Gastbeitrag von
Lucas Link,
Rechtsanwalt
Aecoute
Unter dem Begriff "KRITIS“ werden Organisationen oder Einrichtungen angesprochen, die von wichtiger Bedeutung für das staatliche Gemeinwesen sind und bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Um deren Schutz vor Angriffen zu erhöhen und Ausfallrisiken zu minimieren, wurde in den vergangenen Jahren auf EU-Ebene eine Vielzahl von Richtlinien und Verordnungen mit unterschiedlichen Regelungsgegenständen erlassen, darunter die sogenannte "NIS-2-Richtlinie" zur Stärkung der Cybersicherheit und die "CER-Richtlinie" über die Resilienz kritischer Einrichtungen.
Die NIS-2-Richtlinie war bis zum 17. Oktober 2024 in mitgliedstaatliches Recht umzusetzen, womit die Bundesregierung nun bereits erheblich im Verzug ist. Ein Vertragsverletzungsverfahren wurde im November 2024 eingeleitet. Um in diesem Zusammenhang Strafzahlungen zuvorzukommen, wird der Gesetzgeber die Richtlinie nun schnellstmöglich umsetzen müssen. Entsprechend wurde das Gesetzgebungsverfahren Gerüchten zufolge auch in der neuen Koalition priorisiert. Aus meiner Sicht spricht auch der neue Referentenentwurf, der gegenüber seinem Vorgänger aus dem November 2024 im Wesentlichen redaktionelle Anpassungen enthält, dafür, dass mit einer zeitnahen Verabschiedung des Gesetzes zu rechnen sein könnte.
Was sich ändert – und was nicht
Der neue Entwurf bringt einige Änderungen im Detail, behält aber die Grundkonzeption des Umsetzungsgesetzes weitgehend bei. Damit dürfte auch dem Ziel einer schnellen Verabschiedung des Gesetzes geholfen sein. Der Anwendungsbereich bleibt gegenüber dem bisherigen Entwurfsstand unverändert weit. Somit sind von den Risikomanagement- und IT-Sicherheitsmaßnahmen, die nach dem novellierten BSIG-E beziehungsweise dem neu gefassten §-5c-EnWG-E einzuhalten sein werden, absehbar alle Energieversorger und Netzbetreiber betroffen, die in dem jeweiligen Bereich mindestens 50 Mitarbeitende oder mindestens 10 Millionen Euro Jahresumsatz und Jahresbilanzsumme aufweisen.
Tatsächlich enthält der neue Entwurf aus Sicht der betroffenen Energieunternehmen keine gravierenden Änderungen. Wesentlich dürfte insofern allein sein, dass nunmehr auch Betreiber digitaler Energiedienste in den Anwendungsbereich des neuen §-5c-EnWG-E fallen, wenn es sich bei ihnen nach Mitarbeiter- beziehungsweise Geschäftszahlen um wichtige oder besonders wichtige Einrichtungen nach § 28 Abs. 1, 2 und Anlage 1 des neuen BSIG-E handelt. Allerdings waren diese bereits in den Formulierungshilfen der vergangenen Bundesregierung aus dem Dezember 2024 vorgesehen gewesen, sodass auch hier keine wirklich neue Regelung gegeben ist.
Der digitale Energiedienst ist nach in dem Entwurf zur Änderung der BSI-Kritis-Verordnung (KritisV) definiert als "eine Anlage oder ein System, das den zentralen, standortübergreifenden Zugriff auf die Steuerung oder die unmittelbare Beeinflussung von Energieanlagen oder den zentralen, standortübergreifenden Zugriff auf die Steuerung oder die unmittelbare Beeinflussung dezentraler Anlagen zum Verbrauch elektrischer Energie oder Gas ermöglicht“.
Vollständige Abkopplung von Novelle des KRITIS-Dachgesetzes
Vorerst nicht mehr verfolgt wird in dem neuen Entwurf die Verschiebung der Definition kritischer Anlagen in das KRITIS-Dachgesetz, das bereits in der vergangenen Legislatur in einem separaten Gesetzgebungsverfahren verabschiedet werden sollte. Die erforderlichen Anpassungen erfolgen nun im Rahmen des NIS2UmsuCG durch eine Änderung der BSI-KritisV, sodass die Novelle des KRITIS-Dachgesetzes vollständig abgekoppelt werden kann. Mit dem KRITIS-Dachgesetz soll die CER-Richtlinie in deutsches Recht umgesetzt werden. Auch hier galt der 17. Oktober 2024 als Umsetzungsfrist, auch hier hat die Kommission ein Vertragsverletzungsverfahren gegen die Bundesrepublik in die Wege geleitet. Entsprechend dürfte mit einer Umsetzung ebenfalls bald zu rechnen sein.
Insgesamt enthält der neue Entwurf gegenüber den vorangegangenen keine grundlegenden Änderungen der gesetzlichen Regelungen. Daraus lässt sich – vorsichtig formuliert – die Hoffnung schöpfen, dass die Bundesregierung das Gesetzgebungsverfahren nun zügig vorantreiben und noch in diesem Jahr abschließen will.
