum RefE vom 03.07.2023 keine Änderungen ergeben – die Schulungspflicht blieb bestehen – enthielt letzterer auch für Mitarbeiter der Geschäftsleitung einen eindringlichen Vorschlag dahingehend („[…] deren Mitarbeiter sollen regelmäßig an Schulungen teilnehmen […]“). Die letztlich vage Formulierung hinsichtlich der Schulungspflicht lässt indes eine handhabbare Konkretisierung hinsichtlich des nötigen Umfangs der Schulungen, die etwaige Erforderlichkeit eines Nachweises und genaue Vorgaben bzgl. der Regelmäßigkeit vermissen, was einerseits das Risiko unzureichender Umsetzung der Pflicht, andererseits auch mangelnde Rechtssicherheit aus Sicht der betroffenen Geschäftsleitungen mit sich bringt.^[78]

c) Haftung der Geschäftsleitung

Die Entwicklung der Regelung zur Haftung der Geschäftsleiter war wechselhaft und wurde – verständlicherweise – kritisch beobachtet: Die Entwurfsfassung vom 03.07.2023 enthielt noch eine Haftungsnorm, mit der erstmals eine eigenständige und umfassende Haftungsnorm für Complianceverstöße im Rahmen der Cybersecurity geschaffen worden wäre. Der deutsche Gesetzgeber hatte es sich ursprünglich zum Ziel gesetzt, in dieser Sache überschießend umzusetzen und dabei den durch die NIS-2-RL vorgegebenen Spielraum auszunutzen.^[79] § 38 Abs. 2 BSIG-E sieht in der aktuellen Fassung nur noch vor, dass Leitungsorgane von ihren Einrichtungen für Pflichtverletzungen nach den anwendbaren Regeln des Gesellschaftsrechts haftbar gemacht werden können. Relevante Schäden betreffen beispielsweise Kosten für die Zahlung von Lösegeld nach einem Ransomware-Angriff, Schäden infolge von Betriebsunterbrechungen, Reputationsschäden oder Rechts- und Regulierungskosten – auch in Zusammenhang mit Bußgeldern und Schadenersatzforderungen nach der DS-GVO.^[80]

Kritisiert wird – soweit sie in der jeweiligen Fassung vorhanden ist – der auslegungsbedürftige Wortlaut der Norm, der Legaldefinition der Geschäftsleitung in §  2 Nr.  13 BSIG-E^[81] und die Stellung des § 38 BSIG-E im bestehenden gesellschaftsrechtlichen Kontext.^[82] So ist die Geschäftsleitung – insbesondere die GmbH-Geschäftsführung und der AG-Vorstand – zur ordnungsgemäßen Unternehmensleitung verpflichtet und unterliegt der Legalitäts- und Legalitätskontrollpflicht.^[83] Die Legalitätspflicht beinhaltet, dass die Geschäftsleitung die Einhaltung geltender Rechtsvorschriften sowie anderer Verpflichtungen sowie eine ordnungsgemäße Buchführung sicherzustellen hat.^[84] Die Vorstandsmitglieder haben zudem sowohl einander als auch nachgeordneten Einheiten des Unternehmens gegenüber die Einhaltung der Gesetze und Rechtsvorschriften zu kontrollieren (Legalitätskontrollpflicht).^[85]Zu den Sorgfaltspflichten der Geschäftsleitung zählt – auch unabhängig von der NIS-2-RL oder dem BSIG-E – infolge der erheblichen Bedeutung von IT-Systemen für die Funktionsfähigkeit moderner Unternehmen grundsätzlich ein aktives Cybersicherheitsmanagement.^[86]

Abseits konkret gesetzlich vorgeschriebener Entscheidungen und der damit verknüpften Legalitätspflicht besteht indes ein weiter unternehmerischer Handlungsspielraum („Business Judgement Rule“), der jedenfalls für den AG-Vorstand in § 93 Abs. 1 S. 2 AktG explizit zum Ausdruck kommt^[87], aber auch für andere Geschäftsleitungen als ungeschriebener Grundsatz anerkannt ist.^[88] Eine Grenze dieser Entscheidungsfreiheit wird dort zu ziehen sein, wo die (aktive) Entscheidung gegen angemessene Cybersicherheitsmaßnahmen getroffen wird, da eine solche angesichts der gegebenen besorgniserregenden Bedrohungslage^[89] schlicht nicht von der unternehmerischen Ermessensausübung gedeckt sein kann.^[90] Die bloße Untätigkeit genügt im Zusammenhang mit der Business Judgement Rule zwar grundsätzlich nicht.^[91] Mit Blick auf den verbindlichen Maßnahmenkatalog des § 30 Abs. 2 S. 2 BSIG-E ist die Geschäftsleitung allerdings hinsichtlich des „Ob“ gebunden, sodass ein Unterlassen der Implementierung eines Cybersicherheits-Mindeststandards selbst bei (tatsächlich) verschwindend geringem Eingriffsrisiko nicht mehr durch die Business Judgement Rule gedeckt wäre.^[92]

