Cybersicherheit: Die Umsetzung der NIS-2 in deutsches Recht - Teil 2: Begrifflichkeiten

Die Digitalisierung und Vernetzung aller Lebens- und Wirtschaftsbereiche machen moderne Infrastrukturen anfälliger für Attacken. Das betrifft insbesondere Anlagen, die für die Versorgungssicherheit unseres Landes eine zentrale Rolle spielen - etwa aus den Bereichen Energie, Finanzen, Internet und Verkehr. Im zweiten Teil meiner Serie stelle ich die relevanten Begriffe vor, die der deutsche Gesetzgeber bei der Umsetzung der NIS-2 Richtlinie verwendet.

Es gibt zwei Hauptgruppen von Unternehmen in der NIS2-Umsetzung: die „besonders wichtigen“ und „wichtigen Einrichtungen“. Eine Einrichtung ist dabei nur einer der beiden Kategorien zugeordnet. Beide Gruppen müssen viele und teilweise neue Cybersecurity-Pflichten erfüllen, die über bisherige KRITIS-Pflichten hinausgehen.

Besonders wichtige Einrichtungen

Eine nationale Besonderheit wird mit der Einführung der neuen Kategorie „besonders wichtige Einrichtungen“ deutlich. Da der bislang geltende Begriff der „Kritischen Infrastruktur“ nicht in den Referentenentwurf übernommen wurde, fällt der Betreiber der Kritischen Anlage unter die besonders wichtigen Einrichtungen. Somit muss zukünftig nur zwischen besonders wichtigen und wichtigen Einrichtungen unterschieden werden. Dabei wird im NIS2-Referentenentwurf von einer „Anlage“ und nicht von einer „Infrastruktur“ gesprochen.

Zu den besonders wichtigen Einrichtungen zählen:

• Unternehmen jeder Größenordnung aus folgenden Bereichen: Qualifizierte Vertrauensdienste, Top-Level-Domain-Registrare und DNS Dienste, Betreiber kritischer Anlagen (KRITIS-Betreiber), Zentralregierung (Bundesministerium und Bundeskanzleramt)

• Großunternehmen aus den Bereichen Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, IKT-Dienste, Weltraum

• Mittlere Unternehmen aus den Bereichen öffentlicher Telekommunikationsnetze und TK-Dienste.

Wichtige Einrichtungen

Die wichtigen Einrichtungen sind sehr weit gefasst, was den Kreis der betroffenen Unternehmen erheblich vergrößert. Zu den wichtigen Einrichtungen zählen:

• Unternehmen jeder Größenordnung aus folgenden Bereichen: Vertrauensdienste, Hersteller von Rüstungsgütern, Verschlusssachen-IT

• Großunternehmen aus den Bereichen Logistik, Siedlungsabfallentsorgung, Produktion, Chemie, Ernährung, verarbeitendes Gewerbe, Digitale Dienste und Forschung

• Mittlere Unternehmen aus den Bereichen Energie, Transport und Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Trinkwasser, Abwasser, Informationstechnik und Telekommunikation, IKT-Dienste, Weltraum

Unternehmensgrößen

Sowohl besonders wichtige als auch wichtige Unternehmen werden nach Größe unterschieden. Es gibt eine dreiteilige Abstufung:

• Unternehmen jedweder Größe

• Großunternehmen

• Mittlere Unternehmen

Unternehmen jedweder Größe: Unabhängig von ihrer Unternehmensgröße werden bestimmte Betreiber und Branchen reguliert: Dazu zählen qualifizierte Vertrauensdiensteanbieter, Top-Level-Domain-Name-Registrare sowie DNS-Diensteanbieter betroffen. Auch Einrichtungen der Zentralregierungen der Mitgliedstaaten gehören dazu. Damit sind sowohl die Bundesministerien als auch das Bundeskanzleramt erfasst.

Großunternehmen: Ein Großunternehmen ist ein Unternehmen oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft mit mindestens 250 Mitarbeitenden oder einem Jahresumsatz von mindestens 50 Mio. EUR. Zudem muss es eine Jahresbilanzsumme von mindestens 43 Mio. EUR aufweisen. Bei den besonders wichtigen Einrichtungen ergeben sich Überschneidungen mit KRITIS (Kritische Infrastruktur): Erfasst sind hier auch Großunternehmen, die den Sektoren Energie, Verkehr und Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur, Verwaltung von B2B-IKT-Diensten oder Weltraum zuzuordnen sind.

