Neuer Entwurf: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG

Von /

Quelle: ag.kritis.info

Der Referentenentwurf vom 26.05.2025 ist ein Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie der EU und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung. Ziel ist es, die Cybersicherheit in Deutschland angesichts zunehmender digitaler Vernetzung und Bedrohungen zu stärken.

Kerninhalte der letzten Version:

  • Erweiterung des Anwendungsbereichs: Der Entwurf weitet die bestehenden Cybersicherheitsanforderungen auf eine größere Anzahl von Sektoren und Einrichtungen aus, die als „wesentlich“ oder „besonders wichtig“ eingestuft werden. Dies umfasst sowohl klassische Kritische Infrastrukturen (KRITIS) als auch weitere Bereiche wie die Wasserwirtschaft, Abfallwirtschaft, digitale Infrastruktur, Gesundheitswesen, usw.
  • Risikomanagementpflichten: Betroffene Einrichtungen müssen angemessene und verhältnismäßige technische und organisatorische Maßnahmen zur Beherrschung der Risiken für die Sicherheit ihrer Netz- und Informationssysteme ergreifen. Dazu gehören u.a. Konzepte für die Risikoanalyse und Sicherheit von Informationssystemen, Vorfallbewältigung, Business Continuity und Notfallmanagement, Sicherheit der Lieferkette, Basishygiene der Cybersicherheit, Einsatz von Kryptografie und Verschlüsselung, Personalsicherheit und Zugangskontrolle.
  • Meldepflichten: Es werden gestaffelte Meldepflichten für erhebliche Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeführt:
    • Frühwarnung: Innerhalb von 24 Stunden nach Kenntnis eines erheblichen Vorfalls, wenn dieser die Erbringung einer Dienstleistung erheblich beeinträchtigen oder andere erhebliche Auswirkungen haben könnte.
    • Meldung des erheblichen Vorfalls: Innerhalb von 72 Stunden nach Kenntnis, inklusive erster Bewertung, Art und Schwere des Vorfalls und möglicher Auswirkungen.
    • Abschlussbericht: Spätestens einen Monat nach der Vorfallsmeldung.
  • Aufsicht und Durchsetzung: Das BSI erhält erweiterte Aufsichts- und Durchsetzungsbefugnisse, inklusive der Möglichkeit zur Durchführung von Überprüfungen, Anordnung von Maßnahmen und Verhängung von Bußgeldern bei Verstößen.
  • Zusammenarbeit und Informationsaustausch: Der Entwurf fördert die Zusammenarbeit und den Informationsaustausch zwischen den betroffenen Einrichtungen, dem BSI und anderen relevanten Behörden.
  • Anpassung bestehender Gesetze: Zahlreiche bestehende Gesetze, insbesondere das BSI-Gesetz und das IT-Sicherheitsgesetz, werden angepasst oder durch das neue NIS2UmsuCG ersetzt, um die Anforderungen der NIS-2-Richtlinie zu integrieren.

Auswirkungen für die Kommunale Ebene mit Wasserversorgung und Abwasserentsorgung

Für die Kommunale Ebene, insbesondere für die Bereiche Wasserversorgung und Abwasserentsorgung, die traditionell oft in kommunaler Hand oder eng mit Kommunen verbunden sind, sind die Auswirkungen des NIS2UmsuCG erheblich:

  1. Erweiterter Anwendungsbereich:
    • Wasserversorgung und Abwasserentsorgung sind explizit als wichtige Sektoren in der NIS-2-Richtlinie aufgeführt (Anhang I und II). Dies bedeutet, dass kommunale oder kommunal getragene Betriebe der Wasserver- und Abwasserentsorgung unter den Anwendungsbereich des Gesetzes fallen werden, sofern sie bestimmte Größenkriterien (Mitarbeiterzahl oder Jahresumsatz/Bilanzsumme) überschreiten oder als besonders wichtig eingestuft werden.
    • Es ist zu beachten, dass „Unternehmen, für die das Sammeln, die Entsorgung oder die Behandlung solchen Abwassers ein nicht wesentlicher Teil ihrer allgemeinen Tätigkeit ist,“ ausgenommen sein könnten, wie im älteren Entwurf angesprochen. Dies muss jedoch im endgültigen Gesetzestext präzisiert werden.
  2. Erhöhte Cybersicherheitsanforderungen:
    • Kommunale Wasser- und Abwasserversorger müssen umfassende Risikomanagementmaßnahmen implementieren. Das bedeutet, dass sie ihre IT- und OT-Systeme (Operational Technology, z.B. für die Steuerung von Pumpen, Kläranlagen) auf Schwachstellen analysieren, Sicherheitskonzepte entwickeln, Notfallpläne erstellen und ihre Lieferketten sichern müssen.
    • Dies erfordert Investitionen in technische Lösungen (z.B. Firewalls, Intrusion Detection Systeme, Verschlüsselung) und in die Schulung des Personals.
  3. Strengere Meldepflichten:
    • Bei erheblichen IT-Sicherheitsvorfällen (z.B. Ausfall der Steuerung einer Wasseraufbereitungsanlage durch Cyberangriff) müssen die Betriebe schnell agieren und das BSI innerhalb von 24 Stunden informieren, gefolgt von einer detaillierten Meldung nach 72 Stunden und einem Abschlussbericht. Dies erfordert die Einrichtung geeigneter Prozesse und die Verfügbarkeit von Fachpersonal (oder externen Dienstleistern), um Vorfälle schnell zu erkennen, zu bewerten und zu melden.
  4. Aufsicht und potenzielle Sanktionen:
    • Das BSI wird die Einhaltung der Vorschriften überwachen. Bei Nichteinhaltung können Bußgelder verhängt werden. Dies erhöht den Druck auf die kommunalen Betriebe, die Anforderungen konsequent umzusetzen.
  5. Verpflichtung zur Zusammenarbeit und zum Informationsaustausch:
    • Kommunale Wasser- und Abwasserversorger müssen sich aktiv an der Zusammenarbeit mit dem BSI und gegebenenfalls anderen relevanten Behörden beteiligen. Auch der Informationsaustausch innerhalb der Branche zur Verbesserung der kollektiven Cybersicherheit wird gefördert.
  6. Finanzielle und personelle Belastung:
    • Die Umsetzung der NIS-2-Anforderungen wird für viele kommunale Betriebe, insbesondere kleinere, eine erhebliche finanzielle und personelle Herausforderung darstellen. Es sind Investitionen in Hard- und Software, externe Beratung, Mitarbeiterschulungen und die Einrichtung neuer Prozesse notwendig.
    • Die Kommunen müssen prüfen, ob ihre Eigenbetriebe oder die kommunalen Unternehmen die erforderlichen Ressourcen und das Know-how intern aufbauen können oder ob sie auf externe Dienstleister zurückgreifen müssen.

Zusammenfassend lässt sich sagen, dass der NIS2UmsuCG-Entwurf die Cybersicherheit in der Wasserversorgung und Abwasserentsorgung deutlich stärken soll. Dies führt zu erhöhten Anforderungen und Pflichten für die kommunale Ebene, aber auch zu einer besseren Absicherung der kritischen Daseinsvorsorge gegen Cyberbedrohungen.

Nach oben scrollen