Deep Dive NIS2 - Eine Reise durch den Vorschriftendschungel (Teil 1)

Niklas König lacht
Niklas Koenig
16. November 2024
10 Minuten

Wir starten heute mit unserer Blogreihe zu NIS2 und stellen Ihnen die Gesetzessystematik vor. In Teil 1 unseres Deep Dive navigieren wir Sie durch den gesamten Vorschriftendschungel, erklären die wesentlichen Unterschiede zwischen NIS2 und KRITIS und verschaffen Ihnen einen Überblick über die nationale Gesetzgebung in Deutschland und Österreich mit einem Exkurs in die Schweiz und zur Fragestellung, inwiefern NIS2 auch im außereuropäischen Raum mittelbar Wirkung entfaltet.

Die entsprechenden Vorschriften haben wir für Sie unter jedem Abschnitt im Volltext verlinkt.

EU-Richtlinie und Umsetzungsgesetz

Auf EU-Ebene ist zunächst zwischen Richtlinien und Verordnungen zu unterscheiden. Eine EU-Verordnung ist ein verbindlicher Rechtsakt, der unmittelbar Gesetzeskraft entfaltet (Beispiel: Datenschutz-Grundverordnung). Eine EU-Richtlinie (Directive) entfaltet allerdings noch keine unmittelbare Rechtswirkung für die Bürger:innen eines Mitgliedstaates, sondern muss durch das jeweilige Land noch in unmittelbar geltendes nationales Recht umgesetzt werden. Um der NIS2 Richtlinie Wirkkraft zu verleihen, bedarf es also eines weiteren Umsetzungsgesetzes (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Wir hatten in unserem Beitrag von Oktober 2024 bereits über das NIS2UmsuCG berichtet, das zum jetzigen Zeitpunkt (November 2024) noch nicht in Kraft getreten ist.

NIS-2 Richtlinie

Anhang I NIS-2 (Sektoren mit hoher Kritikalität)

                 Anhang II NIS-2 (Sonstige kritische Sektoren)

KRITIS

Im deutschen Recht gibt es eine ähnliche Systematik. In Deutschland ist zwischen formellen Gesetzen und Rechtsverordnungen (bspw. der StVO) zu unterscheiden. Eine solche deutsche Verordnung (VO) ist ebenfalls verbindlich, entfaltet also auch direkte Rechtskraft für die Bürger:innen. Sie wird aber – anders als ein Gesetz – von der Exekutive erlassen und durchläuft nicht das gesamte Gesetzgebungsverfahren im Bundestag und Bundesrat. Die VO steht quasi in der Nahrungskette der Rechtsvorschriften weiter unten, kann also von einem formellen Gesetzübertrumpft werden. Mit einer solchen VO haben wir es auch im Bereich der kritischen Infrastrukturen zu tun. Sie werden später in Teil 4 unserer Blogreihe sehen, dass auch die vom BSI als Orientierungshilfe zur Verfügung gestellte Betroffenenprüfung zunächst mit einem Ausflug zu den acht KRITIS-Sektoren beginnt. Dies liegt daran, dass die von der EU parallel zu NIS2 geregelten KRITIS-Vorschriften, die wir Ihnen im Blogbeitrag Nr. 3 näher vorstellen werden, vorrangig geprüft werden müssen.

Auch im Bereich KRITIS gibt es eine EU-Richtlinie (sog. Critical Entities Resilience/CER-Richtlinie), die noch in nationales Recht umgesetzt werden muss. Während sich die NIS2-Richtlinie auf das Thema Cybersecurity für Unternehmen im Allgemeinen richtet, fokussieren sich die CER-Richtlinie und die vom deutschen BSI erlassene KRITIS-VO auf die auf die allgemeine physische Resilienz und Ausfallsicherheit „kritischer Infrastrukturen“ wie bspw. Unternehmen im Sektor Strom- oder Lebensmittelversorgung. Vom Schutzumfang sind aber hier nicht nur die von NIS2 geschützten „informationstechnischen Systeme“ umfasst, sondern sämtliche notwendige Unternehmensprozesse der betroffenen kritischen Einrichtungen.

Grob zusammengefasst schützt NIS2 branchenübergreifend die IT-Sicherheit von Unternehmen in großen Teilen der deutschen und europäischen Wirtschaft, wobei die Vorschriften zu KRITIS nur „kritische Infrastrukturen“ schützen sollen. Dafür aber für diese Art von Unternehmen deutlich über den Bereich IT-Sicherheit hinausgehen. Logischerweise gilt NIS2 natürlich auch für die Betreiber kritischer Infrastrukturen in Bezug auf deren IT. Umgekehrt sind aber Unternehmen, die „nur“ in die NIS2 Sektoren fallen, nicht von den KRITIS-Vorschriften betroffen. Im Blogbeitrag Nr. 3 unseres Deep Dive werden Sie mehr dazu erfahren.