Bei Pflichtverstößen normieren u.a. §  43 Abs.  2 GmbHG und §  93 Abs.  2 S.  1 AktG eine Innenhaftung ihrer Leitungsorgane. Damit existiert bereits nach geltender Rechtslage eine (Innen-)Haftung der Geschäftsleitung für Verstöße gegen Cybersicherheitspflichten, wenn auch durch § 38 Abs. 2 S.  1 BSIG-E die Leitungsorgane (noch) stärker in den Fokus gerückt werden.^[93]Zu beachten ist, dass in § 38 BSIG-E mindestens für AG, GmbH sowie GmbH & Co. KG keine eigenständige Haftungsgrundlage statuiert ist, sondern lediglich die Voraussetzung einer Haftung nach dem anwendbaren Gesellschaftsrecht beschrieben wird.^[94] Was die übrigen Gesellschaftsformen betroffener Unternehmen angeht, steht und fällt eine eigenständige Haftung nach der Auslegung des § 38 Abs. 2 S. 1 BSIG-E. Die Entwurfsbegründung sieht darin einen eigenständigen Auffangtatbestand zur Haftung.^[95] Als eigenständige Haftungsgrundlage kann § 38 Abs. 2 S. 1 BSIG-E damit nur dann herangezogen werden, wenn – so S. 2 – „die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach S. 1 enthalten“. Gegen einen eigenständigen Haftungstatbestand spricht aber der verweisende Charakter und das Fehlen jeglicher Formulierung von haftungsleitenden Maßstäben. Erst §  38 Abs.  2 S.  2 BSIG-E lenkt die Suche nach einem Haftungstatbestand wieder ins BSIG. Diese Rückverweisung geht aber ins Leere, da S. 1 ja gerade keinen eigenen Haftungstatbestand zu formulieren scheint und der restliche BSIG-E keinerlei weitere Haftungsnormen für die Geschäftsleitung enthält.^[96]Je nach Sichtweise dient §  38 Abs.  2 BSIG-E danach der Umsetzung eines grenzüberschreitenden (Mindest-)Haftungsregimes innerhalb der EU^[97] oder es ist fraglich, ob die NIS-2-RL an dieser Stelle überhaupt vollständig umgesetzt wurde.^[98]

Sanktions- und Durchsetzungsregime

Zuständig als Aufsichtsbehörde für die Durchführung der Befugnisse in Teil 7 des BSIG ist nach § 59 BSIG-E das BSI.

a) Bußgelder

§ 65 BSIG-E enthält in Abs. 1-4 diverse Ordnungswidrigkeitstatbestände, die mit Geldbußen in Höhe von bis zu zehn Millionen Euro oder 2 % des gesamten weltweiten Vorjahresumsatzes geahndet werden können.^[99]Die Höhe orientiert sich dabei an der DS-GVO oder dem DSA.

§ 65 Abs.  10 BSIG-E verhindert eine Kumulierung von Geldbußen, welche die Datenschutzaufsichtsbehörden auf Grundlage der DS-GVO verhängen, wenn sich der Verstoß gegen die DS-GVO und gegen das BSIG aus demselben Verhalten ergeben. Der Ausschluss der Kumulation ist aber einseitig: Der Wortlaut des §  65 Abs.  10 BSIG-E schließt die Kumulation von Geldbußen nur aus, wenn die Datenschutzbehörden zuerst tätig werden. Verhängt das BSI die Geldbuße zuerst, gilt dies jedoch nicht. Unabhängig von der einfachrechtlichen Lage dürfte eine Doppelsanktion aus (unions-) verfassungsrechtlichen Gründen trotzdem ausscheiden. Sowohl das Doppelbestrafungsverbot nach Art. 50 GRCh als auch nach Art. 103 Abs. 3 GG umfassen Verwaltungssanktionen durch Ordnungswidrigkeiten.^[100] Auffangend kann auch dem Rechtsstaatsgebot ein eingeschränktes Verbot der Doppelsanktionierung entnommen werden.^[101] Da es zwischen GRCh und GG in diesem Fall materiell zu keinem Unterschied kommt, kann die Frage der Anwendbarkeit des Grundrechtsschutzes im Bereich der mindestharmonisierenden NIS-2-RL hier offenbleiben.^[102]

b) Aufsichts- und Durchsetzungsmaßnahmen

Erst bei der Aufsicht ergeben sich größere Unterschiede zwischen den wichtigen und besonders wichtigen Einrichtungen: Für besonders wichtige Einrichtungen sieht §  61 BSIG-E umfassende Aufsichts- und Durchsetzungsmaßnahmen vor. So kann das BSI u.a. die Durchführung von Audits, Prüfungen oder Zertifizierungen von unabhängigen Stellen anordnen (Abs. 1) oder – nach Anhörung der betroffenen Einrichtungen und Wirtschaftsverbände – fachliche und organisatorische Anforderungen für die prüfenden Stellen festlegen (Abs.  2). Kontrollen können hier auch ohne weitere Verdachtsmomente durchgeführt werden. Für wichtige Einrichtungen sieht der § 62 BSIG-E einschränkend vor, dass nur bei berechtigter Sorge, dass z.B. Verpflichtungen i.S.d. § 30 Abs. 1 S. 1 BSIG-E nicht erfüllt werden, die Einhaltung der Risikomanagementpflichten überprüft werden und ggf. Maßnahmen nach §  61 getroffen werden können. Durchsetzbar sind die Anordnungen des BSI mit Zwangsgeldern i.H.v. bis zu 100.000,– Euro (§ 63 BSIG-E).

