NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz

Artikel 17 – Änderung des Energiewirtschaftsgesetze

Das Energiewirtschaftsgesetz vom 7. Juli 2005 (BGBl. I S. 1970, 3621), das zuletzt durch Artikel 1 des Gesetzes vom 14. Mai 2024 (BGBl. 2024 I Nr. 161) geändert worden ist, wird wie folgt geändert:

  1. In der Inhaltsübersicht wird nach der Angabe zu § 5b folgende Angabe zu § 5c eingefügt:„§ 5c IT-Sicherheit im Anlagen- und Netzbetrieb, Festlegungskompetenz“.
  2. Nach § 5b wird folgender § 5c eingefügt:

    § 5c
    IT-Sicherheit im Anlagen- und Netzbetrieb, Festlegungskompetenz

    (1) Der Betreiber eines Energieversorgungsnetzes hat einen angemessenen Schutz gegen Bedrohungen für Telekommunikationssysteme sowie elektronische Datenverarbeitungssysteme, die für den sicheren Netzbetrieb notwendig sind, zu gewährleisten. Der angemessene Schutz nach Satz 1 ist auch durch Berücksichtigung erforderlicher Anforderungen bei der Beschaffung von Anlagengütern und Dienstleistungen sicherzustellen. Die Bundesnetzagentur bestimmt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Festlegung nach § 29 Absatz 1 in einem Katalog von Sicherheitsanforderungen (IT-Sicherheitskatalog) die Anforderungen an den angemessenen Schutz. Dabei beteiligt die Bundesnetzagentur die Betreiber von Energieversorgungsnetzen und deren Branchenverbände. Die Bundesnetzagentur überprüft den IT-Sicherheitskatalog alle zwei Jahre und aktualisiert ihn bei Bedarf. Ein angemessener Schutz nach Satz 1 liegt vor, wenn die Anforderung des IT-Sicherheitskatalogs eingehalten werden. Die Einhaltung der Anforderungen des IT-Sicherheitskatalogs ist vom Betreiber zu dokumentieren.

    (2) Der Betreiber einer Energieanlage, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 Satz 1 des BSI-Gesetzes vom … [einsetzen: Datum und Fundstelle nach Artikel 1] in der jeweils geltenden Fassung oder eine wichtige Einrichtung nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes ist und dessen Energieanlage an ein Energieversorgungsnetz angeschlossen ist, hat einen angemessenen Schutz gegen Bedrohungen für Telekommunikationssysteme sowie elektronische Datenverarbeitungssysteme zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind. § 28 Absatz 1 Satz 2 sowie § 28 Absatz 2 Satz 2 des BSI-Gesetzes bleiben unberührt. Der angemessene Schutz nach Satz 1 ist auch durch Berücksichtigung erforderlicher Anforderungen bei der Beschaffung von Anlagengütern und Dienstleistungen sicherzustellen. Die Bundesnetzagentur bestimmt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Festlegung nach § 29 Absatz 1 in einem IT-Sicherheitskatalog die Anforderungen an den angemessenen Schutz. Dabei beteiligt die Bundesnetzagentur die Betreiber nach Satz 1 und deren Branchenverbände. Die Bundesnetzagentur überprüft den IT-Sicherheitskatalog alle zwei Jahre und aktualisiert ihn bei Bedarf. Für Telekommunikationssysteme sowie elektronische Datenverarbeitungssysteme von Anlagen nach § 7 Absatz 1 des Atomgesetzes in der Fassung der Bekanntmachung vom 15. Juli 1985 (BGBl. I S. 1565), das zuletzt durch Artikel 16 des Gesetzes vom … [einsetzen: Datum und Fundstelle nach Artikel 33 Absatz 1 Satz 1] geändert worden ist, haben Vorgaben auf Grund des Atomgesetzes Vorrang vor den Anforderungen des IT-Sicherheitskatalogs nach Satz 4. Die für die nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden des Bundes und der Länder sind bei der Erarbeitung des IT-Sicherheitskatalogs nach Satz 4 zu beteiligen. Ein angemessener Schutz nach Satz 1 liegt vor, wenn die Anforderungen des IT-Sicherheitskatalogs eingehalten werden. Die Einhaltung der Anforderungen des IT-Sicherheitskatalogs ist vom Betreiber zu dokumentieren.

