Während die NIS-2-Richtlinie in Fortführung der NIS-Richtlinie den Fokus auf Cyber- und Informationssicherheit richtet, adressiert die CER-Richtlinie die physische Resilienz und den entsprechenden Schutz vor physischen Angriffen. Beide Richtlinien gehen methodisch und inhaltlich über die bestehende deutsche KRITIS-Regulierung hinaus.

NIS-2-Richtlinie: Ziele und Anwendungsbereich

Die NIS-2-Richtlinie weitet ihren bisherigen Anwendungsbereich erheblich aus. Zu den neu einbezogenen Sektoren und KRITIS-Einrichtungen gehören Anbieter öffentlicher elektronischer Kommunikationsnetze und -dienste, Rechenzentren, Abwasser- und Abfallwirtschaft, Herstellung kritischer Produkte, Post- und Kurierdienste, das Gesundheitswesen im weiteren Sinne sowie Einrichtungen der öffentlichen Verwaltung.

Inhaltlich werden die Anforderungen an das Cybersicherheitsrisikomanagement verschärft und die Meldepflichten für Sicherheitsvorfälle mit neuen Bestimmungen über die Berichterstattung, den Inhalt und den Zeitplan präzisiert. Die NIS-2-Richtlinie ersetzt die Vorschriften über die Sicherheit von Netz- und Informationssystemen.

Die bisherige NIS-Richtlinie ist über die Gesetze zur Erhöhung der Sicherheit informations-technischer Systeme (IT-SiG) in nationales Recht umgesetzt. Durch die neue Richtlinie dürften Änderungen am BSIG und der BSI-Kritisverordnung notwendig werden.

Öffentliche Verwaltung und NIS-2-Richtlinie: Wer fällt darunter?

Gemäß Anhang I der NIS-2-Richtlinie wird die öffentliche Verwaltung als Sektor mit höher Kritikalität eingestuft. Die Richtlinie selbst nimmt dabei die Einrichtungen der öffentlichen Verwaltung von Zentralregierungen in den Blick. Den Mitgliedstaaten bleibt es unbenommen, im Rahmen der nationalen Umsetzung Einrichtungen der öffentlichen Verwaltung auf lokaler Ebene in den Anwendungsbereich einzubeziehen.

Eine entsprechende Debatte läuft bereits. In der Mitgliedschaft des Deutschen Städtetages wird eine Erweiterung auf die kommunale Verwaltung zurückhaltend diskutiert. Die Meinungsbildung ist noch nicht abgeschlossen. Klar dürfte sein, dass mit einer umfassenden Einbeziehung der kommunalen Verwaltung als KRITIS neue Anforderungen und Standards einhergehen. Allerdings ist auch zu betrachten, dass in einer Krisenlage und im Katastrophenfall gerade die Verwaltung auf der kommunalen Ebene funktionieren muss. Insofern besteht schon aus dem Präventionsgedanken heraus die Notwendigkeit, die Resilienz bestimmter Teile der öffentlichen Verwaltung sicherzustellen und gegebenenfalls zu erhöhen. Diese Ziele sind schon heute Teil von Notfall- und Katastrophenplänen vor Ort.

NIS-2-Richtlinie und kommunale Unternehmen: direkte Auswirkungen

Für kommunale Unternehmen, die bereits jetzt den IT-Sicherheitspflichten nach dem IT-Sicherheitsgesetz 2.0 unterliegen, wird sich mit der neuen NIS-2-Richtlinie voraussichtlich nicht so viel ändern. Allerdings wird die Umsetzung der Richtlinie zur Ausweitung von IT-Sicherheitsregeln auf eine Vielzahl von Unternehmen führen, die bisher hiervon nicht erfasst wurden. Dies liegt daran, dass zukünftig nicht mehr die Anzahl der versorgten Kunden maßgeblich für die Anwendung des Gesetzes ist, sondern die Unternehmensgröße. Hier sind Unternehmen in den erfassten Sektoren bereits ab einer Mitarbeiterzahl von 50 Mitarbeitenden oder ab 10 Millionen Euro Jahresumsatz betroffen.

