Hierbei handelt es sich um einen Referentenentwurf vom 03.07.2023

Referentenentwurf des Bundesministeriums des Innern und für Heimat

Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)

A. Problem und Ziel

Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastrukturen, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absicherung vor einer Vielzahl von Herausforderungen. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit durch externe, vielfach nicht steuerbare Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt
dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die
Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zu Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund erforderlichen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27. Dezember 2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen.
In Folge des russischen Angriffskriegs auf die Ukraine hat sich nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Bericht zur Lage der IT-Sicherheit in Deutschland 2022 die IT-Sicherheitslage insgesamt zugespitzt. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere sogenannte Supply-Chain-Angriffe zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen beispielsweise im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-Sabotage-Angriffen im Rahmen des Krieges. Zudem haben auch Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch im Rahmen des Krieges zuletzt zugenommen. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind insgesamt Teil des unternehmerischen Alltags. Eine Erhöhung der Resilienz der Wirtschaft gegenüber diesen neuen Bedrohungen ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland robust und leistungsfähig zu halten.
Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen, um eine flächendeckende wirksame Steigerung des Sicherheitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungsplan Bund sowie Prüfungen des BRH bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.

B. Lösung

Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015
(BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) für den Bereich kritischer Anlagen und bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden folgende Änderungen vorgenommen:

• Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien der mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
• Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2-Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
• Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des Umsetzungsspielraums minimiert werden.
• Ausweitung des BSI Instrumentariums im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.
• Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten.
• Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.
• Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
• Überarbeitung des Bußgeldregimes und entsprechende Differenzierung anhand der Einrichtungskategorien.
• Schaffung einer übersichtlicheren Struktur des BSI-Gesetzes mit neuer Gliederung.

C. Alternativen

Keine.

D. Haushaltsausgaben ohne Erfüllungsaufwand

Keine.

E. Erfüllungsaufwand

E.1 Erfüllungsaufwand für Bürgerinnen und Bürger

Es entsteht kein Erfüllungsaufwand für die Bürgerinnen und Bürger.

E.2 Erfüllungsaufwand für die Wirtschaft

Für die Wirtschaft erhöht sich der jährliche Erfüllungsaufwand um rund 1,65 Milliarden Euro. Insgesamt entsteht einmaliger Aufwand von rund 1,37 Milliarden Euro. Dieser ist fast ausschließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen.

Davon Bürokratiekosten aus Informationspflichten
Es entfallen rund 121 Millionen Euro auf Bürokratiekosten aus Informationspflichten.

E.3 Erfüllungsaufwand der Verwaltung

Eine grundsätzliche Pflicht zur Umsetzung von Mindeststandards für die Sicherheit der Informationstechnik existiert bereits nach geltendem Recht und wurde zuletzt auf IT-Dienstleister für die Kommunikationstechnik des Bundes ausgeweitet (vgl. BT-Drs. 19/26106, S. 78 und OnDEA unter anderem ID 2021102814102901, 2021110313192901, etc.). Für das Informationssicherheitsmanagement in der Bundesverwaltung gibt der Umsetzungsplan Bund bereits eine Leitlinie vor, die für Einrichtungen der Bundesverwaltung gemäß Kabinettbeschluss verpflichtend ist.
Die wesentlichen Vorgaben der bisher bereits geltenden Regelwerke werden im Rahmen des vorliegenden Regelungsentwurfs fortgeführt (vgl. § 44 Absatz 1 BSIG-E) sowie die nationalen Anforderungen mit den durch die Umsetzung der NIS-2-Richtlinie vorgeschriebenen unionsrechtlichen Anforderungen verschränkt und harmonisiert (vgl. § 29 BSIG-E), so dass sich für die Bundesverwaltung insgesamt ein einheitliches und handhabbares Regime ergibt, das an die bereits etablierten Anforderungen und Strukturen anknüpft. Der Verwaltung entsteht für die Erfüllung der im Gesetz vorgesehenen zusätzlichen Aufgaben insgesamt ein Aufwand von insgesamt [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten. Durch die gesetzliche Änderung entstehen einmalige Sachkosten in Höhe von [●] Euro.

