Der Staat
Der Sektor Staat und öffentliche Verwaltung gehört seit langem zu den Kritischen Infrastrukturen. Obwohl in vielen Gesetzen definiert, waren staatliche Organe und die öffentliche Verwaltung von den KRITIS-Pflichten meist ausgenommen. Mit NIS2 und KRITIS-Dachgesetz wird die Bundesverwaltung ab 2024 teilweise reguliert.
Während die EU-Direktive NIS2 große Teile der Regierung in mehreren Ebenen reguliert, gibt es im Bundesgesetz dafür viele Ausnahmen. Länder und Kommunen sind nicht explizit vom deutschen NIS2-Umsetzungsgesetz benannt, es soll aber NIS2-Landesgesetze geben. Viele Teile der Verwaltung bleiben außen vor.
Die in NIS2 neu definierten Einrichtungen gehen über die bisherigen Betreiber Kritischer Infrastrukturen hinaus – mit mehr betroffenen Sektoren, viel mehr Unternehmen und umfangreicheren Cybersecurity-Pflichten. Die NIS2-Regulierung in Deutschland setzt ab 2024 neue EU-Regulierung um, kann sich als Entwurf bis dahin aber noch verändern.
Kommunale Betriebe (AöR, GmbHs) fallen möglicherweise als Einrichtung unter NIS2-Pflichten.
Öffentliche Verwaltung
Bundesebene
Mit der NIS2-Umsetzung und dem KRITIS-Dachgesetz erweitert sich die deutsche Regulierung. Der Sektor Zentralregierung (Staat) ist ab 2024 neu in NIS2 reguliert.
Einrichtungen
Der Sektor ist in NIS2 und KRITIS-Dachgesetz auf verschiedenen Wegen definiert:
- Einrichtungen der Bundesverwaltung sind in NIS2 in §29 definiert
Stellen des Bundes
Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie Vereinigungen - Einrichtungen der Bundesverwaltung sind im KRITIS-Dachgesetz in §5 (1) definiert
Bundesministerien
Bundeskanzleramt
Pflichten
Die folgenden Pflichten ergeben sich ab 2024 für betroffene Einrichtungen:
| Thema | Bundesverwaltung | Bundesverwaltung |
|---|---|---|
| Gesetz | KRITIS-Dachgesetz | NIS2-Umsetzung |
| Fristen | ab 2026? | ab 2024 |
| Scope | Einrichtung | Einrichtung |
| Pflichten | §§6, 9-13, 17-18 Registrierung Vorfallsmeldungen Sanktionen |
§§30-37, 39-42 Registrierung Vorfallsmeldungen Sanktionen §§43-50 ISMS und ISB Vorgaben durch BSI Digitalisierung Koordination |
| Ausnahmen | §§7, 10 (6), 14 Europäische Relevanz B3S, Geschäftsleiter |
§§38, 40 (3), 61, 65 Geschäftsleiter Bußgelder Durchsetzungspflichten |
| Maßnahmen | §10 Resilienz Risikomanagement Physische Sicherheit |
§30 Informationssicherheit Risikomanagement IT-Sicherheit |
| Nachweise | Stichproben | Stichproben |
| Regulator | BBK | BSI |
Die Gesetze sind noch in Arbeit, Anpassungen an Pflichten und Maßnahmen sind möglich.
Ausschlüsse
Viele Einrichtungen des Bundes sind in NIS2 und KRITIS nicht, nur teilweise oder anderswo reguliert, und damit außerhalb der Regulierung Kritischer Infrastrukturen, u.a.:
- Institutionen der sozialen Sicherung §29 (1) §2 (18)
- Körperschaften §29 SGB IV
- Arbeitsgemeinschaften §94 SGB X
- Versorgungsanstalt der deutschen Bühnen, Versorgungsanstalt der deutschen Kulturorchester, Versorgungsanstalt der bevollmächtigten Bezirksschornsteinfeger s
- Deutsche Post AG, wenn mit Berechnung oder Auszahlung von Sozialleistungen betraut ist.
