Prof. Dr. Alexander Koch

Aus Anlass der Umsetzung der Netz-und-Informations-Sicherheits-Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) und der bevorstehenden Umsetzung der Richtlinie (EU) 2022/2557 über die Resilienz kritischer Infrastrukturen („Critical Entities Resilience“- bzw. CER-Richtlinie) beleuchtet der Aufsatz den Schutz kritischer Infrastrukturen in den Netzwirtschaften. Es wird insbesondere die Differenzierung nach verschiedenen Stufen der Kritikalität – (im Kern, aber nicht abschließend:) wichtige, besonders wichtige und kritische Einrichtung – erläutert und dargestellt, welche unterschiedlichen Pflichten für die Unternehmen etwa in den Sektoren Energie, Telekommunikation, Verkehr, Post und Wasser hieran jeweils anknüpfen. 

I. Einführung

Die Versorgungsnetze sind kritische Infrastrukturen. Ihr Ausfall oder auch nur ihre Beeinträchtigung kann zu erheblichen Versorgungsengpässen und zu einer Gefährdung der öffentlichen Sicherheit führen, insbesondere weil die Sektoren voneinander abhängen.1 Besonders herausgehoben sind dabei die Sektoren Energie und Telekommunikation: Fällt einer dieser beiden Sektoren aus, hat dies unmittelbare Auswirkungen auf alle anderen Sektoren und damit die gesamte Gesellschaft. Ohne Strom funktionieren Telekommunikationsnetze nicht mehr und ohne Telekommunikation lassen sich keine Stromnetze steuern. Ohne Strom (und Telekommunikation) funktionieren keine Eisenbahnen und die Zapfsäulen an Tankstellen fallen aus. Ohne Strom und Kraftstoffversorgung brechen der übrige Verkehr und damit auch der Ernährungssektor zusammen.2 Der Schutz kritischer Infrastrukturen ist deshalb – auch in einem grundsätzlich marktwirtschaftlich organisierten Umfeld – eine zentrale staatliche Aufgabe.3 Da die kritischen Infrastrukturen inzwischen unionsweit (und darüber hinaus) vernetzt sind, nimmt sich (auch) der unionale Gesetzgeber dieser Aufgabe an. Eine zentrale Rolle spielen dabei die NIS-2-Richtlinie (EU) 2022/2555 und die CER-Richtlinie (EU) 2022/2557. Beide Richtlinien hätten bis Oktober 2024 in nationales Recht umgesetzt werden müssen.4 Dem ist der deutsche Gesetzgeber – u. a. aufgrund der vorgezogenen Neuwahlen in der 20. Legislaturperiode – nicht nachgekommen.5 Inzwischen ist allerdings das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ in Kraft getreten.6 Hierdurch ist namentlich das BSIG neu gefasst worden. Die CER-Richtlinie (EU) 2022/2557 soll – überwiegend – in einem KRITISDachG umgesetzt werden. Hierfür liegt ein Gesetzentwurf der Bundesregierung (KRITISDachG-RegE) vor.7

Mit der Umsetzung der beiden Richtlinien gehen wesentliche Änderungen im Recht der kritischen Infrastrukturen einher. Diese betreffen zunächst die Terminologie: Bislang hat das BSIG im Wesentlichen zwischen kritischen Infrastrukturen (und deren Betreibern) sowie (sonstigen) Unternehmen im besonderen öffentlichen Interesse unterschieden.8 Zukünftig sind die Betreiber kritischer Infrastrukturen (bzw. genauer:

Anlagen) nur noch ein Unterfall einer besonders wichtigen Einrichtung, neben welche die wichtigen Einrichtungen treten. Damit verbunden ist eine erhebliche Ausdehnung des Kreises der nunmehr erfassten Unternehmen.

Weiter verkompliziert wird das Recht des Schutzes kritischer Infrastrukturen durch Verordnungsermächtigungen für diverse Ministerien. Die Kommission kann außerdem Durchführungsverordnungen erlassen. Anders als Richtlinien bedürfen diese Verordnungen nach Art. 288 UAbs. 2 AEUV keines nationalen Umsetzungsakts, sondern haben allgemeine Geltung. Die Kommission hat inzwischen eine erste solche Durchführungsverordnung erlassen.9 Der Anwendungsbereich der CER-Richtlinie (EU) 2022/2557 wird durch eine delegierte Verordnung ([EU] 2023/2450) weiter ausdifferenziert.