7. Fachgesetzliche Umsetzung

Die Zersplitterung des deutschen IT-Sicherheitsrechts wird mit dem NIS2UmsuCG nicht aufgehoben und trotz der enormen Aufwertung des BSIG wird dieses kein „IT-Sicherheitsgesetzbuch“. Daher erfolgt die Umsetzung der NIS-2-RL auch in Fachgesetzen, die bereits schon Cybersicherheitsanforderungen enthalten. Neben dem BSIG ändert das NIS2UmsuCG als Artikelgesetz weiterhin u.a. das BNDG, TDDDG, AtomG, EnWG, das Messstellenbetriebsgesetz, SGB V, SGB VI, SGB XI, das TKG sowie zahlreiche Verordnungen. Obwohl jeweils dieselben Vorschriften der NIS-2-RL umgesetzt werden, kommt es nach derzeitigem Stand jedoch gerade zwischen dem BSIG-E, TKG und EnWG zu unnötig voneinander abweichenden Begrifflichkeiten.^[103]Das EnWG und TKG setzen Art. 34 f. NIS-2-RL auch nicht vollständig um. So fehlt etwa im TKG eine Umsetzung der Bußgeldanforderungen der NIS-2-RL. Im EnWG erfolgt mit der Streichung von § 11 Abs. 1a bis 1g und Einführung eines neuen § 5c eine Bündelung von IT-Sicherheitsvorschriften im Energiebereich.

8. Zusammenspiel BSIG und KRITIS-DachG

Neben dem NIS2UmsuCG und dem darin zentralen BSIG-E muss zwingend auch der Entwurf zum KRITIS-DachG angesprochen werden, der in Umsetzung der CER-RL den physischen Schutz kritischer Anlagen bezweckt, während das BSIG weiterhin die Cybersicherheit regelt. Erst in der Zusammenschau kann ein umfassender Schutz kritischer Anlagen gelingen.^[104]Der offizielle Referentenentwurf zum KRITIS-DachG wurde am 21.12.2023 veröffentlicht, der Regierungsentwurf am 06.11.2024 im Kabinett verabschiedet.^[105] Beide Werke sind systematisch zusammenhängend zu betrachten.^[106] Nach anfänglichen begrifflichen Spannungen zwischen dem RefE des KRITIS-DachG und dem NIS2UmsuCG sind die Regierungsentwürfe nun aufeinander abgestimmt: Die Beibehaltung der bisherigen KRITIS-Systematik im BSIG-E dient der Herstellung von Kohärenz zum KRITIS-DachG. Im Regierungsentwurf zum KRITIS-DachG werden die oben eingeführten Begriffe zur Bestimmung kritischer Anlagen i.S.v. § 28 Abs. 7 BSIG-E in § 2 Nr. 1 – 4, § 4 Abs. 1 KRITIS-DachG wortlautgleich oder zumindest inhaltsgleich definiert, wodurch sich ein einheitlicher Anwendungsbereich ergibt. Die durch die Kategorie der kritischen Anlagen erhöhte Komplexität^[107] des Anwendungsbereichs des BSIG ist für einen kohärenten KRITIS Schutz daher erforderlich.

Ausdruck der engen Verbindung der beiden Gesetze ist auch die Einrichtung einer gemeinsamen Meldestelle für Sicherheitsvorfälle zwischen BSI und dem das KRITIS-DachG durchführenden Bundesamt für Bevölkerungsschutz und Katastrophenhilfe.^[108]Da das KRITIS-DachG erst nach dem Koalitionsbruch das parlamentarische Verfahren erreicht hat, ist eine Umsetzung noch in dieser Legislatur unwahrscheinlicher als beim NIS2UmsuCG. Auch bzgl. der Umsetzung der CER-RL hat die EU-Kommission ein Vertragsverletzungsverfahren eingeleitet.^[109]

