NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz Was müssen Energieversorger und Anlagenbetreiber wissen?

Mit dem Entwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) setzt die Bundesregierung umfassende Maßnahmen zur Erhöhung der Cyber-Sicherheit in Reaktion auf die vermehrten Cyber-Angriffe der jüngsten Zeit um.

Das Gesetzespaket sieht u. a. Änderungen im Energiewirtschaftsgesetz (EnWG) vor und nimmt Energieversorgungsunternehmen und Betreiber von Energieanlagen deutlich stärker in die Pflicht.

 Verpflichtet sind nicht mehr nur Netz- und Anlagenbetreiber, die bisher schon als kritische Infrastruktur galten. Nunmehr sind auch Netz- und Anlagenbetreiber verpflichtet, die als (besonders) wichtige Einrichtung im Sinne des § 28 BSIG gelten. Das sind typischerweise große und mittlere Unternehmen zum Beispiel im Energie-, Transport- und Verkehrssektor, aber auch etwa Chemie- und Lebensmittelunternehmen oder digitale Dienstleister. 

War bisher lediglich verpflichtend, einen angemessenen Schutz gegen Bedrohungen für Telekommunikationssysteme sowie elektronische Datenverarbeitungssysteme, die für einen sicheren Anlagenbetrieb notwendig sind, zu gewährleisten, wird diese Verpflichtung auf die Beschaffung von Anlagengütern und Dienstleistungen erweitert. Ferner wird der durch die Verpflichteten einzuhaltende IT-Sicherheitskatalog um einige Mindestvorgaben erweitert. Die Einhaltung des IT-Sicherheitskatalogs ist durch die verpflichteten Unternehmen zu dokumentieren und der Bundesnetzagentur zu melden. 

Ebenfalls eine Neuerung stellt das dreistufige Meldesystem dar: 

  • Innerhalb von 24 Stunden muss dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe ein erheblicher Sicherheitsvorfall gem. § 2 Nr. 11 BSIG gemeldet werden und angegeben werden, ob der Verdacht auf eine rechtswidrige oder böswillige Handlung oder eine grenzüberschreitende Auswirkung besteht. 
  • Innerhalb von 72 Stunden muss gemeldet werden, ob sich der Verdacht bestätigt hat, sowie eine erste Bewertung des Sicherheitsvorfalls vorgelegt werden. 
  • Spätestens nach einem Monat ist dann eine Abschlussmeldung des Vorfalls einzureichen. 

Ferner besteht die Verpflichtung über eine beim Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete Registrierungsmöglichkeit, bestimmte Angaben zu übermitteln. 

Schließlich folgt aus der Umsetzung der NIS-2-Richtlinie eine deutliche Verschärfung der Sanktionsmöglichkeiten. Wird der Schutz gegen Cyber-Angriffe nicht gewährleistet, werden die Anforderungen des IT-Katalogs nicht, nicht richtig oder nicht vollständig dokumentiert oder wird nicht oder nicht rechtzeitig eine Meldung eines erheblichen Sicherheitsvorfalls gemacht, droht gem. dem überarbeiteten § 91 EnWG eine Geldbuße von bis zu 7 bzw. 10 Mio. € oder eine Geldbuße von bis zu 1,4 bzw. zwei Prozent des Jahresumsatzes.

Dies ist ein Beitrag aus unserem Public Sector Newsletter 3-2024. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.

Kontakt