Davon entfallen auf:

• das Bundeskanzleramt (BKAmt) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten.
• das Bundesministerium für Wirtschaft und Klimaschutz (BMWK) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten;
• das Bundesministerium der Finanzen (BMF) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten;
• das Bundesministerium des Innern und für Heimat (BMI) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten. Durch die gesetzliche Änderung entstehen einmalige Sachkosten in Höhe von [●] Euro;
• das Auswärtige Amt (AA) einschließlich seines Geschäftsbereichs insgesamt [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten. Zusätzlich entstehen einmalig Sachkosten in Höhe von [●] Euro;
• das Bundesministerium der Justiz (BMJ) einschließlich seines Geschäftsbereichs insgesamt [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten. Zusätzlich entstehen einmalig Sachkosten in Höhe von [●] Euro;
• das Bundesministerium für Arbeit und Soziales (BMAS) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten;
• das Bundesministerium der Verteidigung (BMVg) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten;
• das Bundesministerium für Ernährung und Landwirtschaft (BMEL) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten;
• das Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten;
• das Bundesministerium für Gesundheit (BMG) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten;
• das Bundesministerium für Digitales und Verkehr (BMDV) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten;
• das Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz (BMUV) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten;
• das Bundesministerium für Bildung und Forschung (BMBF) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten;
• das Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung (BMZ) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten;
• das Bundesministerium für Wohnen, Stadtentwicklung und Bauwesen (BMWSB) einschließlich seines Geschäftsbereichs [●] Planstellen/Stellen ([●] hD; [●] gD; [●] mD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten; und
• den Bundesbeauftragten für den Datenschutz und für die Informationsfreiheit (BfDI) [●] Planstellen/Stellen ([●] hD; [●] gD) mit einem jährlichen Erfüllungsaufwand in Höhe von [●] Euro. Davon entfallen [●] Euro auf jährliche Personalkosten und [●] Euro auf jährliche Sachkosten.

Der Bedarf an Sach- und Personalmitteln sowie Planstellen und Stellen soll finanziell und stellenmäßig im jeweiligen Einzelplan ausgeglichen werden.

F. Weitere Kosten

Keine.

Referentenentwurf des Bundesministeriums des Innern und für Heimat

Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie
und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)

Vom …

Der Bundestag hat das folgende Gesetz beschlossen:
Inhaltsübersicht
Artikel 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über
die Sicherheit der Informationstechnik von kritischen Anlagen und Einrichtun-
gen (BSI-Gesetz – BSIG)
Artikel 2 Änderung des BSI-Gesetzes (FNA 206-2)
Artikel 3 Änderung des BND-Gesetzes (FNA 12-6)
Artikel 4 Änderung der Sicherheitsüberprüfungsfeststellungsverordnung (FNA 12-10-3)
Artikel 5 Änderung des Telekommunikation-Telemedien-Datenschutz-Gesetzes (FNA
204-5)
Artikel 6 Änderung der Gleichstellungsbeauftragtenwahlverordnung (FNA 205-3-1)
Artikel 7 Änderung des Zweiten Gesetzes zur Erhöhung der Sicherheit informations-
technischer Systeme (FNA 206-2)
Artikel 8 Änderung der BSI-Zertifizierungs- und Anerkennungsverordnung (FNA 206-2-
1)
Artikel 9 Änderung der BSI IT-Sicherheitskennzeichenverordnung (FNA 206-2-3)
Artikel 10 Änderung des De-Mail-Gesetzes (FNA 206-4)
Artikel 11 Änderung des E-Government-Gesetz (FNA 206-6)
Artikel 12 Änderung der Passdatenerfassungs- und Übermittlungsverordnung (FNA 210-
5-11)
Artikel 13 Änderung der Personalausweisverordnung (FNA 210-6-1)
Artikel 14 Änderung der Kassensicherungsverordnung (FNA 610-1-26)
Artikel 15 Änderung des Atomgesetzes (FNA 751-1)
Artikel 16 Änderung des Energiewirtschaftsgesetzes (FNA 752-6)
Artikel 17 Änderung des Messstellenbetriebsgesetzes (FNA 752-10)
Artikel 18 Änderung des Energiesicherungsgesetzes (FNA 754-3)
Artikel 19 Änderung des Fünften Buches Sozialgesetzbuch (FNA 860-5)
Artikel 20 Änderung der Digitale Gesundheitsanwendungen-Verordnung (FNA 860-5-55)
Artikel 21 Änderung des Sechsten Buches Sozialgesetzbuch (FNA 860-6)
Artikel 22 Änderung der Verordnung zum Barrierefreiheitsstärkungsgesetz (FNA 860-9-
4-1)
Artikel 23 Änderung des Telekommunikationsgesetzes (FNA 900-17)
Artikel 24 Änderung der Krankenhausstrukturfonds-Verordnung (FNA 2126-9-19)
Artikel 25 Änderung der Mess- und Eichverordnung (FNA 7141-8-1)
Artikel 26 Änderung der Außenwirtschaftsverordnung (FNA 7400-4-1)
Artikel 27 Änderung des Vertrauensdienstegesetzes (FNA 9020-13)
Artikel 28 Inkrafttreten, Außerkrafttreten