IV. Regelung staatlicher Informationssicherheit

Auch wenn der Wirtschaftsschutz im Vordergrund der NIS-2- RL steht, adressiert die Richtlinie auch staatliche Stellen. Für den Anwendungsbereich stellt Art. 2 Abs. 1 UAbs. 1 NIS-2-RL klar, dass die Sektoren in den Anhängen I und II sowohl bei privaten als auch bei öffentlichen Einrichtungen maßgeblich sind.^[110] Im Anhang I benennt die NIS-2-RL in Nr.  10 den Sektor „Öffentliche Verwaltung“ als Sektor mit hoher Kritikalität. Kompetenzgemäß kann das NIS2UmsuCG im Bereich der staatlichen Informationssicherheit nur die Bundesverwaltung regeln. Die Umsetzung im Bereich der Länder- und Kommunalverwaltung obliegt den Bundesländern.^[111] Von der in Art. 2 Abs. 5 lit. a) NIS-2-RL vorgesehenen Öffnungsklausel des Anwendungsbereichs für Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene, also Kommunen, will keines der Bundesländer Gebrauch machen.^[112]

1. Systematik im neuen BSIG

Das NIS2UmsuCG nimmt die öffentliche Verwaltung nicht als Sektor auf, sondern etabliert mit § 29 BSIG-E ein eigenes Regelungsregime. Die Binnensystematik des §  29 BSIG-E gliedert sich folgendermaßen: §  29 Abs.  1 BSIG-E definiert die Einrichtungen der Bundesverwaltung, für die das BSIG zukünftig Anforderungen formuliert. Das sind nach § 29 Abs. 1 Nr. 1 BSIG-E insbesondere die Bundesbehörden. Ohne ersichtlichen Grund ausgenommen werden aber „Institutionen der sozialen Sicherung“ und die Bundesbank. § 29 Abs. 2 S. 1 BSIG-E beinhaltet, dass Einrichtungen der Bundesverwaltung grds. die Anforderungen besonders wichtiger Einrichtungen i.S.v. §  28 Abs.  1 BSIG-E zu erfüllen haben. Für die Kernnorm, die Pflicht zum Ergreifen von Risikomanagementmaßnahmen nach § 30 BSIG-E, macht § 29 Abs. 2 S. 2 BSIG-E jedoch eine folgenschwere Rückausnahme. Zu technischen und organisatorischen Schutzmaßnahmen verpflichtet werden dort allein die Bundesministerien und das Bundeskanzleramt. Sämtliche nachgeordneten Behörden in den Geschäftsbereichen der Ministerien werden pauschal und ohne Differenzierung eines Risikoprofils ausgenommen.^[113] Weitere Ausnahmen regelt §  29 Abs.  3 BSIG-E für sicherheitsrelevante Bundesbehörden. Nach § 29 Abs. 3 S. 2 BSIG-E soll dabei zumindest das Auswärtige Amt „ergebnisäquivalente“ Maßnahmen durch Verwaltungsvorschrift regeln. Dem in der Gesetzesbegründung zutreffend diagnostizierten „Defizit bei der Umsetzung von Maßnahmen zum Eigenschutz im Bereich der Informationssicherheit“^[114] und der erhöhten Bedrohungslage aufgrund jüngster geopolitischer Entwicklungen^[115] wird dieses Regelungsregime im Ergebnis in keiner Weise gerecht.^[116] Ausdrücklich aus Kostengründen hat der Bundestagsinnenausschuss eine Änderung am § 29 BSIG-E aber abgelehnt.^[117]

2. CISO Bund

Eine eher bei Gelegenheit geplante und nicht zwingend durch die NIS-2-RL vorgesehene neue Stelle ist ein Chief Information Security Officer für den Bund (CISO Bund). Die Errichtung einer zentral zuständigen Stelle für die Koordination der Cybersicherheit in der Bundesverwaltung war bereits Ziel der Cybersicherheitsagenda des BMI aus dem Juni 2022.^[118] Nach § 48 BSIG-E soll dieses Amt in der Form eines Koordinators für Informationssicherheit geschaffen werden. Die Vorschrift regelt jedoch lediglich, dass eine Bestellung überhaupt erfolgen soll, die organisationelle Anbindung soll dem Bestellungsakt durch das Kabinett vorbehalten bleiben.^[119] Im Gegensatz zu den Referentenentwürfen fehlt im Regierungsentwurf jedoch eine gesetzliche Festlegung von Aufgaben und Befugnissen.^[120] Insbesondere die Unabhängigkeit in der Wahrnehmung seiner Aufgaben, die für die Arbeit eines CISO fachlich erforderlich ist,^[121] wird nicht gesetzlich verankert. In seiner Ausgestaltung im RegE vermochte § 48 BSIG-E kaum einen sinnvollen Beitrag zur Cybersicherheit der Bundesverwaltung zu leisten.^[122] Diese Kritik hat die Fassung vom 29.11.2024 aufgegriffen und umgesetzt.