EU-Richtlinie über die Resilienz kritischer Einrichtungen (CER Richtlinie)

KRITIS-VO (Verordnung zur Bestimmung Kritischer Infrastrukturen)

NIS2 in Deutschland

Mit einem endgültigen Inkrafttreten des NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) ist nach aktuellem Kenntnisstand wohl erst im März 2025 zu rechnen. Der Wortlaut des Gesetzes steht allerdings in großen Teilen schon fest. Sollten Sie von NIS2 betroffen sein, ist es deswegen ratsam, bereits jetzt alle wichtigen Vorbereitungshandlungen zutreffen, da mit grundlegenden inhaltlichen Änderungen des NIS2UmsuCG nicht mehr zu rechnen ist. In Teil 5 unserer Blogreihe stellen wir Ihnen den Pflichtkatalog von NIS2 im Detail vor.

Falls Sie sich für die Entwicklung des laufenden Gesetzgebungsverfahrens interessieren, können Sie diese im Detail hier nachvollziehen.

Referentenentwurf vom 22.07.2024 zum NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetz

Sektorspezifische Vorschriften in Deutschland

Für die folgenden Sektoren werden die Pflichten zur Verbesserung der Cybersicherheit nicht (ausschließlich) im NIS2UmsuCG, §§ 8a und 8b des BSIG oder in der KRITIS-VO geregelt, sondern in Spezialgesetze integriert:

Für Anbieter von DNS, TLD, Cloud, Rechenzentren, CDNs, Manage Services und Security Services, Online-Marktplätzen, Suchmaschinen, sozialen Netzwerke und Vertrauensdiensten wird es einen Implementing Act geben, der das NIS2UmsuCG konkretisiert.

Für Betreiber öffentlicher TK-Netze und TK-Dienste werden bereichsspezifische Pflichten im neuen Telekommunikationsgesetz geregelt.

Betreiber von Energieversorgungsnetzen und Energieanlagen erhalten durch das neue EnWG und den BNetzA-Sicherheitskatalog Vorgaben zu äquivalenten Maßnahmen zur Verbesserung der Cybersicherheit.

Einige Einrichtungen im Finanzsektor und etwaige mit Finanzunternehmen verbundene Drittdienstleister erhalten durch die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) einen Katalog mit Maßnahmen.

Mehr Infos dazu finden Sie hier und in unserem Blogbeitrag Nr. 3.

EU-Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA)

NIS2 in Österreich

Österreich hat ähnlich wie Deutschland das Gesetzgebungsverfahren für das NIS2-Umsetzungsgesetz zum 17.10.2024 noch nicht abschließen können. Der Gesetzesentwurf scheiterte bislang an der notwendigen Zweidrittelmehrheit ist und wurde daher noch nicht beschlossen.

Weitere Infos zum aktuellen Gesetzesentwurf finden Sie hier.

Entwurf des Österreichischen Netz- und Informationssicherheitsgesetzes 2024 (NISG 2024)

NIS2 außerhalb des Europäischen Wirtschaftsraums

Auf Einrichtungen, die sich außerhalb der EU befinden, findet NIS2 keine direkte Anwendung. Allerdings trifft die in den Anwendungsbereich von NIS2 fallenden Unternehmen die Pflicht, für die Sicherheit "in der gesamten Lieferkette" zu sorgen und sämtliche sicherheitsbezogene Aspekte der Beziehungen zwischen verschiedenen Unternehmen innerhalb dieser Kette zu beachten.

Somit könnten Unternehmen aus der Schweiz oder UK möglicherweise mittelbar von NIS2 betroffen sein.

Wenn Sie mehr zum Thema NIS2 erfahren wollen, melden Sie sich über unser Kontaktformular. Das CISO-Beratungsteam für IT-Sicherheit steht Ihnen in der Zwischenzeit für alle Fragen zur Verfügung.

Autorin: Johanna Heinrich

Senior Legal Consultant

Zwei Geschäftsmänner Icon
Close Icon

Jetzt Angebot anfordern

Informationen zur Verarbeitung Ihrer personenbezogenen Daten und zum Widerspruch finden Sie in unseren Datenschutzhinweisen.

Close Icon

Jetzt Termin buchen