CER-Richtlinie: Ziele, Sektoren und mehr nationaler Spielraum

Die neue CER-Richtlinie ersetzt die Richtlinie über kritische europäische Infrastrukturen aus dem Jahr 2008. Die neuen Vorschriften sollen die physische Widerstandsfähigkeit kritischer Infrastrukturen gegenüber einer Reihe von Bedrohungen stärken, darunter Naturkatastrophen, Terroranschläge, Insider-Bedrohungen oder Sabotage.

Die folgenden elf Sektoren fallen in den Anwendungsbereich: Energie, Verkehr, Banken, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, öffentliche Verwaltung, Raumfahrt und Lebensmittel.

Die CER-Richtlinie verpflichtet die Mitgliedsstaaten, bis Mitte 2026 die Einrichtungen kritischer Infrastrukturen zu bestimmen. Außerdem müssen die Mitgliedstaaten eine nationale Strategie entwickeln und regelmäßige Risikobewertungen durchführen, um die Einrichtungen zu ermitteln, die für die Gesellschaft und die Wirtschaft als kritisch oder lebenswichtig gelten.

Anders als in der NIS-2-Richtlinie, die für Unternehmen feste Stellenwerte für den Anwendungsbereich vorgibt, wird die nationale Gesetzgebung für die Festlegung der betroffenen Institutionen entscheidend sein.

Umsetzung der CER-Richtlinie durch ein KRITIS-Dachgesetz

Die Bundesregierung beabsichtigt, mit einem KRITIS-Dachgesetz die CER-Richtlinie umzusetzen. Das Bundeskabinett hat am 7. Dezember 2022 die Eckpunkte für ein KRITIS-Dachgesetz beschlossen.

Festlegungen über den Anwendungsbereich und die Standards sind noch nicht getroffen. Die Debatte zur Rolle der öffentlichen Verwaltung auf kommunaler Ebene gilt ebenso für die Festlegung von KRITIS im KRITIS-DachG.

Kitas als kritische Infrastruktur

Ins Gespräch gebracht wird zudem, Kindertageseinrichtungen in den Anwendungsbereich als kritische Infrastruktur einzubeziehen. Zweifellos nehmen Kitas eine wichtige Rolle ein. Dies haben die Erfahrungen mit der Pandemie eindrücklich gezeigt. Der Deutsche Städtetag ist jedoch skeptisch, ob Kindertageseinrichtungen gesetzlich und mit allen Konsequenzen als gesonderter KRITIS-Sektor festgeschrieben werden sollten und warnt vor einer solchen Ausweitung. Eine Einbeziehung sämtlicher Kinderbetreuungseinrichtungen in einem Sinne, dass sie in einer Krisenlage „prioritär“ zu schützen sind und jeweils eigene Sicherheitskonzepte vorhalten und umsetzen müssen, kann nicht sinnvoll sein – auch mit Blick auf eine entsprechende Erwartungshaltung in der Bevölkerung. Vielmehr sollte vor Ort entschieden werden, welche Kita in einer Krisenlage in welchem Umfang aufrechterhalten werden muss. In der Diskussion während der Pandemie um die Berufsgruppen, die der kritischen Infrastruktur zuzurechnen sind, wurde gerade deutlich, dass Kitas der kritischen Infrastruktur nicht unmittelbar zuzurechnen sind, sondern Kitaschließungen mittelbare Auswirkungen auf die kritische Infrastruktur haben können.

Rechtlich gesehen, wäre die derzeitige Anforderung an KRITIS von „erheblichen Versorgungsengpässen oder Gefährdungen für die öffentliche Sicherheit“, wie im BSIG formuliert (§ 2 Abs. 10), jedenfalls nicht gegeben. Das BSIG müsste bei einer Ausweitung entsprechend geändert werden.

Weiteres Verfahren

Ein Gesetzentwurf soll bis zur Sommerpause 2023 vom Bundesinnenministerium vorgelegt werden.

(Quelle: Schrb.DST vom 21. Februar 2023)