V. Fazit

Resümierend gilt es zwei Erkenntnisse nochmals hervorzuheben: Erstens ist der Staat ein schlechtes Vorbild und will selbst nicht einhalten müssen, was er zukünftig von der Wirtschaft verlangt. Diese pharisäische Haltung wirkt vor dem Hintergrund, dass Cyberbedrohungen keineswegs nur die Wirtschaft betreffen und die Digitalisierung öffentlicher Stellen im Gegensatz dazu notorisch schleppend verläuft, bestenfalls ironisch:

76 % der Befragten des letzten Bitkom-Wirtschaftsschutzberichts sehen die Verwaltung insgesamt deutlich schlechter auf Cyberangriffe vorbereitet als die Wirtschaft.^[123]Zweitens ergibt sich aus den Darstellungen oben ein nur schwer zu überblickender und rechtsunsicherer Anwendungsbereich. Sollte das NIS2UmsuCG in der 20. Legislatur nicht mehr beschlossen werden und der Diskontinuität anheimfallen, bestünde für einen neuen Umsetzungsanlauf enormes Verbesserungspotenzial, welches die Literatur mittlerweile klar herausgearbeitet hat. Es bleibt zu hoffen, dass dieses ausgeschöpft wird.

_{* Der Aufsatz baut auf den Vortrag des Autoren Ziegler auf der 48. DAFTA am 15.11.2024 auf. Sämtliche Links wurden zuletzt aufgerufen am 20.12.2024}

_{[1] RL (EU) 2016/1148}

_{[2] JOIN(2020) 18 final, S. 5.}

_{[3] Siehe zur deutschen Systematik unter der NIS-RL ausführlich bei Vogel/Ziegler, International Cybersecurity Law Review, 2023 vol. 4, 1 (6 ff.).}

_{[4] Vgl. JOIN(2020) 18 final, S. 5. Trotzdem ist die NIS-2-RL nach Art. 5 mindestharmonisierend und lässt weitergehende nationale Regelungen zu.}

_{[5] RL (EU) 2022/2557; weiterführend zur RL bei Hornung, CR 2024, 229 ff.}

_{[6] VO (EU) 2024/2847.}

_{[7] Zum Regulierungskonzept des CRA ausführlich bei Heckmann/Ziegler, in: Heckmann/Paschke CRA, 2025, Art. 1 Rn. 10 ff., 16 ff. (i.E.).}

_{[8] Abrufbar unter https://ag.kritis.info/wp-content/uploads/2023/07/NIS2UmsuCG-Referentenentwurf-BMI-CI1-Bearbeitungsstand-03042023.pdf.}

_{[9] Abrufbar unter https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/referentenentwuerfe/CI1/NIS-2-RefE.pdf?__blob=publicationFile&v=7.}

_{[10] BMI, Pressemitteilung v. 24.07.2024, vgl. auch https://www.bmi.bund.de/nis2}

_{[11] BT-Drs. 20/13184.}

_{[12] SPD/Bündnis 90/Die Grünen/FDP, Mehr Fortschritt wagen. Bündnis für Freiheit, Gerechtigkeit und Nachhaltigkeit, 2021, S. 16}

_{[13] Zur Notwendigkeit der Erarbeitung BVerfGE 158, 170 (186 ff., Rn. 34 ff.).}

_{[14] Siehe zu den Hintergründen der Debatte um die Unabhängigkeit des BSI bei Schallbruch, DuD 2021, 229 ff. und Ziegler, Schrödingers BSI-Präsidentin?, VerfBlog v. 23.08.2023.}

_{[15] Vgl. für einen letzten inhaltlichen Stand vor dem Ende der Koalition bei Stiebel, BSI-Unabhängigkeit rückt näher, Tagesspiegel Background Cybersecurity v. 05.09.2024.}

_{[16] Vgl. zur gesamten Anhörung https://www.bundestag.de/dokumente/textarchiv/2024/kw45-pa-inneres-cyber-1026336.}

_{[17] Siehe hierzu GDD, Stellungnahme zu BT-Drs. 20/13184, S. 4}

_{[18] BMI, Entwurf eines Zeitplans zur Umsetzung der NIS-2-RL, Stand 23.07.2024.}

_{[19] Siehe für einen Überblick der Gründe für und gegen eine Verabschiedung bei Rebhan, NIS-2-Gesetz frühestens im Herbst 2025 erwartet, Tagesspiegel Background Cybersecurity v. 28.11.2024.}

_{[20] Abrufbar unter https://ag.kritis.info/wp-content/uploads/2024/12/241202- FH-NIS2UmsuCG-mit-Aend.BT-Druck.pdf.}

_{[21] Eine vollständige Umsetzung erfolgte (Stand 28.11.2024) bisher nur in Litauen, Italien, Kroatien und Belgien.}

_{[22] Siehe zu Funktion und Inhalt bei Karpenstein, in: Grabitz/Hilf/Nettesheim, 83. EL Juli 2024, AEUV Art. 258 Rn. 32 ff.}

_{[23] EU-Kommission, Pressemitteilung v. 28.11.2024, abrufbar unter: https://ec.europa.eu/commission/presscorner/detail/de/inf_24_5988.}

_{[24] St. Rspr. seit EuGH, Rs. C-33/70, ECLI:EU:C:1970:118 (1213) – S.A.C.E.}

_{[25] Vgl. Frenz, Europarecht, 3. Aufl. 2012, Rn. 51.}

_{[26] Empfehlung der Kommission 2003/361/EG vom 06.05.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl. L 124 v. 20.05.2003, S. 36.}