    (3) Der IT-Sicherheitskatalog nach Absatz 1 Satz 3 und der IT-Sicherheitskatalog nach Absatz 2 Satz 4 sollen jeweils den Stand der Technik einhalten und unter Berücksichtigung der einschlägigen europäischen Normen oder der einschlägigen internationalen Normen sowie der Umsetzungskosten ein Sicherheitsniveau der informationstechnischen Systeme, Komponenten und Prozesse gewährleisten, das dem bestehenden Risiko angemessen ist. Bei der Bewertung, ob Maßnahmen dem bestehenden Risiko angemessen sind, sind das Ausmaß der Risikoexposition und die Größe des Betreibers sowie die Eintrittswahrscheinlichkeit und Schwere von Sicherheitsvorfällen sowie ihre gesellschaftlichen und wirtschaftlichen Auswirkungen, zu berücksichtigen. Der IT-Sicherheitskatalog nach Absatz 1 Satz 3 und der IT-Sicherheitskatalog nach Absatz 2 Satz 4 umfassen jeweils zumindest Vorgaben für:

    • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationstechnik,
    • die Bewältigung von Sicherheitsvorfällen,
    • die Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und für das Krisenmanagement,
    • die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern,
    • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen,
    • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Sicherheit der Informationstechnik,
    • grundlegende Verfahren im Bereich der Cyberhygiene und für Schulungen im Bereich der Sicherheit der Informationstechnik,
    • Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung,
    • die Sicherheit des Personals, Konzepte für die Zugriffskontrolle und das Management von Anlagen,
    • die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung,
    • den Einsatz von Systemen zur Angriffserkennung nach § 2 Nummer 41 des BSI-Gesetzes,
    • den Einsatz eines Elements oder einer Gruppe von Elementen eines Netz- oder Informationssystems (IKT-Produkt), eines Dienstes, der vollständig oder überwiegend aus der Übertragung, Speicherung, Abfrage oder Verarbeitung von Informationen mittels Netz- und Informationssystemen besteht (IKT-Dienst) und jeglicher Tätigkeiten, mit denen ein IKT-Produkt oder IKT-Dienst konzipiert, entwickelt, bereitgestellt oder gepflegt werden soll (IKT-Prozess) mit Cybersicherheitszertifizierung gemäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (ABl. 151 vom 7.6.2019, S. 15).

    Die Bundesnetzagentur kann in den IT-Sicherheitskatalogen nähere Bestimmungen zu Format, Inhalt und Gestaltung der nach Absatz 1 Satz 7 oder nach Absatz 2 Satz 10 erforderlichen Dokumentation über die Einhaltung der Anforderungen des jeweiligen IT-Sicherheitskatalogs sowie zur Behebung von Sicherheitsmängeln treffen. Die Bundesnetzagentur kann in den IT-Sicherheitskatalogen auch Regelungen zur regelmäßigen Überprüfung der Erfüllung der Sicherheitsanforderungen treffen.

    (4) Der Betreiber eines Energieversorgungsnetzes oder der Betreiber einer Energieanlage, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 Satz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes ist und dessen Energieanlage an ein Energieversorgungsnetz angeschlossen ist, hat der Bundesnetzagentur die Dokumentation über die Einhaltung der Anforderungen des jeweiligen IT-Sicherheitskatalogs nach Absatz 1 Satz 7 oder nach Absatz 2 Satz 10 zu übermitteln. § 28 Absatz 1 Satz 2 sowie § 28 Absatz 2 Satz 2 des BSI-Gesetzes bleiben unberührt. Bei Bedarf kann die Bundesnetzagentur die Vorlage des Mängelbeseitigungsplans von dem Betreiber nach Satz 1 anfordern. Die Bundesnetzagentur kann bei Sicherheitsmängeln, die sich aus dem Mängelbeseitigungsplan ergeben, von dem Betreiber nach Satz 1 die Beseitigung dieser Mängel innerhalb einer durch die Bundesnetzagentur gesetzten Frist verlangen. Der Betreiber nach Satz 1 hat der Bundesnetzagentur und den in deren Auftrag handelnden Personen zum Zweck der Überprüfung der Einhaltung der Sicherheitsanforderungen nach Absatz 1 oder Absatz 2 das Betreten der Geschäfts- und Betriebsräume während der üblichen Betriebszeiten zu gestatten und auf Verlangen die in Betracht kommenden Aufzeichnungen, Schriftstücke und sonstigen Unterlagen in geeigneter Weise vorzulegen, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Für die Überprüfung erhebt die Bundesnetzagentur Gebühren und Auslagen nur, sofern die Bundesnetzagentur auf Grund von Anhaltspunkten tätig geworden ist, die berechtigte Zweifel an der Einhaltung der in den Absätzen 1 und 2 genannten Anforderungen begründen.