Mittlere Unternehmen: Hier gibt es zwei Möglichkeiten. Entweder beschäftigt das Unternehmen mindestens 50 und höchstens 249 Mitarbeitende und weist einen Jahresumsatz von weniger als 50 Mio. EUR oder eine Jahresbilanzsumme von weniger als 43 Mio. EUR auf oder es hat weniger als 50 Mitarbeiter und einem Jahresumsatz zwischen 10 und 50 Mio. EUR und eine Jahresbilanz zwischen 10 und 43 Mio. EUR. Dazu zählen Anbieter von TK-Diensten oder öffentlich zugänglichen TK-Netzen.

Kritische Anlage

Abweichend von dem in der NIS-2 verwendeten Wortlaut der „wesentlichen“ und „wichtigen“ Einrichtungen spricht der deutsche Gesetzgeber zudem von „Kritischen Anlagen“ als höchster Qualifikationsstufe. Diese Betreiber kritischer Anlagen fallen unter die „besonders wichtigen Einrichtungen“ und müssen als KRITIS-Betreiber mit der entsprechenden Methodik aus der KRITIS-Verordnung die Betroffenheit einzelner Anlagen feststellen.

Die Kritische Anlage ersetzt den bisherigen Begriff der Kritischen Infrastrukturen, der sich im Referentenentwurf zum NIS2-Umsetzungsgesetz (NIS2UmsuCG) nicht mehr wiederfindet. Eine Kritische Anlage ist eine Anlage, die für das Funktionieren des Gemeinwesens von hoher Bedeutung ist. Durch ihren Ausfall oder ihre Beeinträchtigung würden erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten. Dies umfasst Anlagen in den Sektoren Energie, Verkehr und Transport, Bankwesen, Finanzmarktinfrastrukturen, Gesundheitswesen, Trinkwasser, Abwasser, Ernährung, Digitale Infrastruktur sowie Siedlungsabfallentsorgung.

Der Betreiber einer Kritischen Anlage ist eine natürliche oder juristische Person oder eine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft, die unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf eine Kritische Anlage ausübt.

Ausnahmen

Ausnahmen ergeben sich vor allem durch bereichsspezifische und spezialgesetzliche Regelungen (Lex specialis). So sind Einrichtungen ausgenommen, die vom DORA, also der Verordnung über die digitale operationale Resilienz im Finanzsektor, erfasst werden.

Weitere Ausnahmen betreffen den Bereich der öffentlichen TK-Netze sowie TK-Dienste. Für diese gelten die Sondervorschriften des TKG. Auch der Bereich der Telematikinfrastruktur ist ausgenommen, da er durch die Vorschriften des SGB V besonders geschützt wird.

Allerdings dürften nicht alle Lex-specialis-Regelungen weitergehend Bestand haben. So ist geplant, dass die IT-Sicherheitsvorschriften für den Energiesektor durch das NIS2UmsuCG weitestgehend entfallen.

Besonders wichtige sowie wichtige Einrichtungen können zudem durch das Innenministerium von den Verpflichtungen nach dem BSIG befreit werden, wenn gleichwertige Vorgaben eingehalten werden. Zudem sind (teilweise) Befreiungen für Einrichtungen etwa aus dem Bereich der nationalen oder öffentlichen Sicherheit, der Verteidigung oder der Strafverfolgung vorgesehen. Voraussetzung ist auch hier, dass ein entsprechendes IT-Sicherheitsniveau anderweitig sichergestellt ist.

Wir beraten bei allen Aspekten rund um IT-Recht und Cybersecurity und unterstützen Sie dabei, die für Ihr Unternehmen relevanten Änderungen zu identifizieren. Dabei helfen wir ihnen, die aktuellen Entwicklungen im Blick zu behalten, relevante Themen zu identifizieren und diese vertraglich umzusetzen.

Bisher erschienen:

• Cybersicherheit: Die Umsetzung der NIS-2 in deutsches Reicht - Teil 1: Der Hintergrund der Verordnung

Rechtsanwalt Stefan Haßdenteufel
Experte für Open Source Software
E-Mail: hassdenteufel@web-partner.de