Neue gesetzliche Rahmen auf dem Weg
Rolle der kritischen Infrastrukturen im Rahmen des neuen NIS 2.0 Umsetzungs- und Cyber-Sicherheitsstärkungsgesetz
Der Schutz für die Gemeinschaft elementar notwendigen Einrichtungen vor Cyber-Gefahren stellt eine der größten Herausforderungen unserer Zeit dar - und das nicht erst mit dem Beginn des Russland-Ukraine Kriegs. Bislang waren in Deutschland maßgeblich das BSIG und die dessen Anwendungsbereich konkretisierende BSI-KRITIS V anwendbar, ergänzt um die 2016 hinzugetretenen europäischen Anforderungen der ersten NIS-Richtlinie.
Seither hat das IT- Sicherheitsrecht umfassende Überarbeitungen erfahren, indem nicht nur die europäischen Vorgaben in das nationale Recht implementiert wurden, sondern auch ein neues IT-Sicherheitsgesetze 2.0 in 2021 geschaffen wurde, in denen die Vorgaben des ersten deutschen IT-Sicherheitsgesetzes aus dem Jahr 2015 an die gegenwärtige Bedrohungslage angepasst und aktualisiert.
Rechtspolitischer Hintergrund
Im Jahr 2020 stellten die EU-Kommission und der Europäische Auswärtige Dienst die neue europäische Cyber-Sicherheitsstrategie vor, die durch die Verwerfungen der Corona-Krise geprägt war, wodurch die datenschutzbezogene Resilienz zu einem wesentlichen regulatorischen Aspekt wurde. Die aktuelle EU-Cyber-Sicherheitsstrategie brachte 2 neue Richtlinien mit sich:
Die NIS-2-Richtlinie zur Ablösung der geltenden NIS-Richtlinie und eine neue europäische Resilienz-Richtlinie (auch CER-Richtlinie genannt ), die beide Ende 2022 verabschiedet wurden und bis Oktober 2024 in den Mitgliedsstaaten umgesetzt sein müssen.
Für die Resilienz-Richtlinie, die kritische Infrastrukturn (KRITIS ) primär vor physischen Gefahren schützen soll, liegt bislang nur ein BMI-Eckpunktepapier für ein sogenanntes KRITIS-Dachgesetz vor.
Die NIS-2 Richtlinie wird voraussichtlich durch das nationale NIS-2-Umsetzungsgesetz- und Cyber-Sicherheitsstärkungsgesetz (NIS2UmsuCG) in das nationale Recht übertragen. Dabei gibt es eine Besonderheit: Der Gesetzentwurf geht über die EU-Vorgaben hinaus und bringt verschiedene spezifische Neuerungen ausschließlich im nationalen Cyber-Sicherheitsrecht mit sich.
Daraus ergibt sich auch die zusätzliche Bezeichnung (Cyber-Sicherheitsstärkungsgesetz ), womit deutlich wird,
dass das IT-Sicherheitsgesetz 3.0 in der angedachten Form erst einmal nicht umgesetzt wird.
Auf den Punkt gebracht:
- Das NIS2UmsuCG kommt voraussichtlich Ende 2023 und ist das bislang komplexeste Rahmenwerk des nationalen IT-Sicherheitsrechts.
- Gesetzlich ergeben sich zahlreiche Änderungen in diesem Anwendungsbereich, der in erheblichem Maße erweitert wird und der bei weitem nicht mehr nur die kritische Infrastruktur betrifft.
- Final betrachtet werden die Vorgaben zur Cyber-Security und den damit verbundenen Compliance-Vorgaben deutlich verschärft und Verstöße können mit erheblichen Bußgeldern belegt werden.