Teil 2 - Das Bundesamt
Teil 3 - Sicherheit in der Informationstechnik von Einrichtungen
Teil 8 - Bußgeldvorschriften

BSIG – Entwurf nach NIS2UmsuCG

NEUFASSUNG des BSI-Gesetzes nach dem NIS2-Umsetzungsgesetz

Das das „NIS2-Umsetzungs-und Cyberresilienzstärkungsgesetz (NIS2UmseCG)“ setzt die NIS2-Richtlinie 2022/2555 in deutsches Recht um.
Dabei wird das BSI-Gesetz (BSIG) neu gefasst und die Verpflichtungen für dort definierten sog. Einrichtungen (Unternehmen und andere Organisationen) dort verankert.

Relevant für die Umsetzung der NIS2-Anforderungen in Unternehmen sind diese §§ des BSIG:
(Ausgehend von „Regelfällen“ – keine Berücksichtigung von KRITIS bzw. besondere Einrichtungen nach §60 BSIG.)

  • §28 BSIG – für die Frage, ob als Einrichtung unter NIS2 fallend  (vgl. auch Check!)
  • §30 BSIG – Verpflichtung zum Risikomanagement
  • §32 BSIG – Meldepflichten bei Cybervorfällen
  • §33 BSIG – Registrierungspflicht für wichtige / besonders wichtige Einrichtungen
  • §38 BSIG – besondere Pflichten der Geschäftsleitungen

Das Umsetzungsgesetz ist aktuell noch im Entwurf und noch nicht verabschiedet. Die Verabschiedung sollte bis 17. Oktober 2024 geschehen, das hat nicht geklappt. Nach dem Bruch der Ampel-Koalition greift der Grundsatz der Diskontinuität, d.h. alle Gesetzgebungsvorhaben werden beendet und müssen neu gestartet werden. Aufgrund der schwierigen Koalitionsbildung nach der Neuwahl und der dann nahenden Sommerpause muss damit gerechnet werden, dass die Umsetzung nicht vor Ende 2025 oder Frühjahr 2026 geschieht.

Nach einem Beschluss des Umsetzungsgesetzes ist keine weitere Übergangsfrist mehr vorgesehen – diese gab es schon von 2022-24!
Es ist daher zu empfehlen, bereits jetzt mit der Feststellung der Betroffenheit und ggf. der Umsetzung der Anforderungen zu beginnen.

Die NIS2-Richtlinie der EU ist bereits in Kraft und an ihr kann man sich ebenfalls orientieren. Sie ist aber hinsichtlich der Anforderungen ebenso vage wie das Umsetzungsgesetz bzw. das BSIG (neu).
Ferner hat die EU-Kommission eine NIS2-Umsetzungsverordnung (NIS2UmsVO) als delegierten Umsetzungsrechtsakt beschlossen, die die NIS-Umsetzung für grenzüberschreitende Dienste EU-weit einheitlich regelt. Sie ist deutlich detaillierter in den Anforderungen, die insbesondere in deren Annex beschrieben sind.

Teil 1 - Allgemeine Vorschriften

Teil 2 - Das Bundesamt

Kapitel 1 - Aufgaben und Befugnisse
Kapitel 2 - Datenverarbeitung

Teil 3 - Sicherheit in der Informationstechnik von Einrichtungen

Kapitel 1 Anwendungsbereich
Kapitel 2 - Risikomanagement, Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten
Kapitel 3 Informationssicherheit der Einrichtungen der Bundesverwaltung

Teil 4 - Datenbanken der Domain-Name-Registrierungsdaten

Teil 5 - Zertifizierung, Konformitätserklärung und Kennzeichen

Teil 6 - Verordnungsermächtigungen, Grundrechtseinschränkungen und Berichtspflichten

Teil 7 - Aufsicht

Teil 8 - Bußgeldvorschriften

Teil 9 - Anlagen