Neuer Entwurf: NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG

Nachdem letzte Referentenentwurf vom 26.05.2025 war, ist nun eine neue Version an die Öffentlichkeit gelangt und wieder bei der AG KRITIS zur Verfügung gestellt worden.

Nach sorgfältiger Prüfung der Dokumente

• „20250526-RefE-NIS2.pdf“ (im Folgenden „Dokument 1“) und
• „20250602-RefE-NIS2.pdf“ (im Folgenden „Dokument 2“), wobei Dokument 2 die neuere Version darstellt, sowie der Formulierungshilfe
• „241202-FH-NIS2UmsuCG-mit-Aend.BT-Druck.pdf“ (im Folgenden „Dokument 3“) als Kontext für legislative Überarbeitungen, lassen sich mehrere wichtige Änderungen in Dokument 2 im Vergleich zu Dokument 1 feststellen.

Im Folgenden finden Sie eine detaillierte Auswertung der Änderungen, die im neueren Dokument 2 zu finden sind:

I. Allgemeine und Strukturelle Änderungen

• Änderung im Titel des Referentenentwurfs:
  • Dokument 1 trägt im Titel die Bezeichnung „Referentenentwurf des Bundesministeriums des Innern und für Heimat„.
  • Dokument 2 hingegen verwendet die Bezeichnung „Referentenentwurf des Bundesministeriums des Innern“.
  • Änderung: Der Zusatz „und für Heimat“ wurde aus dem Titel des Referentenentwurfs entfernt. Diese Anpassung ist auch konsistent in den Texten beider Dokumente zu finden, wo „Bundesministerium des Innern und für Heimat“ durch „Bundesministerium des Innern“ ersetzt wird, z.B. in Verordnungsermächtigungen und Berichtspflichten.
• Streichung eines gesamten Änderungsartikels und kaskadierende Neunummerierung:
  • Dokument 1 enthielt als Artikel 4 die „Änderung der Besonderen Gebührenverordnung des Bundesministeriums des Innern, für Bau und Heimat…“.
  • Dokument 2 enthält diesen spezifischen Artikel 4 nicht mehr in seiner Auflistung der Änderungsartikel. Stattdessen wird der ursprüngliche Artikel 5 in Dokument 1 zu Artikel 4 in Dokument 2.
  • Änderung: Dieser Artikel wurde vollständig aus dem Entwurf entfernt. Dies führt zu einer kaskadierenden Neunummerierung aller nachfolgenden Artikel im gesamten Gesetzestext von Dokument 2 im Vergleich zu Dokument 1 (z.B. wird Artikel 5 in Dokument 1 zu Artikel 4 in Dokument 2, Artikel 6 zu Artikel 5, und so weiter). Dokument 3 bestätigt die Aufhebung von Artikel 4 in der neueren Version.
• Umfassende Streichung von Schlussartikeln zur KRITIS-Umsetzung:
  • Dokument 1 listete am Ende der Änderungsartikel zusätzliche Bestimmungen wie „Artikel 30 Weitere Änderung des Telekommunikationsgesetzes“, „Artikel 31 Weitere Änderung der Außenwirtschaftsverordnung“ und „Artikel 32 Weitere Änderung des BSI-Gesetzes“ auf, gefolgt von „Artikel 33 Inkrafttreten, Außerkrafttreten“.
  • Dokument 2 streicht diese Artikel vollständig. Der Artikel „Inkrafttreten, Außerkrafttreten“ wird zum neuen und einzigen Artikel 30 am Ende des Gesetzes.
  • Änderung: Diese signifikante Änderung bedeutet, dass die Implementierung des KRITIS-Dachgesetzes und die damit verbundenen Anpassungen nicht mehr innerhalb dieses spezifischen Entwurfs des NIS-2-Umsetzungsgesetzes erfolgen. Die Begründung in Dokument 3 bestätigt, dass frühere Vorschriften zur Bestimmung von Betreibern kritischer Anlagen entfallen sind, da sie nun über Verweise in das KRITIS-Dachgesetz geregelt werden.

