Gastbeitrag von:
Lucas Link,
Rechtsanwalt
Aecoute
Nachdem die Umsetzung der NIS-2-Richtlinie in deutsches Recht in der vergangenen Legislatur knapp an dem frühzeitigen Koalitionsbruch gescheitert ist, treibt die neue Bundesregierung das Gesetzesvorhaben nun wieder ambitioniert voran. Im Zuge der Verbändeanhörung zum neuesten Referentenentwurf am 4. Juli gab das federführende BMI einen Zeitplan bekannt, der ein Inkrafttreten der Regelungen noch in diesem Jahr in Aussicht stellt. Es scheint also voranzugehen in Sachen IT-Resilienz und Cybersicherheit. Doch was bedeutet die absehbare Umsetzung für den Energiesektor? Dieser Beitrag soll einen Überblick über die Anforderungen verschaffen, die Stromlieferanten, Anlagenbetreiber und Co. einzuhalten haben werden.
Anwendungsbereich
Im Januar 2023 trat die NIS-2-Richtlinie in Kraft und löste damit die bis dato geltende NIS-Richtlinie ab. Anlass der Novellierung war die Feststellung, dass deren Vorgaben nicht hinreichend harmonisiert umgesetzt wurden und sich sowohl Anwendungsbereich als auch das Maßnahmenregime zur Bewältigung neuer Bedrohungslagen als zunehmend unzureichend darstellten. Daher wird der Kreis der Verpflichteten gegenüber der bisherigen Richtlinie erheblich erweitert.
Fortan müssen nicht mehr nur die sogenannten KRITIS-Betreiber IT-Sicherheitsmaßnahmen ergreifen, sondern alle Unternehmen, die nach § 28 Abs. 1 und 2 des neuen Entwurfs des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG-E) als wichtige Einrichtung oder besonders wichtige Einrichtung eingestuft sind. Darunter fällt, wer in einem der in den Anlagen 1 und 2 zum BSIG-E genannten Bereiche tätig ist und zugleich nach der "KMU-Empfehlung“ der Kommission (2003/361/EG) zumindest als mittleres Unternehmen gilt.
Der Adressatenkreis im Energiesektor ist weit, wie ein Blick in die Anlage 1 zum BSIG-E offenbart: Von Stromlieferanten über Betreiber von Erzeugungsanlagen, Speichern oder Ladepunkten bis hin zu Fernwärmeversorgern und Gaslieferanten ist der Index betroffener Akteure weit gefächert. Zwischen solchen Versorgern, deren Tätigkeit maßgeblich für die Normziele der Sicherheit der Union und des reibungslosen Funktionierens von Wirtschaft und Gesellschaft ist und solchen, die eine eher untergeordnete Rolle spielen, unterscheidet die Richtlinie auf dieser Ebene nicht.
Diffuse Begrifflichkeit bei De-Minimis
Zwar sieht der Referentenentwurf eine Art De-Minimis-Regelung für "vernachlässigbare“ Geschäftstätigkeiten in § 28 Abs. 3 BSIG-E vor, mit der verhindert werden soll, "dass eine nur geringfügige Nebentätigkeit zu einer unverhältnismäßigen Identifizierung als wichtige oder besonders wichtige Einrichtung führt". Dieser Ansatz dürfte – von der diffusen Begrifflichkeit einmal abgesehen – mit Blick auf den unionsrechtlichen Harmonisierungsansatz allerdings zweifelhaft sein, sieht die Richtlinie doch keine allgemeinen Ausnahmeregelungen für "Nebentätigkeiten" vor. Ob die Regelung des § 28 Abs. 3 BSIG-E im Gesetzgebungsprozess beibehalten wird, ist daher abzuwarten.