    (5) Erlangt die Bundesnetzagentur Kenntnis über Hinweise oder Informationen, wonach ein Betreiber einer Energieanlage, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 Satz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes ist und dessen Energieanlage an ein Energieversorgungsnetz angeschlossen ist, die Sicherheitsanforderungen nach Absatz 2 nicht oder nicht richtig umsetzt, so kann sie von diesem Betreiber Informationen anfordern, um die Einhaltung der Sicherheitsanforderungen nach Absatz 2 zu überprüfen. § 28 Absatz 1 Satz 2 sowie § 28 Absatz 2 Satz 2 des BSI-Gesetzes bleiben unberührt. Absatz 4 Satz 3 bis 6 ist entsprechend anzuwenden.

    (6) Der Betreiber eines Energieversorgungsnetzes oder der Betreiber einer Energieanlage, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 Satz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes ist und dessen Energieanlage an ein Energieversorgungsnetz angeschlossen ist, ist verpflichtet, folgende Informationen an eine vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle zu melden:

    • unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall nach § 2 Nummer 11 des BSI-Gesetzes, eine frühe Erstmeldung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf eine rechtswidrige oder eine böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte,
    • unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall nach § 2 Nummer 11 des BSI-Gesetzes, eine Meldung über den erheblichen Sicherheitsvorfall, in der die in Nummer 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren angegeben werden,
    • auf Ersuchen des Bundesamtes für Sicherheit in der Informationstechnik eine Zwischenmeldung über relevante Statusaktualisierungen,
    • spätestens einen Monat nach Übermittlung der Meldung des erheblichen Sicherheitsvorfalls nach § 2 Nummer 11 des BSI-Gesetzes eine Abschlussmeldung, die Folgendes enthält:
      • eine ausführliche Beschreibung des erheblichen Sicherheitsvorfalls nach § 2 Nummer 11 des BSI-Gesetzes, einschließlich seines Schweregrads und seiner Auswirkungen;
      • Angaben zur Art der Bedrohung beziehungsweise zugrunde liegenden Ursache, die wahrscheinlich den erheblichen Sicherheitsvorfall nach § 2 Nummer 11 des BSI-Gesetzes ausgelöst hat;
      • Angaben zu den getroffenen und den laufenden Abhilfemaßnahmen;
      • gegebenenfalls die grenzüberschreitenden Auswirkungen des erheblichen Sicherheitsvorfalls nach § 2 Nummer 11 des BSI-Gesetzes.

    § 28 Absatz 1 Satz 2 sowie § 28 Absatz 2 Satz 2 des BSI-Gesetzes bleiben unberührt. § 32 Absatz 2 bis 5 und § 36 des BSI-Gesetzes sind entsprechend anzuwenden. Bei Meldungen nach diesem Absatz trifft das Bundesamt für Sicherheit in der Informationstechnik Maßnahmen nach § 36 des BSI-Gesetzes im Benehmen mit der Bundesnetzagentur.