- Berufsständische Körperschaften (öR) §29 (1)
- Industrie- und Handelskammern (IHK) §29 (1)
- Handelskammern §29 (1)
- Bundesbank §29 (1)
- Geschäftsbereich des Bundesministeriums der Verteidigung §29 (3)
- Geschäftsbereich des Auswärtigen Amts §29 (3)
- Bundesnachrichtendienste §29 (3)
- Bundesamt für Verfassungsschutz §29 (3)
- Sicherheitsbehörden des Bundes §37 (2)
- Strafverfolgungsbehörden §37 (2)
- Nationale Sicherheit §37 (2)
Länder
Die deutschen Bundesländer sind im NIS2-Umsetzungsgesetz und dem KRITIS-Dachgesetz praktisch nicht definiert. Ein größer Teil der öffentlichen Verwaltung fällt damit nicht direkt unter die NIS2-Regulierung Kritischer Infrastrukturen.
Öffentliche Verwaltung
Eine lange Liste an Einrichtungen und Körperschaften der Landesebene ist nicht Teil der NIS2-Umsetzung und fällt damit wohl nicht explizit unter EU- oder Bundesvorgaben nach NIS2:
- Landesregierungen, Landesministerien
- Öffentliche Verwaltungen auf Landesebene allgemein
- Landesbehörden
- Landes-IT-Dienstleister und Landes-Rechenzentren
- Strafverfolgung und Polizeien der Länder
- Hochschulen und Bildungswesen
Landesgesetze
Es gibt Bestrebungen einzelner Bundesländer, NIS2 durch Landesgesetze umzusetzen. Einige dieser Gesetze sind schon bekannt, andere in Arbeit, teilweise ist auch nichts bekannt:
| Bundesland | NIS2-Gesetz | Bestehende Gesetze |
|---|---|---|
| Baden-Württemberg | - | Anpassung vielleicht |
| Brandenburg | unklar | - |
| Bremen | Gesetz geplant | - |
| Hessen | - | Anpassung geplant |
| Mecklenburg-Vorpommern | Gesetz geplant | - |
| Niedersachsen | nichts geplant | vorhanden |
| Nordrhein-Westfalen | ggf. | - |
| Saarland | - | Anpassung vielleicht |
| Sachsen | - | Anpassung geplant |
| Sachsen-Anhalt | Gesetz geplant | - |
| Thüringen | nichts geplant | - |
Kommunen
Die Kommunen in Deutschland sind im NIS2-Umsetzungsgesetz und dem KRITIS-Dachgesetz praktisch nicht definiert. Ein größer Teil der kommunalen öffentlichen Verwaltung fällt damit nicht direkt unter die NIS2-Regulierung Kritischer Infrastrukturen.
Einrichtungen
Kommunale Eigenbetriebe können als Einrichtungen (AöR, GmbH) unter NIS2 und auch KRITIS fallen, wenn sie die NIS2-Unternehmensgröße oder KRITIS-Schwellenwerte überschreiten, u.a.:
- Sektor Energie: Kommunale Stadtwerke, Heizkraftwerke
- Sektor Gesundheit: Kommunale Krankenhäuser und Gruppen
- Sektor Entsorgung: Kommunale Entsorger
- Sektor Wasser: Kommunale Wasser- und Abwasserwerke
- Sektor IT: Kommunale IT-Dienstleister und Rechenzentren
Öffentliche Verwaltung
Eine lange Liste an öffentlichen Einrichtungen auf kommunaler Ebene ist nicht explizit Teil der NIS2-Umsetzung und fällt damit wahrscheinlich nicht unter EU- oder Bundesvorgaben NIS2:
- Kommunale Verwaltung und Regierung
- Ämter, Stadthäuser, Dienstleistungszentren
- Kommunale Behörden
- Feuerwehr
- Kommunale Polizei, Stadtpolizei
- Schulen, Bildungseinrichtungen, Volkshochschulen
- Betreuuung
- Unklar: Kommunale Zweckverbänden und ähnliche
Weitere Informationen
Literatur
- Wie die Länder NIS-2 umsetzen, Tagesspiegel Background, Benjamin Stiebel, 29.2.2024
Quellen
- Wo stehen die Länder bei der Umsetzung der NIS-2-Richtlinie? HK2 Rechtsanwälte, Stand 28.2.2024
- Diskussionspapier des Bundesministeriums des Innern und für Heimat - NIS2UmsuCG, dritter Entwurf, AG KRITIS, 27.09.2023
- Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG, Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung, AG KRITIS, 3. Juli 2023
- Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS2-Richtlinie), 27.12.2022