Kosten von NIS2

Der Referentenentwurf der NIS2-Umsetzung schätzt Aufwände für Wirtschaft und Bund für die Umsetzung der NIS2-Pflichten. Über 2 Mrd. EUR für Unternehmen und ca. 200 Mio. EUR für die Bundesverwaltung. In der Begründung des Gesetzes führt der Gesetzgeber detailliert auf, wo welche Zusatzaufwände durch neue und erweiterte Pflichten entstehen.

Unternehmen
Staat
Bundeseinrichtungen
Behörden
KRITIS-Dachgesetz

Die Kalkulation basiert auf Annahmen, Schätzungen des Gesetzgebers und der Behörden sowie Daten des statistischen Bundesamts – Fälle pro Jahr, Bearbeitungszeiten, Mehraufwände, durchschnittlicher Stundenlohn usw. Dies wird dann aufgeschlüsselt in Mehraufwände durch neue Pflichten, detailliertere Prozesse und mehr Vorgaben.

Die Zahlen basieren auf Schätzungen des NIS2-Referentenentwurfs von Juli 2024.

Unternehmen

Betroffene Unternehmen

In Deutschland geht der Gesetzgeber von etwa 30 Tausend betroffenen Unternehmen aus, von denen nur 17 Prozent im Grundsatz ausreichende Maßnahmen ergriffen haben. Abzüglich der bestehenden Betreiber haben über 20 Tausend Handlungsbedarf.

Der Gesetzesentwurf prognostiziert die von NIS2 betroffenen Unternehmen:

Besonders wichtige Einrichtungen: 8.250 Unternehmen
- davon 4.693 digitale Dienste und Betreiber Kritischer Infrastrukturen (KRITIS)
- davon rund 3.550 neue besonders wichtige Einrichtungen
- davon rund 2.950 mit Nachholaufwand
Wichtige Einrichtungen: 21.600 Unternehmen
- davon rund 21.600 neue wichtige Einrichtungen
- davon rund 17.900 mit Nachholaufwand

Aufwände

Für die Wirtschaft berechnet der Gesetzesentwurf Aufwände für die Anpassung digitaler Geschäftsprozesse für Unternehmen mit Nachholbedarf. Der Entwurf geht von 2,1 Mrd. EUR einmaligen Kosten und 2,2 Mrd. EUR jährlichen Kosten für die Wirtschaft aus.

Nachholbedarf haben 83 Prozent der betroffenen knapp 30 Tsd. Einrichtungen. Unterteilt wird in Sachkosten wie IT, Prozesse, Schulungen und Personalkosten für neue Stellen für Aufgaben und Pflichten – unterteilt in einmalig und jährlich. Begründung A. VI. 4.

eigene Zusammenstellung, basierend auf Referentenentwurf, Mai 2024
Gruppe	Aufwand	Rechnung	Summe
Besonders wichtige Einrichtungen – jährliche Sach/Personalkosten
	IT-Sicherheit	2.950 neue Unternehmen mit Nachholbedarf	600 Mio. EUR
Wichtige Einrichtungen – jährliche Sach/Personalkosten
	IT-Sicherheit	17.900 neue Unternehmen mit Nachholbedarf	1,5 Mrd. EUR
Alle Einrichtungen – einmalige Kosten
	IT-Sicherheit	Alle (neue?) Einrichtungen	2.1 Mrd. EUR
	Registrierungspflichten	23.850 neu registrierende Unternehmen	361 Tsd. EUR
Alle Einrichtungen – jährliche Personalkosten
	Meldepflichten	2.400 zusätzliche neue Meldungen + Mehraufwand für bestehende Prozesse	1 Mio. EUR
	Schulungen	Mehraufwand für Geschäftsleiter und Mitarbeiter: rund 3 Mio. zu schulende Personen pro Jahr	159 Mio. EUR
	Registrierungspflichten	7.950 Änderungen pro Jahr	48 Tsd. EUR
	Nachweise §65	24 jährlich zu prüfende Einrichtungen	849 Tsd. EUR

Der Staat

Bundesverwaltung

Für die Bundesverwaltung geht der Gesetzgeber zur Umsetzung der NIS2-Vorgaben und Prozesse von zusätzlichen Haushaltsausgaben und Planstellen von 2025 bis 2028 aus: Begründung A. VI. 3.