    (7) Das Bundesamt für Sicherheit in der Informationstechnik hat die Meldungen nach Absatz 6 und solche Meldungen über Sicherheitsvorfälle nach § 32 des BSI-Gesetzes, bei welchen das Bundesamt für Sicherheit in der Informationstechnik Kenntnis von einer Relevanz für die Energieversorgungssicherheit und Erfüllung der Zwecke und Ziele nach § 1 erlangt, unverzüglich an die Bundesnetzagentur weiterzuleiten. Die Bundesnetzagentur führt unverzüglich eine Bewertung der Auswirkungen des nach Satz 1 übermittelten Sicherheitsvorfalls auf die Energieversorgungssicherheit durch und übermittelt ihre Ergebnisse an das Bundesamt für Sicherheit in der Informationstechnik. Die Bundesnetzagentur kann von dem betroffenen Unternehmen die Herausgabe der zur Bewertung der Auswirkungen des Sicherheitsvorfalls auf die Energieversorgungssicherheit notwendigen Informationen, einschließlich personenbezogener Daten, verlangen und ist befugt, zur Bewertung der Auswirkungen des Sicherheitsvorfalls auf die Energieversorgungssicherheit erforderliche personenbezogene Daten zu erheben, zu speichern und zu verwenden. Das betroffene Unternehmen hat der Bundesnetzagentur die zur Bewertung der Auswirkungen des Sicherheitsvorfalls auf die Energieversorgungssicherheit notwendigen Informationen, einschließlich personenbezogener Daten, zu übermitteln. Die Bundesnetzagentur kann bei der Durchführung der Bewertung nach Satz 2 die Betreiber von Übertragungs-, von Fernleitungs- sowie von Verteilnetzen einbeziehen und ist befugt, ihnen die hierzu erforderlichen personenbezogenen Daten zu übermitteln. Die Betreiber von Übertragungs-, von Fernleitungs- sowie von Verteilnetzen sind befugt, die ihnen nach Satz 5 zum dort genannten Zweck übermittelten personenbezogenen Daten zu erheben, zu speichern und zu verwenden. Nach Erstellung der Bewertung sind die hierzu verwendeten personenbezogenen Daten von der Bundesnetzagentur und den Betreibern von Übertragungs-, von Fernleitungs- sowie von Verteilnetzen unverzüglich zu löschen. Das Bundesamt für Sicherheit in der Informationstechnik berücksichtigt die Bewertung der Bundesnetzagentur bei der Erfüllung der Aufgaben nach § 40 Absatz 3 Nummer 2 des BSI-Gesetzes. Das Bundesamt für Sicherheit in der Informationstechnik und die Bundesnetzagentur haben jeweils sicherzustellen, dass die unbefugte Offenbarung der ihnen nach Satz 1 zur Kenntnis gelangten Angaben ausgeschlossen wird. Zugang zu den Akten des Bundesamtes für Sicherheit in der Informationstechnik sowie zu den Akten der Bundesnetzagentur in Angelegenheiten nach den Absätzen 1 bis 6 sowie dieses Absatzes wird nicht gewährt. § 29 des Verwaltungsverfahrensgesetzes bleibt unberührt.