II. Spezifische Inhaltsänderungen

• Erweiterung der Anordnungsbefugnis in § 10 BSI-Gesetz (Artikel 1):
  • Obwohl § 10 „Anordnungen von Maßnahmen zur Abwendung oder Behebung von Sicherheitsvorfällen“ in den bereitgestellten Inhaltsübersichten der Dokumente 1 und 2 nicht explizit aufgeführt ist, deutet die Begründung in Dokument 3 auf seine Existenz und eine wesentliche Änderung hin.
  • Dokument 3 beschreibt eine Ausweitung der Anordnungsbefugnis des Bundesamtes auf Sicherheitsvorfälle allgemein, statt der Begrenzung auf „gegenwärtige“ Sicherheitsvorfälle in § 10 BSI-Gesetz. Diese Ausweitung entspricht den Vorgaben von Artikel 32 Absatz 4 Buchstabe b der NIS-2-Richtlinie.
  • Änderung: Die Befugnisse des Bundesamtes, Anordnungen zur Abwehr oder Behebung von Sicherheitsvorfällen zu erlassen, wurden in ihrer Reichweite deutlich vergrößert, von „gegenwärtigen“ auf „allgemeine“ Sicherheitsvorfälle.
• Erweiterung der IT-Sicherheitsanforderungen in § 44 Absatz 1 (BSI-Gesetz):
  • Dokument 1 forderte in § 44 Absatz 1, dass „Die Einrichtungen der Bundesverwaltung Mindestanforderungen… erfüllen. Die Mindestanforderungen ergeben sich aus den BSI-Standards und dem IT-Grundschutz Kompendium… sowie die jeweils geltenden Fassungen aus denr Mindeststandards für die Sicherheit in der Informationstechnik des Bundes…“. Zudem enthielt § 44 Absatz 2 eine spezifische Verpflichtung für „Das Bundeskanzleramt und die Bundesministerien“, die BSI-Standards und das IT-Grundschutz-Kompendium einzuhalten. Für Gerichte und Verfassungsorgane hatten die Vorschriften empfehlenden Charakter.
  • Dokument 2 strafft in § 44 Absatz 1 die Formulierung und legt fest, dass „Die Einrichtungen der Bundesverwaltung Mindestanforderungen… erfüllen. Die Mindestanforderungen ergeben sich aus den BSI-Standards und dem IT-Grundschutz Kompendium (IT-Grundschutz) sowie aus den Mindeststandards für die Sicherheit in der Informationstechnik des Bundes (Mindeststandards).“. Der Absatz 2, der spezifische Anforderungen für das Bundeskanzleramt und die Bundesministerien enthielt, ist in Dokument 2 nicht mehr vorhanden. Die Begründung in Dokument 2 stellt klar, dass der IT-Grundschutz nun für „die Einrichtungen der Bundesverwaltung mittelbar Gesetzesrang“ erhält, wohingegen in Dokument 1 dies noch auf „die Bundesministerien und das Bundeskanzleramt“ begrenzt war. Zudem wird der Satz, der Gerichten und Verfassungsorganen einen empfehlenden Charakter einräumte, in Dokument 2 gestrichen.
  • Änderung: Dies stellt eine wesentliche Ausweitung der verbindlichen IT-Sicherheitsvorgaben auf die gesamte Bundesverwaltung dar, nicht nur auf die höchsten Behörden. Die Mindeststandards und der IT-Grundschutz erhalten für alle Einrichtungen der Bundesverwaltung mittelbar Gesetzesrang. Auch die vorherige Ausnahmeregelung für Gerichte und Verfassungsorgane entfällt, was ihre Position bezüglich der Verbindlichkeit dieser Vorgaben ändert.
• Einführung eines neuen Absatzes zur Meldebestätigung und Unterstützung in § 168 Telekommunikationsgesetz (TKG) (Artikel 26):
  • Dokument 1 enthält detaillierte Regelungen zur Meldung von Sicherheitsvorfällen in § 168 Absatz 1 bis 3 TKG, einschließlich Fristen für Erst- und Abschlussmeldungen. Es fehlt jedoch eine explizite Regelung zur Bestätigung des Meldungseingangs oder zur Unterstützung durch das BSI.
  • Dokument 2 fügt einen neuen Absatz 5 in § 168 TKG ein: Dieser verpflichtet die Bundesnetzagentur, den Meldepflichtigen unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach der frühen Erstmeldung eine Bestätigung über den Eingang der Meldung zu übermitteln. Zudem kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf Ersuchen der Verpflichteten zusätzliche technische Unterstützung, Orientierungshilfen oder operative Beratung zu Abhilfemaßnahmen leisten.
  • Änderung: Diese Ergänzung stellt eine Verbesserung des Meldeverfahrens dar, indem sie die Bestätigung des Meldungseingangs standardisiert und die Möglichkeit der technischen Unterstützung durch das BSI bei der Bewältigung von Sicherheitsvorfällen formalisiert.
• Erweiterung der Bußgeldtatbestände in § 65 Absatz 2 (BSI-Gesetz):
  • Dokument 1 listet in § 65 Absatz 2 verschiedene Ordnungswidrigkeiten auf.
  • Dokument 2 erweitert und präzisiert mehrere Bußgeldtatbestände:
    • Erweiterung von Nummer 1: Die Liste der Verweise auf Vorschriften, deren Zuwiderhandlung eine Ordnungswidrigkeit darstellt, wird in Dokument 2 unter Nummer 1 erheblich ausgedehnt, um Verstöße gegen Anweisungen zur Umsetzung von Risikomanagementmaßnahmen oder Berichtspflichten gemäß NIS-2-Richtlinie zu ahnden.
    • Strukturelle Änderung bei der Meldung von Registrierungsdaten: Der eigenständige Bußgeldtatbestand aus Dokument 1, Nummer 8 („entgegen § 34 Absatz 2 das Bundesamt nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet“), wird in Dokument 2 entfernt. Die Pflicht zur Übermittlung von Änderungen der Registrierungsdaten gemäß § 34 Absatz 1 ist nun explizit in Nummer 6 enthalten, die bereits die Registrierungspflichten abdeckt. Dies ist eine Konsolidierung der Tatbestände.
    • Einführung eines neuen Tatbestands zur Zertifikatsnutzung: Dokument 2 führt die neue Nummer 14 in § 65 Absatz 2 ein. Diese sanktioniert die Verwendung von Zertifikaten, Erklärungen oder Kennzeichen entgegen den Vorschriften, z.B. widerrufenen Cybersicherheitszertifikaten oder ungültig erklärten EU-Konformitätserklärungen gemäß § 52 Absatz 2 Satz 4, § 53 Absatz 1 Satz 4, § 54 Absatz 6 Satz 2 oder § 55 Absatz 4 Satz 1 BSI-Gesetz. Die Begründung bestätigt, dass dies ein neuer Bußgeldtatbestand ist, der das Missbrauchspotenzial ahnden soll.
  • Änderung: Diese Erweiterungen der Bußgeldvorschriften zielen darauf ab, die Durchsetzung der neuen und präzisierten Cybersicherheitsanforderungen, Anweisungsbefugnisse und Meldepflichten sowie die korrekte Nutzung von Zertifizierungen zu stärken.

