1. September 2023
Veröffentlichungsreihe – 8 von 50 Insights
Ende 2022 hat die EU mit der „NIS2“-Richtlinie wichtige Regelungen zum Schutz der Netz- und Informationssicherheit in „kritischen Sektoren“ getroffen. Auch der Sektor Energie wird als „kritischer Sektor“ eingestuft. So soll der Schutz von bestimmten Einrichtungen und Diensten vor Cybergefahren verstärkt werden. In Deutschland wird die Richtlinie durch das NIS 2 Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt. Dabei geht der Gesetzesentwurf über die EU-Vorgaben hinaus und bewirkt somit vielzählige Neuerungen im nationalen Cybersicherheitsrecht.
Das NIS2UmsuCG soll bis Mitte 2024 verabschiedet werden. Die mit ihm einhergehenden Pflichten sollen ab dem 1. Oktober 2024 gelten.
Deutlich mehr Unternehmen als bisher werden durch das Kernstück des NIS2UmsuCG - die Anpassung des BSI-Gesetzes (BSIG-E) - in das IT-Sicherheitsregime einbezogen. Unterschieden wird dabei zwischen „wichtigen“ und „besonders wichtigen Einrichtungen“ sowie „kritischen Anlagen“ (vgl. § 28 Abs. 3, 6, 7 BSIG-E). Alle Normadressaten müssen eine Reihe von Pflichten erfüllen. Dies betrifft nicht nur Unternehmen, die bisher schon als KRITIS anerkannt waren.
Mit ihrer Einbeziehung in das neue Sicherheitsregime müssen auch Unternehmen rechnen, die im Sektor Energie tätig sind (vgl. § 57 Abs. 1 BSIG-E).
Welche Unternehmen konkret erfasst sein werden, kann abschließend erst nach Erlass einer ergänzenden Rechtsverordnung bestimmt werden, in der entsprechende Schwellenwerte (z.B. Unternehmensgröße, Anzahl der Nutzer) festgelegt werden. Es wird jedoch erwartet, dass deutlich mehr Unternehmen in den Anwendungsbereich des BSIG-E fallen werden, als unter bisherigen Gesetzen. So wird für den Sektor Energie erwartet, dass neben den Unternehmen, die Energie erzeugen, liefern oder regulieren auch die weitere Lieferkette umfasst wird.
Der Anhang I der NIS 2-Richtlinie gibt jedoch bereits eine Liste „kritischer Einrichtungen“ vor, die sich entsprechend auch in der Rechtsverordnung wiederfinden muss. So weist Anhang I Ziffer 1 der Richtlinie den Sektor Energie als Sektor mit hoher Kritikalität aus. Dabei erstreckt sich der Anwendungsbereich auf die Teilsektoren Elektrizität, Fernwärme und -kälte, Erdöl, Erdgas und Wasserstoff. Die in diesen Teilsektoren erfassten Einrichtungen erstrecken sich unter anderem auf bestimmte Elektrizitätsunternehmen, Netzbetreiber, Anlagenbetreiber sowie Versorgungsunternehmen.
Die erfassten Unternehmen sowie deren Leitungsorgane treffen nach dem BSIG-E eine Reihe von Pflichten. Diese hängen im Einzelnen davon ab, ob es sich um eine „kritische Anlage“ oder um eine „wichtige“ oder „besonders wichtige Einrichtung“ handelt. Bestimmte Unternehmen der Energiewirtschaft werden dabei von den Risikomanagementmaßnahmen nach § 30 sowie den Meldepflichten nach § 31 BSIG-E ausgenommen und sektorspezifischen Regelungen unterworfen (§ 28 Abs. 8 BSIG-E).
Sämtliche Einrichtungen sind verpflichtet, technische und organisatorische Maßnahmen zum Schutz ihrer IT-Systeme und -Prozesse zu treffen. Diese Maßnahmen sollen dem aktuellen Stand der Technik entsprechen und das Risiko eines Schadenseintritts angemessen berücksichtigen, wobei Faktoren wie die Größe der Einrichtung und potenzielle Sicherheitsvorfälle zu berücksichtigen sind. Die Hauptverantwortung für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen liegt bei den Geschäftsführern. Sie haften auch für Verstöße und sollen regelmäßig an Schulungen teilnehmen (§ 38 BSIG-E).
Bei einem Sicherheitsvorfall haben die Einrichtungen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verschiedene Meldungen zu erstatten, darunter eine Erstmeldung innerhalb von 24 Stunden und eine Detailmeldung innerhalb von 72 Stunden, sowie eine Abschlussmeldung. Als Sicherheitsvorfälle gelten dabei Ereignisse, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von gespeicherten, übermittelten oder verarbeiteten Daten oder von Diensten, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigen (§ 2 Abs. 1 Nr. 37 BSIG-E).
Die Einhaltung der Sicherheitsanforderungen muss gegenüber dem BSI regelmäßig nachgewiesen werden. Bei Sicherheitsmängeln kann das BSI Abhilfemaßnahmen verlangen (§ 34 BSIG-E). Darüber hinaus sind alle Einrichtungenverpflichtet, sich beim BSI zu registrieren und relevante Informationen zur Verfügung zu stellen (§§ 32, 33 BSIG-E). Bei erheblichen Sicherheitsvorfällen können sie verpflichtet werden, ihre Kunden über diese zu informieren (§§ 35, 36 BSIG-E).