    (8) Der Betreiber eines Energieversorgungsnetzes oder einer Energieanlage, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 Satz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes ist und dessen Energieanlage an ein Energieversorgungsnetz angeschlossen ist, ist verpflichtet, spätestens drei Monate, nachdem er erstmals oder erneut als eine der vorgenannten Einrichtungen gilt, dem Bundesamt für Sicherheit in der Informationstechnik über eine gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsmöglichkeit die Angaben nach § 33 Absatz 1 Nummer 1 bis 4 des BSI-Gesetzes zu übermitteln. Der Betreiber eines Energieversorgungsnetzes, der nicht eine besonders wichtige Einrichtung nach § 28 Absatz 1 Satz 1 des BSI-Gesetzes oder nicht eine wichtige Einrichtung nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes ist, ist verpflichtet, spätestens bis zum Ablauf des … [einsetzen: Datum desjenigen Tages des dritten auf den Monat des Inkrafttretens nach Artikel 33 Absatz 1 Satz 1 folgenden Kalendermonats, dessen Zahl mit der des Tages der des Inkrafttretens nach Artikel 33 Absatz 1 Satz 1 übereinstimmt, oder, wenn es einen solchen Kalendertag nicht gibt, Datum des ersten Tages des darauffolgenden Kalendermonats] dem Bundesamt für Sicherheit in der Informationstechnik über eine gemeinsam vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsmöglichkeit die Angaben nach § 33 Absatz 1 Nummer 1 bis 4 des BSI-Gesetzes zu übermitteln. § 28 Absatz 1 Satz 2 sowie § 28 Absatz 2 Satz 2 des BSI-Gesetzes bleiben unberührt. § 33 Absatz 2, 4 und 5 des BSI-Gesetzes ist entsprechend anzuwenden. Das Bundesamt für Sicherheit in der Informationstechnik übermittelt die Registrierungen nach den Sätzen 1 und 2 einschließlich der damit verbundenen Kontaktdaten und jede Änderung der Registrierungen unverzüglich an die Bundesnetzagentur. Die Registrierungen nach den Sätzen 1 und 2 kann das Bundesamt für Sicherheit in der Informationstechnik auch selbst vornehmen und eine Kontaktstelle benennen, wenn der Betreiber seine Pflicht zur Registrierung nicht erfüllt. Nimmt das Bundesamt für Sicherheit in der Informationstechnik eine solche Registrierung selbst vor, informiert es sowohl den betreffenden Betreiber als auch die Bundesnetzagentur darüber und übermittelt die damit verbundenen Kontaktdaten. Jeder Betreiber hat sicherzustellen, dass er über die benannte oder durch das Bundesamt für Sicherheit in der Informationstechnik festgelegte Kontaktstelle jederzeit erreichbar ist. Die Übermittlung von Informationen durch das Bundesamt für Sicherheit in der Informationstechnik nach § 40 Absatz 3 Nummer 4 Buchstabe a des BSI-Gesetzes erfolgt an diese Kontaktstelle.

    (9) Geschäftsleitungen eines Betreibers eines Energieversorgungsnetzes oder eines Betreibers einer Energieanlage, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 Satz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes ist und dessen Energieanlage an ein Energieversorgungsnetz angeschlossen ist, sind verpflichtet, die Sicherheitsanforderungen nach Absatz 1 oder Absatz 2 umzusetzen und ihre Umsetzung zu überwachen. § 28 Absatz 1 Satz 2 sowie § 28 Absatz 2 Satz 2 des BSI-Gesetzes bleiben unberührt.

    (10) Geschäftsleitungen, die ihre Pflichten nach Absatz 9 verletzen, haften ihrer Einrichtung für einen schuldhaft verursachten Schaden nach den auf die Rechtsform der Einrichtung anwendbaren Regeln des Gesellschaftsrechts. Nach diesem Gesetz haften sie nur, wenn die für die Einrichtung maßgeblichen gesellschaftsrechtlichen Bestimmungen keine Haftungsregelung nach Satz 1 enthalten.

    (11) Die Geschäftsleitungen eines Betreibers eines Energieversorgungsnetzes oder eines Betreibers einer Energieanlage, der eine besonders wichtige Einrichtung nach § 28 Absatz 1 Satz 1 des BSI-Gesetzes oder eine wichtige Einrichtung nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes ist und dessen Energieanlage an ein Energieversorgungsnetz angeschlossen ist, müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können. § 28 Absatz 1 Satz 2 sowie § 28 Absatz 2 Satz 2 des BSI-Gesetzes bleiben unberührt.

    (12) Die Bundesnetzagentur legt bis zum Ablauf des … [einsetzen: Datum desjenigen Tages des ersten auf den Monat des Inkrafttretens nach Artikel 33 Absatz 1 Satz 1 folgenden Kalendermonats, dessen Zahl mit der des Tages des Inkrafttretens nach Artikel 33 Absatz 1 Satz 1 übereinstimmt, oder, wenn es einen solchen Kalendertag nicht gibt, Datum des ersten Tages des darauffolgenden Kalendermonats] im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Allgemeinverfügung im Wege einer Festlegung nach § 29 Absatz 1 in einem Katalog von Sicherheitsanforderungen für das Betreiben von Energieversorgungsnetzen und Energieanlagen fest,

    • welche Komponenten kritische Komponenten nach § 2 Nummer 23 Buchstabe c Doppelbuchstabe aa des BSI-Gesetzes sind oder
    • welche Funktionen kritisch bestimmte Funktionen nach § 2 Nummer 23 Buchstabe c Doppelbuchstabe bb des BSI-Gesetzes sind.