_{[27] Art. 1 Abs. 1 NIS-2-RL; ErwG 3 S. 5 f. und ErwG 6 S. 1 NIS-2-RL.}

_{[28] ErwG 6 S. 1 NIS-2-RL.}

_{[29] Der nach Art.  170 Abs.  1 AEUV (hier für Telekommunikationsinfrastruktur) ebenfalls ein legitimes Regelungsziel europäischen Rechts darstellt, vgl. Leisterer, Internetsicherheit in Europa, 2018, S. 56 f.}

_{[30] Siehe hierzu bei Kipker/Dittrich, MMR 2023, 481 (482); Monschke/Copeland, CCZ 2022, 152}

_{[31] Während der aktuellen KRITIS-Regulierung des BSIG zum Stichtag 30.09.2024 1127 Betreiber mit 2086 Anlagen unterfallen, vgl. https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/KRITIS-inZahlen/kritis-in-zahlen_node.html, wird eine Erweiterung auf ca. 29.000 Betreiber erwartet, BSI, Die Lage der IT-Sicherheit in Deutschland 2024, S. 84 sowie BT-Drs. 20/12184, S. 103.}

_{[32] Integriert in diese Kategorien adressiert § 28 BSIG-E auch qualifizierte Vertrauensdiensteanbieter, Top Level Domain Registries oder DNS-Diensteanbieter. Auf diese wird im Einzelnen nicht weiter eingegangen. Die Darstellung hier konzentriert sich auf die zugrunde liegende Systematik zur Bestimmung des Anwendungsbereichs. Wesentlicher Unterschied bei den eben genannten Betreibern ist nur, dass für diese die Schwellenwerte der Unternehmenskennzahlen nicht gelten und eine Anwendbarkeit unabhängig davon begründet werden kann. Für Anbieter öffentlich zugänglicher Telekommunikationsdienste und Betreiber öffentlicher Telekommunikationsnetze gelten nur andere Unternehmenskennzahlen, § 28 Abs. 1 Nr. 3 und Abs. 2 Nr. 2 BSIG-E.}

_{[33] Schmidt, RDi 2024, 550 (552); Kipker/Dittrich, MMR 2023, 481 (481).}

_{[34] Siehe hierzu bereits oben bei I. 1.}

_{[35] Kritisch daher bzgl. grenzüberschreitender Sachverhalte, Schmidt, RDi 2024, 550 (552)}

_{[36] Art. 2 des Anhangs zu Empfehlung 2003/361/EG.}

_{[37] Ob diese Ausweitung jedoch „deutlich“ ausfällt, wie von BDI, Stellungnahme zum NSI2UmsuCG v. 31.10.2024, S. 12 vertreten, bleibt fraglich.}

_{[38] § 1 Abs. 2 S. 3 BSI-KritisV, neu gef. m.W.v. 01.01.2022 durch VO v. 06.09.2021 (BGBl. I S. 4163).}

_{[39] Umfassend zum Institut der gemeinsamen Betreiber bei Leßner/Mayr, MMR 2024, 148 (149 ff.)}

_{[40] Geregelt insb. in § 31 BSIG-E.}

_{[41] Schmidt, RDi 2024, 550 (551); Füllsack/Lenger, K&R 2024, 31 (32); a.A. wohl Kipker/Dittrich, MMR 2023, 481 (482).}

_{[42] Leßner/Mayr, MMR 2024, 148 (149); Hessel/Callewaert/Schneider, RDi 2024, 208 (209 f.).}

_{[43] Ausführlich bei Leßner, MMR 2024, 226 (227 f.).}

_{[44] Hessel/Callewaert/Schneider, RDi 2024, 208 (210).}

_{[45] Einschlägig wäre in Anlage 1 zum BSIG-E Nr. 6.1.5, 6.1.10. und 6.1.11.}

_{[46] Vgl. BT-Drs. 20/13184, S. 136}

_{[47] So auch Schmidt, RDi 2024, 550 (552) und Hessel/Callewaert/Schneider, RDi 2024, 208 (210)}

_{[48] Siehe zu den neuen Sektoren bereits bei Vogel/Ziegler, International Cybersecurity Law Review, 2023 vol. 4, 1 (15 f.).}

_{[49] Vgl. COM(2020) 823 final, S. 5 sowie ErwG 6 NIS-2-RL.}

_{[50] Hierbei dürfte es sich um einen Umsetzungsfehler handeln, da Anhang II Nr. 3 der NIS-2-RL auf Art. 3 Nr. 14 REACH-VO, also Händler, verweist.}

_{[51] VO (EG) 1907/2006.}

_{[52] Siehe zur Berechnung ausführlich Hessel/Zimmermann, Arbeitspapier zum Anhang II Nr. 3 der NIS-2-Richtlinie: NIS2 und REACH, S. 2, 5 ff.}

