Thought Leadership
Erneut wurde ein Referentenentwurf zum „Entwurf eines Gesetzes zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ vorgelegt – dieses Mal datiert auf den 2. Juni 2025, womit sich der Entwurfsstand in der ministeriellen Abstimmung befindet.
Und die Änderungen sind durchaus interessant, denn sie betreffen nicht nur Fragen der Zusammenarbeit zwischen BSI und BBK, sondern auch Aktualisierungen im Hinblick auf den Anwendungsbereich. Insgesamt erhalten BSI und BMI einen Befugnisaufwuchs, sollten die Änderungen wie vorgeschlagen umgesetzt werden.
Anwendungsbereich und Entlastungen für die Wirtschaft
Insbesondere im Hinblick auf den Anwendungsbereich wurde aus der Wirtschaft regelmäßig kritisiert, dass vor allem auch Nebentätigkeiten durch die zahlenmäßige Berücksichtigung der Gesamt-Konzerninfrastruktur in den Anwendungsbereich von NIS2 fallen – mit der Folge erheblicher wirtschaftlicher Belastungen. Nun wird im Entwurf der Vorschlag gemacht, solche Geschäftstätigkeiten unberücksichtigt bleiben zu lassen, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. Damit soll im Einzelfall vermieden werden, dass eine nur geringfügige Nebentätigkeit zu einer unverhältnismäßigen Identifizierung als wichtige oder besonders wichtige Einrichtung führt.
Darüber hinaus gibt es auch im Bereich der Bundesverwaltung mehrere Neuerungen, insbesondere betreffend die Vorgaben zur Cybersicherheit und die Rolle des BSI. So wird einerseits die behördenübergreifende Unterstützerrolle ausgebaut, ebenso wird der begrüßenswerte Hinweis aufgenommen, dass der IT-Grundschutz für die Einrichtungen der Bundesverwaltung mittelbar Gesetzesrang erhält. Dass Cybersecurity auch im Bund fach- und ressortübergreifendes Thema ist, wird insbesondere deutlich durch die Erweiterung der Rolle der Informationssicherheitsbeauftragten, denen ebenso die Aufgabe zukommt, die Geheimschutzbeauftragten zu unterstützen und zu beraten. Insgesamt kommt dem BMI in dem Entwurf eine deutlich herausgehobene fachliche Stellung zu.
Neuordnung der Behördenzuständigkeiten
Doch auch im Zusammenspiel zwischen den einzelnen Fachbehörden werden Änderungen angestrebt – so u.a. im Hinblick auf das Verhältnis BSI und BNetzA für die IT-Sicherheit im Anlagen- und Netzbetrieb. So wird eine Konsolidierung der bisherigen Zuständigkeiten von BNetzA und BSI im Hinblick auf konventionelle und digitale Dienstleister im Sektor Energie vorgeschlagen. Hintergrund: Die Aufsicht über KRITIS-Betreiber im Sektor Strom hinsichtlich der Einhaltung von Cybersicherheitsmaßnahmen oblag bislang hauptsächlich der BNetzA. Ausgenommen waren lediglich „Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leistung“ (z.B. sog. virtuelle Kraftwerke), für die die Aufsicht beim BSI lag. Die abstrakten Cybersicherheitsvorgaben des EnWG wurden dabei durch Sicherheitskataloge der BNetzA – im Benehmen mit dem BSI – konkretisiert.
Über die nunmehr vorgesehene Einvernehmensregelung soll das BSI größeren Einfluss auf die IT-Sicherheitsanforderungen im Sektor Energie erhalten. Das BSI soll dadurch in die Lage versetzt werden, ein einheitliches Sicherheitsniveau über alle KRITIS-Sektoren hinweg sicherzustellen. Dadurch dürfte das BSI in seiner Rolle als zentrale Cybersicherheitsbehörde nicht unerheblich gestärkt werden – zumal es ebenso für die zukünftige nationale Umsetzung des EU Cyber Resilience Act (CRA) mandatiert wird.
Last but not least werden Änderungen bei der Ermächtigung zum Erlass von Rechtsverordnungen vorgeschlagen. Durch ebenjene Rechtsverordnungen wird die Anwendung des BSIG schon jetzt konkretisiert – so u.a. auch im Hinblick auf den Anwendungsbereich mit der BSI-KritisV. Für letztgenannte wird das Festlegungsverfahren deutlich verändert, indem nach dem Entwurf nun keine Anhörung von Wissenschaftsvertretern, der betroffenen Betreiber und der betroffenen Wirtschaftsverbände erforderlich ist. Eine ganz ähnliche Einschränkung findet sich in der Bestimmung von Vorgaben, wann ein erheblicher Sicherheitsvorfall vorliegt – auch hier sollen künftig die Wirtschaftsverbände und die Wissenschaft ausgeschlossen werden.
Fazit der aktuellsten Fassung des NIS2-Referentenentwurfs somit: Zwar wird wie zu erwarten wieder nur an einzelnen Stellschrauben gedreht, wenn die Änderungen aber wie vorgeschlagen kommen, sind die Auswirkungen nicht unerheblich. Dies betrifft sowohl den Bereich der Public Private Partnerships, die interbehördliche Zusammenarbeit in der Cybersicherheit, die Stärkung der Cybersicherheit in der Bundesverwaltung, die Erleichterungen im Anwendungsbereich sowie daneben die Rolle des BMI und vor allem des BSI, das teils über die Befugnisse von NIS2 hinausgehend eine weitere deutliche Stärkung erfährt.