    Der Betreiber eines Energieversorgungsnetzes, das eine kritische Anlage nach § 2 Nummer 22 des BSI-Gesetzes ist, oder der Betreiber einer Energieanlage, die eine kritische Anlage nach § 2 Nummer 22 des BSI-Gesetzes ist, hat die Vorgaben des Katalogs spätestens sechs Monate nach dessen in der Allgemeinverfügung bestimmten Inkrafttreten zu erfüllen, es sei denn, in dem Katalog ist eine davon abweichende Umsetzungsfrist festgelegt worden. Der Katalog wird mit den IT-Sicherheitskatalogen nach den Absätzen 1 und 2 verbunden.“

  3. § 11 Absatz 1a bis 1g wird aufgehoben.
  4. § 59 Absatz 1 Nummer 1a wird wie folgt gefasst:„1a. die Festlegungen nach § 5c Absatz 1, 2 sowie 12,“.
  5. In § 91 Absatz 1 Satz 1 Nummer 4 wird nach den Wörtern „Amtshandlungen auf Grund der §§“ die Angabe „5c Absatz 4,“ eingefügt.
  6. § 95 wird wie folgt geändert:
    1. Absatz 1 wird wie folgt geändert:
      1. Die Nummern 2a und 2b werden aufgehoben.
      2. Nach der Nummer 3a werden die folgenden Nummern 3b, 3c und 3d eingefügt:
        „3b. entgegen § 5c Absatz 1 Satz 1 oder Absatz 2 Satz 1 einen dort genannten Schutz nicht gewährleistet,
        3c. entgegen § 5c Absatz 1 Satz 7 oder Absatz 2 Satz 10 die Einhaltung der Anforderungen des IT-Sicherheitskatalogs nicht, nicht richtig oder nicht vollständig dokumentiert,
        3d. entgegen § 5c Absatz 6 Satz 1 eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,“.
      3. Die bisherigen Nummern 3b bis 3d werden die Nummern 3e bis 3g.
      4. Die bisherigen Nummern 3f bis 3i werden die Nummern 3h bis 3k.
    2. Nach Absatz 2 werden folgende Absätze 2a bis 2d eingefügt:„(2a) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nummer 3b bis 3d geahndet werden:
      1. bei besonders wichtigen Einrichtungen nach § 28 Absatz 1 Satz 1 des BSI-Gesetzes mit einer Geldbuße bis zu zehn Millionen Euro,
      2. bei wichtigen Einrichtungen nach § 28 Absatz 2 Satz 1 des BSI-Gesetzes mit einer Geldbuße bis zu sieben Millionen Euro und
      3. in den übrigen Fällen mit einer Geldbuße bis zu einer Million Euro.

      (2b) Bei einer besonders wichtigen Einrichtung im Sinne des § 28 Absatz 1 Satz 1 des BSI-Gesetzes mit einem Jahresumsatz von mehr als 500 Millionen Euro kann abweichend von Absatz 2a Nummer 1 eine Ordnungswidrigkeit nach Absatz 1 Nummer 3b, 3c und 3d mit einer Geldbuße bis zu 2 Prozent des Jahresumsatzes geahndet werden.
      (2c) Bei einer wichtigen Einrichtung im Sinne des § 28 Absatz 2 Satz 1 des BSI-Gesetzes mit einem Jahresumsatz von mehr als 500 Millionen Euro kann abweichend von Absatz 2a Nummer 2 eine Ordnungswidrigkeit nach Absatz 1 Nummer 3b, 3c und 3d mit einer Geldbuße bis zu 1,4 Prozent des Jahresumsatzes geahndet werden.
      (2d) § 65 Absatz 8 des BSI-Gesetzes ist entsprechend anzuwenden.“

    3. In Absatz 5 wird die Angabe „Nummer 2b“ durch die Angabe „Nummer 3d“ ersetzt.
Stand: 22.07.2024

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!