Haushaltsaufwand, eigene Zusammenstellung aus NIS2-Entwurf Juli 2024
	2025	2026	2027	2028
Vollzugsaufwand	192 Mio. EUR	192 Mio. EUR	209 Mio. EUR	216 Mio. EUR
Planstellen	640	825	977	1.034

Die Aufwände in der Bundesverwaltung teilen sich noch weiter auf. Einerseits gab es Abfragen und Annahmen zur Umsetzungen der direkten Pflichten für Bundeseinrichtungen, andererseits konkrete Kalkulationen für die Zusatzaufwände in Regulierungsaufgaben für Behörden. Da die Daten sensibel seien, sind die Kalkulationen nicht so detailliert wie bei Unternehmen.

Bundeseinrichtungen

Bei Bundeseinrichtungen kalkuliert der Gesetzgeber für die Umsetzung der NIS2-Pflichten zusätzliche Aufwände analog zu Unternehmen. Behörden gehen von 395 zusätzlichen Stellen aus mit einmaligen Aufwand von 27 Mio. EUR. Begründung A. VI. 4. c. a. aa.

eigene Zusammenstellung, basierend auf Referentenentwurf, Juli 2024
Gruppe	Aufwand	Rechnung	Summe
Einrichtungen der Bundesverwaltung – jährliche Sach + Personalkosten
	IT-Sicherheit	Risikomanagement, IT-Grundschutz, Infrastruktur 170 neue Stellen Infrastruktur, Hardware, Lizenzen Beratung Pentests, IT-GS, Notfallmanagement	14 Mio. EUR
	Meldepflichten	134 neue Stellen + externe IT-Security und Experten	17 ,9 Mio. EUR
	Schulungen	keine Kalkulation (u.a. 31,7 neue Stellen)	5,2 Mio. EUR
	Digitalisierung	59 neue Stellen + IT-Dienstleister und Beratung	9,8 Mio. EUR
Einrichtungen der Bundesverwaltung – einmalige Sach + Personalkosten
	IT-Sicherheit	Aufbau Infrastruktur, Beratung, Konzepte 710 Stellen Infrastruktur, Hardware, Lizenzen Beratung, Coaching, Schulung	16 Mio. EUR
	Meldepflichten	11 Stellen + externe IT-Security und Experten	5,2 Mio. EUR
	Schulungen	keine Kalkulation	0,9 Mio. EUR
	Digitalisierung	IT-Dienstleister und Beratung	4,7 Mio. EUR

Aufsichtsbehörden

Für die Regulierungsbehörden kalkuliert der Gesetzgeber zusätzliche Vollzugsaufwände bei BSI, BBK, BNetzA, BfDI und BMI für NIS2. Durch die stark zunehmende Anzahl der zu beaufsichtigen Einrichtungen und erweiterte Prozesse braucht es 858 zusätzlicher Stellen und Sachkosten von 73 Mio. jährlich und 36 Mio. EUR einmalig. Begründung A. VI. 4. c. a. ab.

eigene Zusammenstellung, basierend auf Referentenentwurf, Mai 2024
Gruppe	Aufwand	Rechnung	Summe
Aufsichtsbehörden – jährliche Personal- und Sachkosten
	Grundsatz und Befugnisse	Mehr Aufgaben BSI 305 Stellen ITZBund 318 Stellen BfDI 4 Stellen IT, Prozesse, Beratung 68 Mio. EUR	123 Mio. EUR
	Meldungen	Mehr und umfangreichere Meldungen BSI 104 Stellen BBK 6 Stellen IT, Tools, Kommunikation 1,1 Mio. EUR	10,9 Mio. EUR
	Register	Mehr Registrierungen und Daten BSI 20 Stellen BBK 6 Stellen	2,1 Mio. EUR
	Zentrale Meldestelle	Gefahrenabwehr, mehr Betroffenheit BSI 33 Stellen BBK 7 Stellen BNetzA 4 Stellen	4,2 Mio EUR
	Verschiedene Aufgaben Bund	Mehr Aufgaben, Prozesse, Standards BMI 8 Stellen BBK 6 Stellen BSI 14 Stellen Studien 2,5 Mio. EUR	5 Mio. EUR
	Verschiedene Aufgaben Länder	Gefahrenabwehr etc.	gering
	Grundsatz Energie	Kataloge, Vorgaben, Mängel BNetzA 10,8 Stellen	1 Mio. EUR
	Grundsatz Telekommunikation	Prüfungen, Ausbildung BNetzA 12 Stellen	2,9 Mio. EUR
Aufsichtsbehörden – einmalige Sachkosten
	Grundsatz und Befugnisse	IT, Prozesse, Beratung	28 Mio. EUR
	Meldungen	IT, Tools, Kommunikation	508 Tsd. EUR
	Register	Notebooks	8 Tsd. EUR
	Zentrale Meldestelle	Notebooks	11 Tsd. EUR
	Verschiedene Aufgaben		11 Tsd. EUR
	Grundsatz Telekommunikation	VS-Registratur	8 Mio. EUR

KRITIS-Dachgesetz

Aufwände

Im Referentenentwurf November 2024 des KRITIS-Dachgesetzes wurden fast alle Aufwände für Verwaltung und Wirtschaft wieder entfernt. Diese könnten erst später geschätzt werden.