Pflicht |
Betreiber kritischer |
Besonders wichtige |
Wichtige |
Maßnahmen Risikomanagement § 30 BSIG-E |
+ |
+ |
+ |
Höhere Maßstäbe für KRITIS§ 30 Abs. 3 BSIG-E |
+ |
||
System zur Angriffserkennung§ 39 BSIG-E |
+ |
||
Registrierung beim BSI§ 32, 33 BSIG-E |
+ |
+ |
+ |
Meldepflichten§ 31 BSIG-E |
+ |
+ |
+ |
Nachweiserbringung§ 34 BSIG-E |
+ |
+ |
|
Informationsaustausch§ 35, 36 BSIG-E |
+ |
+ |
+ |
Verantwortung der Leitungsorgane §38 BSIG-E |
+ |
+ |
+ |
Die Überprüfung der Einhaltung und Durchsetzung der genannten Pflichten obliegt dem BSI (§§ 62-65 BSIG-E). Es kann dabei direkt auf die Unternehmen einwirken und Maßnahmen ergreifen. Diese bleiben so lange in Kraft, bis die Einrichtung den Anordnungen der Behörde nachgekommen ist. Bei Zuwiderhandlung drohen empfindliche Geldbußen (§ 64 BSIG-E). Diese können laut Gesetzestext bis zu zwanzig Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Umsatzes des betroffenen Unternehmens im vorangegangenen Geschäftsjahr betragen.
Die umfassten Betreiber des Energiesektors müssen u.a. geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen ergreifen, um Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse, die sie zur Erbringung ihrer Dienste nutzen, zu verhindern und Auswirkungen von Sicherheitsvorfällen auf ihre Dienste oder auf andere Dienste zu verhindern oder so gering wie möglich zu halten. Der Gesetzentwurf ist noch nicht endgültig. Die Anforderungen werden sich aber voraussichtlich nicht grundlegend ändern. Unternehmen sollten sich daher auf jeden Fall mit folgenden Themenbereichen befassen:
von mehreren Autoren
17. November 2023
3. November 2023
16. October 2023
von mehreren Autoren
4. October 2023
von mehreren Autoren
29. September 2023
12. September 2023
1. September 2023
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E, Alexander Schmalenberger, LL.B.
25. August 2023
von Dr. Julia Wulff
24. August 2023
von Dr. Niels L. Lange, LL.M. (Stellenbosch), Dr. Janina Pochhammer
18. August 2023
9. August 2023
von Birte Zeitner
2. August 2023
von Birte Zeitner
26. July 2023
von Dr. Julia Wulff
12. July 2023
6. July 2023
Q&A Serie: Energy & Infrastructure | Aktuelle Erfahrungen aus der Beratungspraxis
20. June 2023
von Dr. Markus Böhme, LL.M. (Nottingham), Dr. Christian Ertel
Auswirkungen des Zukunftsfinanzierungsgesetz auf die Investition offener Immobilienfonds
12. May 2023
4. April 2023
von mehreren Autoren
Q&A Serie: Energy & Infrastructure | Aktuelle Erfahrungen aus der Beratungspraxis
10. March 2023
Q&A Serie: Energy & Infrastructure | Aktuelle Erfahrungen aus der Beratungspraxis
31. January 2023
Q&A Serie: Energy & Infrastructure | Aktuelle Erfahrungen aus der Beratungspraxis von EVUs und Industrieunternehmen
27. January 2023
17. January 2023
20. December 2022
20. December 2022
Dr. André Lippert informiert über wesentliche Aspekte des Referentenentwurfs zum Rollout von intelligenten Messsystemen (Smart Meter)
13. December 2022
Die wesentlichen Aspekte des Referentenentwurfs und eine Einordung der Anforderungen an die Betreiber von Datencentern
7. December 2022
von mehreren Autoren
Die EU-Richtlinie zur Nachhaltigkeitsberichterstattung von Unternehmen
29. November 2022
Teil 2: Windenergie auf See (WindSeeG)
26. August 2022
von Dr. Markus Böhme, LL.M. (Nottingham), Dr. Christian Ertel
Teil 1: Windenergie an Land
21. July 2022
von Dr. Markus Böhme, LL.M. (Nottingham), Dr. Christian Ertel
Q&A Serie: Energy & Infrastructure
4. July 2022
von Dr. Paul Voigt, Lic. en Derecho, CIPP/E, Dr. Markus Böhme, LL.M. (Nottingham)
Q&A Serie: Energy & Infrastructure
10. June 2022
Q&A Serie: Energy & Infrastructure
5. May 2022
Q&A Serie: Energy & Infrastructure
15. March 2022
Q&A Serie: Energy & Infrastructure
14. February 2022
Q&A Serie: Energy & Infrastructure
4. February 2022
von Dr. Markus Böhme, LL.M. (Nottingham), Dr. Stefan Horn, LL.B.
Q&A Serie: Energy & Infrastructure
6. January 2022
Q&A series: Energy & Infrastructure
2. December 2021
Q&A Serie: Energy & Infrastructure
21. September 2021
von Olav Nemling
Q&A Serie: Energy & Infrastructure
18. August 2021
Q&A Serie: Energy & Infrastructure
12. July 2021
von Carsten Bartholl
Q&A Serie: Energy & Infrastructure
8. June 2021
Q&A Serie: Energy & Infrastructure
25. May 2021
Q&A Serie: Energy & Infrastructure
29. March 2021
Q&A Serie: Energy & Infrastructure
23. March 2021
Q&A Serie: Energy & Infrastructure
9. March 2021
Q&A Serie: Energy & Infrastructure
21. January 2021