II. Systematik

Das neue BSIG erfasst als Hauptgruppen besonders wichtige und wichtige Einrichtungen,10 wobei die Betreiber kritischer Anlagen zunächst nur als Unterfall der Betreiber einer besonders wichtigen Einrichtung genannt werden. Allerdings kennt das neue BSIG auch Pflichten, die nur die Betreiber kritischer Anlagen treffen. Betreiber kritischer Anlagen sind außerdem die Adressaten des KRITISDachG-RegE. Es ist deshalb sinnvoll, diese als eigene Gruppe besonders zu betrachten (hierzu sogleich, unter 1.). An eher versteckter Stelle im BSIG gibt es zudem Sonderregelungen für bestimmte Anbieter digitaler Dienste und digitaler Infrastrukturen (hierzu unten, unter 4.). Auf diese Gruppe bezieht sich auch die NIS-2-Durchführungsverordnung (EU) 2024/2690.

Die Unternehmen einer Branche können je nach Größe in unterschiedliche Gruppen fallen: Betreiber von Inhaltszustellnetzen („Content Delivery Networks“) fallen etwa unabhängig von ihrer Größe in die Gruppe der Anbieter digitaler Dienste und digitaler Infrastruktur (§ 60 Abs. 1 BSIG und Art. 1 der NIS-2-Durchführungsverordnung [EU] 2024/2690). Erreicht ein solcher Anbieter den Schwellenwert von 75 000 Terabyte (TByte) ausgeliefertes Datenvolumen im Jahr, ist er zudem Betreiber einer kritischen Anlage (§ 28 Abs. 1 Nr. 1 BSIG i. V. m. Anhang 4 Teil 3 Nr. 2.2.2 BSI-KritisV) und damit auch eine besonders wichtige Einrichtung i. S. d. BSIG. Betreiber von (öffentlichen) Telekommunikationsnetzen fallen unabhängig von ihrer Größe in die Gruppe der wichtigen Einrichtungen (§ 28 Abs. 2 Nr. 2 BSIG). Haben sie mindestens 50 Mitarbeiter, sind sie eine besonders wichtige Einrichtung (§ 28 Abs. 1 Nr. 3 BSIG) und ab einem Schwellenwert von 100 000 Teilnehmeranschlüssen Betreiber einer kritischen Anlage (§ 28 Abs. 1 und 2 BSIG i. V. m. Anhang 4 Teil 3 Nr. 1.1.1 BSI-KritisV).11 Von der jeweiligen Einordnung hängt ab, welche Pflichten Unternehmen zu erfüllen haben.

1. Betreiber kritischer Anlagen

Betreiber kritischer Anlagen sind Betreiber, deren Anlagen „für die Erbringung einer kritischen Dienstleistung erheblich“ sind.12 „Kritische Dienstleistung“ ist eine „Dienstleistung zur Versorgung der Allgemeinheit in den Sektoren Energie, Transport und Verkehr, Finanzwesen, Leistungen der Sozialversicherung sowie der Grundsicherung für Arbeitsuchende, Gesundheitswesen, Wasser, Ernährung, Informationstechnik und Telekommunikation, Weltraum oder Siedlungsabfallentsorgung, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen würde“ (§ 2 Nr. 24 BSIG sowie § 2 Nr. 4 KRITISDachG-RegE). Es handelt sich hierbei – mit geringen Änderungen in der Terminologie – weitgehend um die herkömmlichen Sektoren der kritischen Infrastrukturen (KRITIS). Neu hinzugekommen ist der Weltraumsektor.13

Erfasst werden aber nicht alle Unternehmen der genannten Sektoren, sondern nur jene, deren Anlagen tatsächlich kritisch (für das Allgemeinwohl) sind. Diese Anlagen werden im Anwendungsbereich des BSIG durch eine Rechtsverordnung – die BSI-KritisV – weiter ausdifferenziert (§ 2 Nr. 22 i. V. m. § 56 Abs. 4 BSIG). Der KRITISDachG-RegE sieht ebenfalls eine weitere Ausdifferenzierung durch eine Rechtsverordnung vor – diese soll mit der BSI-KritisV gleichlaufen.14

a) BSI-KritisV

Grundsätzlich stellt die BSI-KritisV auf die von einer Anlage versorgten Personen ab. Kritisch im Sinne der Verordnung sind nur solche Anlagen, die einen Schwellenwert von 500 000 versorgten Personen erreichen. Die Systematik ist in allen Sektoren die gleiche und wird im Folgenden beispielhaft anhand des Sektors Wasser dargestellt:

Zunächst werden in einem Paragraphen die kritischen Dienstleistungen aufgeführt – im Sektor Wasser sind dies etwa die Trinkwasserversorgung und die Abwasserbeseitigung (§ 3 Abs. 1 BSI-KritisV). Es findet sodann eine weitere Unterteilung in Bereiche – etwa „Gewinnung, Aufbereitung, Verteilung sowie Steuerung und Überwachung von Trinkwasser“ – statt (§ 3 Abs. 2 BSI-KritisV). Für jeden Sektor gibt es schließlich einen Anhang. Hier finden sich zunächst jeweils umfangreiche Legaldefinitionen – etwa „Gewinnungsanlage [ist] ein Brunnen oder eine Brunnenreihe, eine Sickerleitung, ein Sickerstollen, eine Zisterne, ein Entnahmebauwerk oder eine Stauanlage zur Gewinnung, Bevorratung oder Bewirtschaftung von Oberflächenwasser oder andere Wasserfassung zur Gewinnung von Rohwasser“ (Anhang 2 Teil 1 Ziff. 1.1. BSI-KritisV). Es folgen (im Teil 2) Erläuterungen zur Ermittlung der Schwellenwerte. Diese werden in einer Tabelle (Teil 3) für jede Anlagenkategorie festgelegt. So werden etwa Wasserwerke (Spalte B) erfasst, die jährlich einen Schwellenwert von 22 (Spalte D) Millionen Kubikmetern aufbereiteten Wassers (Spalte C) erreichen (Anhang 2 Teil 3 Ziff. 1.2.1 BSI-KritisV).

b) Kritische Anlagen in den Netzwirtschaften

In den anderen Netzwirtschaften werden hiernach (beispielhaft) erfasst:

1. Im Sektor Energie:
   1. Stromerzeugungsanlagen mit einer installierten Nettoleistung von 104 Megawatt (MW),
   2. Stromübertragungs- und Stromverteilungsnetze mit 3700 Gigawattstunden (GWh) entnommener Jahresarbeit sowie
   3. Gasfernleitungen, -speicher und -verteilnetze mit 5190 GWh entnommener Jahresarbeit,
   4. Raffinerien mit 420 000 Tonnen erzeugtem Kraftstoff im Jahr,
   5. Mineralölfernleitungen und Erdöllager mit 420000 Tonnen transportierter bzw. umgeschlagener Rohölmenge im Jahr,
   6. Tankstellennetze mit 420000 Tonnen verteiltem Kraftstoff im Jahr,
   7. Heizwerke und Heizkraftwerke mit 2300 GWh ausgeleiteter Wärmeenergie im Jahr sowie
   8. Fernwärmenetze mit 250 000 angeschlossenen Haushalten.15
2. Im Sektor Telekommunikation:
   1. Zugangsnetze ab 100000 Teilnehmernetzanschlüssen und
   2. Übertragungsnetze mit 100000 Vertragspartnern.16
3. Im Sektor Transport und Verkehr (und damit auch Eisenbahn und Post):
   1. Anlagen oder Systeme zur Passagierabfertigung an Flugplätzen ab 20 000 000 Passagieren pro Jahr,
   2. Frachtabfertigungsanlagen ab 750 000 Tonnen pro Jahr,
   3. Personenbahnhöfe der höchsten Kategorie,
   4. Güterbahnhöfe ab 23 000 ausgehenden Zügen pro Jahr,
   5. der deutsche Teil des Schienenkernnetzes,
   6. Umschlaganlagen in See- und Binnenhäfen ab 3 270 000 Tonnen abgefertigter Fracht pro Jahr,
   7. die Bundesautobahnen sowie
   8. Logistikzentren mit 17 550 000 Tonnen Transportmenge oder 53 200000 Sendungen im Jahr.17

2. Besonders wichtige Einrichtungen

Besonders wichtige Einrichtungen im Sinne des BSIG sind zunächst die gerade beschriebenen Betreiber kritischer Anlagen (§ 28 Abs. 1 Nr. 1 BSIG). Erfasst werden außerdem alle qualifizierten Vertrauensdiensteanbieter, Register der Domänennamen höchster Stufe („Top-Level-Domain-Name-Registries“ bzw. TLD-Namenregister) oder Anbieter von Diensten des Domänenennamensystems („Domain Name System“, DNS) (§ 28 Abs. 1 Nr. 2 BSIG).18

Weiter erfasst werden (mittel)große Anbieter öffentlich zugänglicher Telekommunikationsdienste und Betreiber öffentlicher Telekommunikationsnetze. Anders als im Bereich der kritischen Infrastrukturen wird hier aber nicht auf die versorgten Einwohner abgestellt, sondern auf die Unternehmensgröße. Der Schwellenwert liegt bei 50 Mitarbeitenden oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro (§ 28 Abs. 1 Nr. 3 BSIG).