_{[53] Ritter, RDV 2023, 152 (155).}

_{[54] Schmidt, RDi 2024, 550 (553).}

_{[55] Siehe § 30 Abs. 1 S. 1 BSIG-E sowie Art. 26 Nr. 3 lit. b) NIS2UmsuCG zur Änderung von § 165 TKG, der den „gefahrenübergreifenden Ansatz“ näher erläutert; Ritter, RDV 2023, 152 (155)}

_{[56] Ritter, RDV 2023, 152 (155).}

_{[57] BT-Drs. 20/13184, S. 150: Ein ISO 27001-Zertifikat belegt – jedenfalls grundsätzlich – die Umsetzung der Mindestanforderungen nach § 44 Abs. 1 S. 1 und Abs. 2 S. 1 BSIG-E, wodurch wiederum die Erfüllung der Vorgaben nach § 30 BSIG-E gewährleistet ist, § 44 Abs. 3 S. 1 BSIG-E.}

_{[58] Schmidt, RDi 2024, 550 (553); siehe zu dieser Herausforderung auch Keppeler/Poncza/Schneider, CR 2023, 787 (787).}

_{[59] Wobei die kritisierte Umsetzung in einem Maßnahmenkatalog ja bereits durch Art. 21 NIS-2-RL vorgezeichnet war. Siehe für einen besseren Alternativvorschlag anstelle einer 1:1 Übernahme des Maßnahmenkatalogs bei Kipker, Stellungnahme zu BT-Drs. 20/13184, S. 25.}

_{[60] BT-Drs. 20/13184, S. 2, 89 f.}

_{[61] Werry/Éles, MMR 2024, 829 (830).}

_{[62] Schmidt, RDi 2024, 550 (553); BT-Drs. 20/13184, S. 139.}

_{[63] BT-Drs. 20/13184, S. 139.}

_{[64] Hötzel/Völkl, BC 2024, 402 (402).}

_{[65] Ritter, RDV 2023, 152 (155).}

_{[66] In diesem Fall handelt es sich nicht um eine Abschluss-, sondern um eine Fortschrittsmeldung, § 32 Abs. 1 S. 1 BSIG-E.}

_{[67] Siehe auch GDD, Stellungnahme vom 29.10.2024, Ausschuss-BT-Drs. 20(4)522, S. 6.}

_{[68] C(2024) 7151 final.}

_{[69] Grosmann/Gerecke/Aschenbrenner, CR 2024, 665 (667) mit Verweis auf ErwG 137 S. 2 NIS-2-RL.}

_{[70] Keppeler/Poncza/Schneider, CR 2023, 787 (790).}

_{[71] So auch Grosmann/Gerecke/Aschenbrenner, CR 2024, 665 (667).}

_{[72] Keppeler/Poncza/Schneider, CR 2023, 787 (790).}

_{[73] Grosmann/Gerecke/Aschenbrenner, CR 2024, 665 (668).}

_{[74] DAV, Stellungnahme 35/2024, S. 2; a.A. Kipker, Stellungnahme vom 31.10.2024, Ausschuss-BT-Drs. 20(4)523 G, S. 30.}

_{[75] RefE vom 03.07.2023, S. 46.}

_{[76] BT-Drs.20/13184, S. 41.}

_{[77] So auch DAV, Stellungnahme 35/2024, S. 4}

_{[78] Ebenso Kipker, Stellungnahme vom 31.10.2024, Ausschuss-BT-Drs. 20(4)523 G, S. 31.}

_{[79] Vgl. Diskussionspapier des BMI vom 27.09.2023.}

_{[80] Grosmann/Gerecke/Aschenbrenner, CR 2024, 665 (670).}

_{[81] Schaller/Lindberg ZD-Aktuell 2024, 01931.}

_{[82] Grosmann/Gerecke/Aschenbrenner, CR 2024, 665 (668).}

_{[83] Grosmann/Gerecke/Aschenbrenner, CR 2024, 665 (668): Das Haftungskonzept der §§ 93 Abs. 2 S. 1 AktG, 43 Abs. 2 GmbHG findet jedenfalls teilweise auch auf andere Gesellschaftsformen Anwendung.}

