Home
Intern
veröffentlicht am 23. Mai 2024
Das NIS2UmsuCG soll die NIS-2-Richtlinie der EU bis 17.10.2024 umsetzen. Nach langer Unklarheit über die genauen Regelungen liegt nun der Referentenentwurf vor – viele Unternehmen auch der Energiebranche sind betroffen.
Am 07.05.2024 hat das Bundesinnenministerium den Referentenentwurf für das neue NIS2UmsuCG veröffentlicht. In 29 Artikeln werden insgesamt 26 Gesetze geändert, um den Cybersicherheitsvorgaben aus der NIS-2-Richtlinie der EU zu genügen. Da der Gesetzgebungsvorgang noch einige Zeit in Anspruch nehmen wird, ist fraglich, ob der Termin zum 17.10.2024 eingehalten werden kann. Ist das nicht der Fall, entfaltet zwar weder die Richtlinie noch das noch nicht in Kraft getretene Umsetzungsgesetz eine Wirkung für die betroffenen Unternehmen, allerdings braucht auch die Umsetzung der Vorgaben aus dem NIS2UmsuCG einige Zeit und sollte daher so bald wie möglich angegangen werden.
Adressaten der neuen Pflichten werden „wichtige und besonders wichtige Einrichtungen“ sein. Diese sind beispielsweise Betreiber kritischer Anlagen oder bestimmte als wichtig erachtete Unternehmen, abhängig von ihrer Größe und/oder Umsatz bzw. Bilanzsumme. Im Bereich der kritischen Anlagen wird die Einteilung einer noch zu erlassenden Verordnung vorenthalten. Diese wird jedoch explizit unter anderem die Sektoren Energie, Wasser und Siedlungsabfallentsorgung umfassen. Da sowohl natürliche also auch juristische Personen und Organisationseinheiten von Gebietskörperschaften hierunter fallen, werden auch insbesondere Stadtwerke in den Fokus des NIS2UmsuCG genommen.
Betroffene müssen unter dem neuen Regime unter anderem regelmäßig Risikoprozesse und Sicherheitssysteme überprüfen, dies und die Einhaltung der sonstigen gesetzlichen Vorgaben dokumentieren, Sicherheitsvorfälle melden, sich beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe registrieren und erhöhten Anforderungen an die IT-Sicherheit gerecht werden. Dies umfasst „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen“, um Störungen zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten. Die Maßnahmen sollen dem Stand der Technik entsprechen und können durch die EU und das Bundesinnenministerium noch konkretisiert werden. Betreiber kritischer Anlagen müssen überdies beispielsweise Systeme zur Angriffserkennung einsetzen.
Zusätzlich werden auch Geschäftsleitungen von besonders wichtigen und wichtigen Einrichtungen zur regelmäßigen Teilnahme an Schulungen verpflichtet und unterliegen einer besonders dramatischen Haftungsregelung: Stehen Schadenersatzansprüche der Einrichtungen gegenüber ihnen im Raum, darf die Einrichtung grundsätzlich nicht auf diese Ansprüche verzichten. Es werden neben den Einrichtungen selbst also explizit und persönlich die Geschäftsleitungen in die Pflicht genommen.
Sollte ein Unternehmen also möglicherweise in den Anwendungsbereich des NIS2UmsuCG gelangen, sollte es bereits jetzt eine ausführliche Prüfung in Angriff nehmen, um so schnell wie möglich die benötigten Prozesse in Gang zu setzen – es stehen Bußgelder bis 10 Millionen Euro oder, bei Unternehmen mit einem hohen Umsatz, bis zu 2 Prozent des Jahresumsatzes im Raum.
Leopold Gottinger
Rechtsanwalt
Anfrage senden
