NIS2: Aktueller Referentenentwurf geleakt | heise online

Der jetzt geleakte Referentenentwurf des NIS2-Umsetzungsgesetzes vom 2. Juni scheint die Fassung zu sein, die derzeit zwischen Bundesministerium des Innern (BMI), Bundeskanzleramt (BKAmt) und Bundesfinanzministerium (BMF) abgestimmt wird. Der aktuelle NIS2-Entwurf ist wie alle bisherigen öffentlich gewordenen Fassungen bei der unabhängigen Interessensgemeinschaft AG KRITIS, bei der der Autor Gründer und Sprecher ist, öffentlich abrufbar.

Was gibt es Neues? Eine Differenzanalyse zum vorherigen Leak des Referentenentwurfs vom 26.5.2025 zeigt einige interessante Punkte auf.

Geltungsbereich reduziert

Die vermutlich wichtigste Änderung für alle Betroffenen ist im § 28 (Besonders wichtige Einrichtungen und wichtige Einrichtungen) Absatz 3 zur Bestimmung der Einrichtungsart vorgenommen worden, denn der Absatz wurde neu beschrieben:

„Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind.“

Die Gesetzesbegründung hierzu erklärt diese Änderung so:

„Damit wird im Einzelfall vermieden, dass eine nur geringfügige Nebentätigkeit zu einer unverhältnismäßigen Identifizierung als wichtige oder besonders wichtige Einrichtung führt.“

Weniger Einfluss durch die Wirtschaft

In § 56 (Ermächtigung zum Erlass von Rechtsverordnungen) Absatz 4 wurde gestrichen, dass Wissenschaft, KRITIS-Betreiber und ihre Verbände angehört werden müssen, wenn in der Kritisverordnung definiert wird, welche Dienstleistungen als KRITIS und welche Anlagen als kritische Anlagen im Sinne des Gesetzes gelten.

Was ist ein erheblicher Sicherheitsvorfall?

In § 56 (Ermächtigung zum Erlass von Rechtsverordnungen) Absatz 5 wurde ebenfalls gestrichen, dass die Wissenschaft und die betroffenen Wirtschaftsverbände angehört werden müssen bei der Bestimmung durch eine Rechtsverordnung, wann und warum es sich um einen erheblichen Sicherheitsvorfall handelt. Warum diese Änderung so spannend ist, ergibt sich aus einigen gesetzlichen Vorgaben, die zukünftig zu berücksichtigen sind.

Ein „erheblicher Sicherheitsvorfall“ ist nach § 2 (Begriffsbestimmungen) Nummer 11 ein Sicherheitsvorfall, der:

1. a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder
2. b) andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann,

sofern durch die Rechtsverordnung nach § 56 Absatz 5 keine konkretisierende Begriffsbestimmung erfolgt.

Betreiber kritischer Anlagen sind nach § 32 (Meldepflichten) Absatz 3 dazu verpflichtet, „Angaben zur Art der betroffenen Anlage und der kritischen Dienstleistung sowie zu den Auswirkungen des Sicherheitsvorfalls auf diese Dienstleistung zu übermitteln, wenn ein erheblicher Sicherheitsvorfall Auswirkungen auf die von ihnen betriebene kritische Anlage hat oder haben könnte.“

Nach § 35 (Unterrichtungspflichten) Absatz 1 müssen bei erheblichen Sicherheitsvorfällen und Anordnung durch das BSI die Empfänger der Dienste von betroffenen Einrichtungen – und damit nicht nur von KRITIS-Betreibern – unverzüglich informiert werden. Nach § 36 (Rückmeldungen des Bundesamtes gegenüber meldenden Einrichtungen) Absatz 2 kann das BSI die betroffene Einrichtung verpflichten, die Öffentlichkeit über den erheblichen Sicherheitsvorfall zu informieren oder das sogar selbst tun.

BSI gemeinsam mit BnetzA

Die Gesetzesbegründung zu § 5c (IT-Sicherheit im Anlagen- und Netzbetrieb, Festlegungskompetenz) Absatz 2 wurde erweitert um die folgenden und sehr begrüßenswerten Abschnitte zur Zusammenarbeit von BSI und Bundesnetzagentur (BnetzA):

„Darüber hinaus erfolgt mit der Neuregelung eine Konsolidierung der bisherigen Zuständigkeiten von BNetzA und BSI im Hinblick auf konventionelle und digitale Dienstleister im Sektor Energie.“

Bislang oblag die Aufsicht über KRITIS-Betreiber im Sektor Strom hinsichtlich der Einhaltung von Cybersicherheitsmaßnahmen hauptsächlich der BNetzA. Über die jetzt vorgesehene Einvernehmensregelung bekommt das BSI größeren Einfluss auf die IT-Sicherheitsanforderungen im Sektor Energie. Das BSI kann so ein einheitliches Sicherheitsniveau über alle KRITIS-Sektoren sicherstellen, was es in seiner Rolle als zentrale Cybersicherheitsbehörde stärkt.

IT-Grundschutz erhält Gesetzesrang

Die Gesetzesbegründung zu § 44 (Vorgaben des Bundesamtes) Absatz 1 wurde geändert. Bislang erhielt der IT-Grundschutz lediglich für die Bundesministerien und das Bundeskanzleramt mittelbaren Gesetzesrang. Nun gilt das für alle Einrichtungen der Bundesverwaltung.

Darüber hinaus gab es noch einige kleinere Änderungen an verschiedenen Stellen, unter anderem zur Rolle des BSI und zu den Informationssicherheitsbeauftragten der Einrichtungen der Bundesverwaltung. Insgesamt behalten die wesentlichen Kritikpunkte der AG KRITIS aus der schriftlichen Stellungnahme zum Referentenentwurf des NIS2UmsuCG vom 2.10.2024 unveränderte Gültigkeit.

(odi)