III. Änderungen, die im Vergleich zu späteren Entwürfen/Dokument 3 relevant wären, aber nicht zwischen Dokument 1 und 2 sichtbar sind (da Dokument 2 noch zu früh datiert ist)

Es ist wichtig zu betonen, dass die in Dokument 3 sichtbaren, teils weitreichenden Änderungen (z.B. im Detail von § 41 (Prüfung des Einsatzes kritischer Komponenten) oder der Vorrangigkeit des Atomgesetzes) nicht in Dokument 2 enthalten sind. Dokument 2 ist ein früherer Referentenentwurf als der „Entwurf“ im Vergleich von Dokument 3. Daher reflektiert Dokument 2 noch nicht alle späteren legislativen Anpassungen, die in Dokument 3 als „Beschlüsse des 4. Ausschusses“ dargestellt werden.

Zusammenfassend zeigen die Änderungen in Dokument 2 im Vergleich zu Dokument 1 eine Konsolidierung und Präzisierung der Zuständigkeiten und Pflichten, eine deutliche Ausweitung der IT-Sicherheitsvorgaben innerhalb der Bundesverwaltung und eine Verschärfung der Sanktionen bei Nichteinhaltung, während größere strukturelle Verschiebungen im Zusammenhang mit dem KRITIS-Dachgesetz aus diesem spezifischen Entwurf herausgenommen wurden.