Deutsches NIS2-Umsetzungsgesetz passiert Bundeskabinett

Während die Umsetzung der NIS2-Richtlinie in Österreich mit dem NISG 2024 noch auf sich warten lässt (weitere Infos), hat die Umsetzung in Deutschland Fahrt aufgenommen.

Das Bundeskabinett hat am 24.7. den Entwurf für ein Gesetz zur Stärkung der Cybersicherheit in Deutschland beschlossen:

» BSI - Bundesamt für Sicherheit in der Informationstechnik - Wirtschaft und Staat vor Cyberattacken schützen: Bundesregierung beschließt umfassende Änderung des IT-Sicherheitsrechts

Das Gesetz wird auch für österreichische Unternehmen relevant, insbesondere

• in der Konzernstruktur (wenn zB die deutsche Muttergesellschaft interne RL vorgibt, die auch für öst. Tochtergesellschaften gelten) oder
• in der Lieferkette, wenn heimische Unternehmen deutsche NIS2-Einrichtungen beliefern und diese vertraglich Cybersicherheitsanforderungen festlegen.

Formal handelt es sich beim Kern des NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) im Wesentlichen um eine Novelle des BSI-Gesetzes.

Ein großer Unterschied zwischen Deutschland und Österreich ist, dass es in Deutschland bisher schon eine KRITIS-Gesetzgebung gibt, auf die der Gesetzgeber aufbauen kann bzw. auch Rücksicht nehmen muss, während es in Österreich noch keine umfassende gesetzliche Regelung für die kritische Infrastruktur gibt.

Das deutsche BSI geht von 29.500 betroffenen Einrichtungen aus, in Ö gehen die Schätzungen von 3.000 bis 5.000 direkt NIS2-betroffenen Einrichtungen aus.

Wesentliche Punkte des dt. NIS2UmsuCG mit Anmerkungen zur öst. Rechtslage:

• Einführung der Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“
  • Der öst. Gesetzesentwurf NISG 2024 verwendet hingegen ebenso wie die NIS2-RL die Begriffe „wesentliche“ und „wichtige Einrichtungen“ („important and essential entities“).

• Der Katalog der Mindestsicherheitsanforderungen der NIS-2-Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den o.g. Kategorien differenziert wird. Zu den Anforderungen zählen u.a. Risikoanalysekonzepte, Maßnahmen zur Aufrechterhaltung des Betriebs, Backup-Management, und Konzepte zum Einsatz von Verschlüsselung.
  • öst. Gesetzesentwurf NISG 2024: Die Umsetzung wird vermutlich ähnlich sein (siehe v.a. Anlage 3 des Entwurfs). Die Präzisierung wird in einer Verordnung zu den Risikomanagementmaßnahmen erfolgen.

• Die bislang einstufige Meldepflicht bei Cybersicherheitsvorfällen der erfassten Unternehmen an das BSI wird durch ein dreistufiges Meldesystem ersetzt. Vorgesehen ist eine Erstmeldung binnen 24 Stunden, ein Update binnen 72 Stunden und ein Abschlussbericht der binnen eines Monats zu übermitteln ist.
  • öst. Gesetzesentwurf NISG 2024: Die Fristen entsprechen der NIS2-RL und werden auch in Österreich so gelten.

• Ausweitung des Instrumentariums des BSI zur Aufsicht und Durchsetzung. Hierzu zählen u.a. die neuen Bußgeldrahmen, die sich gegebenenfalls prozentual am weltweiten Jahresumsatz eines Unternehmens bemessen, wenn Unternehmen wesentliche Pflichten zur Cybersicherheit verletzen - zum Beispiel, wenn Mängel in der Umsetzung von Cybersicherheitsmaßnahmen nicht abgestellt werden.
  • öst. Gesetzesentwurf NISG 2024: Die Aufsicht liegt in Österreich beim BMI. Die Strafen betragen bis zu 7 Mio. Euro oder 1,4, % des weltweiten Konzernjahresumsatzes für wichtige Einrichtungen; bis zu 10 Mio. Euro oder 2% des weltweiten Konzernjahresumsatzes für wesentliche Einrichtungen (ausgenommen öff. Verwaltung).

All dies gilt vorbehaltlich dem weiteren Gesetzgebungsverfahren im Bundestag bzw. betreffend NISG2024 dem weiteren Gesetzgebungsprozess in Österreich.

Hilfestellung

• Tool zur Prüfung der Betroffenheit für Deutschland: BSI - NIS-2-Betroffenheitsprüfung (bund.de)
• Tool zur Prüfung der Betroffenheit für Österreich: ratgeber.wko.at/nis2