Die Bundesregierung hat einen Gesetzentwurf zur Umsetzung der sog. NIS-2-Richtlinie der EU vorgelegt, der zugleich der “Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung” (20/13184) dienen soll (vgl. hib – heute im bundestag – Nr. 657 vom 7.10.2024). Mit diesem “NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz” werde der mit dem IT-Sicherheitsgesetz von 2015 und dem “IT-Sicherheitsgesetz 2.0” von 2021 geschaffene Ordnungsrahmen laut Vorlage entsprechend der unionsrechtlichen Vorgaben “auf den Bereich bestimmter Unternehmen erweitert”; zusätzlich werden den Angaben zufolge entsprechende Vorgaben für die Bundesverwaltung eingeführt. Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll, wie die Bundesregierung darlegt. Danach sollen wichtige und besonders wichtige Einrichtungen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Zu den im Gesetzentwurf vorgesehenen Änderungen zähle laut Vorlage die “Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht”. Daneben sollen den Angaben zufolge wesentliche nationale Anforderungen an das Informationssicherheitsmanagement des Bundes gesetzlich verankert und die Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben harmonisiert werden. Des Weiteren will die Bundesregierung mit dem Gesetzentwurf das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen ausweiten und den Katalog der Mindestsicherheitsanforderungen des Art. 21 Abs. 2 der Richtlinie in das BSI-Gesetz übernehmen. Zudem solle u. a. die bislang einstufige Meldepflicht bei Vorfällen durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt werden. Dabei will die Bundesregierung den bürokratischen Aufwand für die Einrichtungen “im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums” minimieren. Vgl. zur NIS2-Richtlinie auch Wegmann, BB 2023, 835 ff.

Uta Wichering, Ressortleiterin Wirtschaftsrecht