Der aktuelle Referentenentwurf vom KRITIS-DachG schätzt Aufwände für die Umsetzung in der Wirtschaft und der Verwaltung, jedoch hängt die konkrete Höhe von der Anzahl an kritischen Anlagen nach §16 und den noch zu erlassenden Vorgaben ab. IV. 3.

Wirtschaft

Im Entwurf von November 2024 wird lediglich ein einmaliger Belastungsrichtwert von 1,7 Mrd. EUR und jährlicher Belastungsrichtwert von 500 Mio. EUR für die Wirtschaft geschätzt.

Konkrete Kalkulationen zur Aufwand für die Wirtschaft enthält der Entwurf von Dezember nicht, nimmt aber an, dass 1.300 Betreiber kritischer Anlagen über keine ausreichende physische Resilienz verfügen. Die Kosten für Resilienz seien zehn Mal so hoch wie für IT-Sicherheit, daraus folgt die Schätzung eines jährlichen Aufwands im hohen dreistelligen Millionenbereich.

Die Annahmen sind wie folgt: IV. 3. b.

Aufwände Wirtschaft im Dachgesetz, Stand April 2024
* - ist hier §13 gemeint?
Pflicht	Jährlich Unternehmen	Einmalige Kosten
Registrierung §§8, 18	relativ gering
Risikoanalysen §12	spürbar einstelliger Mio-Bereich
Resilienz-Maßnahmen §13	[wird nicht einzeln erwähnt?]
Einhaltung Mindeststandards §14 (1) und §14*
Branchenstandards §14 (2)	relativ gering
Resilienzpläne §13 (4)	relativ gering
Nachweise §16	relativ gering
Äquivalenzprüfung §‚9-11 i.V.m. §4 (7)	relativ gering
Meldepflicht §18	relativ gering

Verwaltung

Der Entwurf November 2024 macht zu einzelnen Schätzungen für die Verwaltung (fast) gar keine Angaben mehr.

Für die Verwaltung wird 6,4 Mio. EUR Aufwand jährlich geschätzt, davon 2,1 Mio für die Länder. Es gibt dazu eine sehr umfangreiche Kalkulationen im Gesetz basierend auf einzelnen Fällen pro Verpflichtung in Minuten, die dann in jährliche Aufwände (Personal, Sachkosten) für Bund und Länder und Einmalkosten (IT, Lösungen) umgerechnet werden. IV. 3. c.

Aufwände Verwaltung im Dachgesetz, Stand April 2024
Pflicht	Jährlich Bund	Jährlich Länder	Einmalige Kosten
KRITIS-Resilienzstrategie §1			36 Tsd. + 50 Tsd. EUR
Registrierung und Meldungen §8, 18
Nationale Risikoanalysen §11 (1)
Zentralaufgaben Risiken §11 (2-5)	352 Tsd. EUR		1.1 Mio EUR
Branchenstandards §14 (1-2)	599 Tsd. EUR	213 Tsd. EUR	1.8 Mio + 116 Tsd. EUR
Nachweisverfahren §16	2.8 Mio EUR	1.6 Mio EUR	256 Tsd. EUR
Äquivalenzprüfung §9-11
Meldungen §18	200 Tsd. EUR		1.9 Mio EUR
Unterstütung Betreiber §19
Berichtspflichten §§?	333 Tsd. EUR	263 Tsd. EUR	370 + 354 Tsd. EUR
Ordnungsverfahren §19

Die Kalkulationen im April 2024 Entwurf sind unvollständig. Es sind weiterhin Platzhalter für Pflichten der Bundesverwaltung bei der eigenen Umsetzung skizziert.

Bürger

Für Bürger entsteht kein Erfüllungsaufwand.

Weitere Informationen

Literatur

NIS2-Umsetzungsgesetz bei OpenKRITIS

Quellen

Entwurf eines NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes, Referentenentwurf, Innenministerium, Intrapol, 07.05.2024
Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Version Dezember 2023, Intrapol, 7. März 2023