Als wichtige Einrichtung betroffen ist, wer in den letzten zwei Geschäftsjahren im Durchschnitt mindestens 50 Mitarbeitende oder Umsatzerlöse beziehungsweise eine Jahresbilanzsumme von jeweils mehr als 10 Millionen Euro vorzuweisen hatte – eine Grenze, die schnell erreicht sein kann, da die Geschäftszahlen von Partner- und verbundenen Unternehmen bei der Einstufung angerechnet werden müssen. Besonders wichtige Einrichtungen sind Unternehmen, die einer in Anlage 1 des BSIG-E genannten Tätigkeit nachgehen und mindestens 250 Mitarbeitende haben oder deren Umsatzerlöse 50 Millionen Euro beziehungsweise deren Jahresbilanzsumme 43 Millionen Euro übersteigen. Die Differenzierung wichtiger und besonders wichtiger Einrichtungen ist mit Blick auf den Pflichtenkatalog des BSIG-E nicht nachrangig, sondern hat Folgen vor allem für das anwendbare Aufsichtsregime.
Folgt man den Anmerkungen des Bundesinnenministeriums im aktuellen Referentenentwurf, so sollen von der Regulierung künftig etwa 30.000 Unternehmen betroffen sein, wobei man die dahingehenden Angaben des Wirtschaftsministeriums aus der vorangegangenen Entwurfsfassung trotz der nicht unerheblichen Änderung des Anwendungsbereichs in § 28 Abs. 3 BSIG-E offenbar einfach übernommen hat.
Wesentliche Pflichten der Adressaten
Als zentrale Maßnahme fordert die neue Regelung betroffene Unternehmen in § 30 BSIG-E auf, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen gegen Beeinträchtigungen der Cybersicherheit zu ergreifen. Das Gesetz übernimmt damit den risikobasierten Ansatz der NIS-2-Richtlinie. Für Betreiber kritischer Anlagen gelten dabei nach § 31 BSIG-E erhöhte Anforderungen.
Neben dem Risikomanagement schreibt das Gesetz in § 32 BSIG-E ein detailliertes Vorfallmanagement einschließlich kurzfristiger und recht umfangreicher Meldepflichten vor. Wichtige Einrichtungen und besonders wichtige Einrichtungen sind zudem verpflichtet, sich bei einer vom BSI gemeinsam mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichteten Stelle als solche zu registrieren und eine jederzeitige Erreichbarkeit zu gewährleisten.
Speziell für den Energiesektor gilt abweichend von den §§ 30 ff. BSIG-E ein neuer § 5c EnWG-E, welcher die aktuell in § 11 Abs. 1a-1g EnWG enthaltenen Sicherheitsvorgaben ablöst. Damit werden auch unter der neuen Regelung spezialgesetzliche Vorgaben für den Energie- und Telekommunikationsbereich ausgegliedert. Die dort vorgesehenen Regelungen setzen die NIS-2-Richtlinie allerdings weitgehend identisch um und sind vorrangig unterschiedlichen Zuständigkeiten bei der Festlegung der IT-Sicherheitskataloge geschuldet.
Ausblick
Auch wenn das Umsetzungsgesetz nicht vor Ende 2025 in Kraft treten wird, sollten mittelgroße Unternehmen des Energiesektors im Sinne der KMU-Empfehlung zeitnah prüfen, ob sie in einer der in Anlage 1 des BSIG-E aufgeführten Einrichtungsarten tätig sind und sich in diesem Fall mit den verschärften Anforderungen der §§ 30 ff. BSIG-E beziehungsweise des § 5c EnWG-E befassen. Denn großzügige Umsetzungsfristen für die Betroffenen lässt der Gesetzentwurf vermissen.
Initial wird eine Risikoanalyse durchzuführen sein, auf deren Grundlage geeignete und verhältnismäßige Maßnahmen zur Verhütung von Cyber-Bedrohungen identifiziert werden können. In diesem Zusammenhang dürfte sich häufig die Einrichtung eines nach ISO 27001 zertifizierten Informationssicherheits-Managementsystems als sinnvoll erweisen, mit dem eine Vielzahl der absehbaren NIS-2-Vorgaben bereits umzusetzen sein werde. Eine Vollabdeckung des Maßnahmenkataloges des BSIG-E und des neuen § 5c EnWG-E kann dadurch allerdings nach aktueller Lage nicht garantiert werden, sodass es auf eine genaue Analyse im Einzelfall ankommen wird.