_{[84] Wicke, in: Wicke, GmbHG, § 43 Rn. 6; Koch, in: Koch, AktG, § 93 Rn. 9 ff}

_{[85] Koch, in: Koch, AktG, § 93 Rn. 17 m.w.N.}

_{[86] von dem Bussche, in: Kipker, Cybersecurity, Kap. 6 Rn. 45 ff.}

_{[87] Koch, in: Koch, AktG, § 93 Rn. 26.}

_{[88] Wicke, in: Wicke, GmbHG, § 43 Rn. 6.}

_{[89] BSI, Die Lage der IT-Sicherheit in Deutschland 2024, S. 90.}

_{[90] Grieger, WM 2021, 8 (12).}

_{[91] Koch, in: Koch, AktG, § 93 Rn. 35.}

_{[92] Grosmann/Gerecke/Aschenbrenner, CR 2024, 665 (669).}

_{[93] Grosmann/Gerecke/Aschenbrenner, CR 2024, 665 (668)}

_{[94] Grosmann/Gerecke/Aschenbrenner, CR 2024, 665 (669).}

_{[95] BT-Drs. 20/13184, S. 146.}

_{[96] Schmidt, RDi 2024, 550 (555)}

_{[97] Grosmann/Gerecke/Aschenbrenner, CR 2024, 665 (669).}

_{[98] Schmidt, RDi 2024, 550 (555).}

_{[99] Bspw. wenn Risikomanagementmaßnahmen i.S.d. §  30 Abs.  1 S.  1 BSIG-E nicht, nicht vollständig oder nicht rechtzeitig umgesetzt werden, § 65 Abs. 2 Nr. 2 i.V.m. Abs. 5 Nr. 1 lit. a) bzw. Abs. 6 BSIG-E.}

_{[100] Vgl. Aust, in: Huber/Voßkuhle, 8. Aufl. 2024, GG Art. 103 Rn. 230.}

_{[101] BVerfGE 28, 264 (276 ff.).}

_{[102] BVerfGE 152, 216 (248, Rn. 81).}

_{[103] GDD, Stellungnahme zu BT-Drs. 20/13184, S. 4.}

_{[104] Kipker/Dittrich ZRP 2023, 230 (230).}

_{[105] Als BT-Drs. 20/13961 wurde das KRITIS-DachG am 05.12.2024 in erster Lesung beraten.}

_{[106] So schon Kipker/Dittrich MMR 2023, 481 (483).}

_{[107] „KRITISch“ zur Komplexität AG Kritis, Stellungnahme zum RegE NIS2UmsuCG v. 2.10.2024, S. 5.}

_{[108] § 32 BSIG-E; § 18 KRITIS-DachG-E.}

_{[109] EU-Kommission, Pressemitteilung v. 28.11.2024, abrufbar unter: https://ec.europa.eu/commission/presscorner/detail/de/inf_24_5988.}

_{[110] Die Begründung des Regierungsentwurfs weist als relevanten Anwendungsbereich die wirtschaftliche Betätigung der öffentlichen Hand aus, BT-Drs. 20/13184, S. 135}

_{[111] Eine rechtzeitige Umsetzung der NIS-2-RL gelang lediglich Bayern durch Änderung des Bayerischen Digitalgesetzes (BayDiG), BayGVBl. 2024, S. 474, und Sachsen durch Änderung des Sächsischen Informationssicherheitsgesetzes, SächsGVBl. 2024, S. 590. Im Übrigen divergiert die Umsetzung zwischen dem Einsatz von Rechtsverordnungen und Verwaltungsvorschriften. Vgl. zum Umsetzungsstand zum Zeitpunkt des Fristablaufs nach Art.  41 Abs.  1 NIS-2-RL bei Hilbricht, Wer die Frist geschafft hat – und wer nicht, Tagesspiegel Background Cybersecurity v. 17.10.2024.}

_{[112] Vgl. zu den Hintergründen dieser Entscheidung und zur kommunalen Informationssicherheit allgemein bei Martini/Botta, LKV 2024, 293 ff. und Ziegler, DSRITB 2023, 349 ff.}

_{[113] Was im konkreten Fall des BSI zum paradoxen Ergebnis führt, dass die nationale Cybersicherheitsbehörde keinerlei Verpflichtung zum Bemühen von Cybersicherheit in eigenen Angelegenheiten unterliegt.}

_{[114] BT-Drs. 20/13184, S. 138.}

_{[115] BSI, Die Lage der IT-Sicherheit in Deutschland 2024, S.  44 ff., zur Gefährdungslage der Bundesverwaltung explizit auf S. 73 ff.}

_{[116] So auch die einhellige Auffassung der Sachverständigen in der Anhörung des Innenausschusses vom 04.11.2024}

_{[117] Gesamtübersicht Formulierungshilfe v. 29.11.2024, S.  3, abrufbar unter: https://ag.kritis.info/wp-content/uploads/2024/12/241202-Uebersicht_Aenderungen.pdf.}

_{[118] BMI, Cybersicherheitsagenda, 2022, S. 10.}

_{[119] BT-Drs. 20/13184, S. 155.}

_{[120] §§ 49 und 50 sämtlicher Referentenentwürfe.}

_{[121] Was verfassungsrechtlich jedoch Probleme hinsichtlich Art. 20 Abs. 1, 2 GG aufwirft.}

_{[122] So auch die Kritik bei AG Kritis, Stellungnahme zum RegE NIS2UmsuCG v. 02.10.2024, S. 7 und Schmidt RDi 2024, 550 (556).}

_{[123] Bitkom, Wirtschaftsschutz 2024, 28.08.2024, S.  20, abrufbar unter https://www.bitkom.org/sites/main/files/2024-08/240828-bitkomcharts-wirtschaftsschutz-cybercrime.pdf.}