Die letzte Gruppe erfasst bestimmte Großunternehmen. Diese müssen zunächst einen Schwellenwert von 250 Mitarbeitenden oder einen Jahresumsatz von über 50 Millionen Euro und zudem eine Jahresbilanzsumme von über 43 Millionen Euro erreichen. Allerdings werden nur solche Unternehmen erfasst, die in der Anlage 1 zum BSIG aufgezählt sind. Das sind insbesondere Unternehmen aus den Netzwirtschaften Energie, Transport und Verkehr, Wasser und digitaler Infrastruktur (soweit nicht dem Telekommunikationssektor im engeren Sinne zugeordnet) – aber auch aus dem Finanz- und Gesundheitswesen sowie dem Weltraumsektor.

Konkret sind dies (beispielhaft)

1. im Sektor Energie Stromlieferanten, Netzbetreiber, Betreiber von Energiespeicheranlagen, Betreiber von Fernwärmeanlagen,19
2. im Sektor Transport und Verkehr Betreiber von Eisenbahninfrastruktur und Eisenbahnverkehrsunternehmen,20 während Post- und Logistikunternehmen hier nicht gesondert erfasst werden,
3. im Sektor Wasser Betreiber von Wasserversorgungsanlagen und Abwasserbeseitigung,21
4. im Sektor digitale Infrastruktur DNS-Diensteanbieter, Anbieter von Rechenzentrumsdiensten, Betreiber öffentlicher Telekommunikationsnetze und -dienste.22

3. Wichtige Einrichtungen

Die zweite große Gruppe bilden wichtige Einrichtungen.23 Hierzu zählen sonstige Vertrauensdienste (§ 28 Abs. 2 Nr. 1 BSIG) sowie kleine und mittlere Telekommunikationsunternehmen, die nicht die Schwellenwerte für besonders wichtige Einrichtungen erreichen (§ 28 Abs. 2 Nr. 2 BSIG). Außerdem werden mittlere Unternehmen erfasst, die mindestens 50 Personen beschäftigen oder einen Jahresumsatz und eine Jahresbilanzsumme von jeweils über 10 Millionen Euro aufweisen. Der Adressatenkreis (der mittleren Unternehmen) wird ebenfalls weiter eingegrenzt, und zwar auf die gerade beschriebenen Einrichtungen der Anlage 1 zum BSIG. Allerdings wird der Kreis dann um weitere Unternehmen einer Anlage 2 zum BSIG erweitert (§ 28 Abs. 2 Nr. 3 BSIG). Diese Anlage erfasst aus den Netzwirtschaften insbesondere die gewerbliche Beförderung von Briefsendungen, Paketen und Warensendungen einschließlich der Anbieter von Kurierdiensten (Anlage 2 Ziff. 1.1.1 BSIG i. V. m. § 3 Nr. 15 PostG). Darüber hinaus werden bestimmte Unternehmen aus den Bereichen Produktion, Herstellung und Handel mit chemischen Stoffen, Lebensmitteln und Waren erfasst (Anlage 2 Ziff. 4 und 5 BSIG). Außerdem sind Anbieter von Online-Marktplätzen, Online-Suchmaschinen und sozialer Medien sowie auch Forschungseinrichtungen einbezogen (Anlage 2 Ziff. 6 und 7 BSIG).

4. Bestimmte Einrichtungsarten für digitale Dienste und digitale Infrastruktur

Eine besondere Gruppe bilden schließlich DNS-Diensteanbieter, TLD-Namenregister, „Domain-Name-Registry“-Dienstleister, Anbieter von Cloud-Computing-Diensten24, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste („Managed Service Provider“), Anbieter verwalteter Sicherheitsdienste („Managed Security Service Provider“) sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke.25 Diese Gruppe wird unabhängig von Schwellenwerten erfasst. Soweit die Unternehmen nicht gleichzeitig (besonders) wichtige Einrichtungen sind, gilt für sie aber nur eine (besondere) Registrierungspflicht nach dem BSIG (§ 34 BSIG).26

III. Verpflichtungen

Das BSIG erfasst grundsätzlich alle Betreiber wichtiger und besonders wichtiger Einrichtungen (sowie bestimmte Einrichtungsarten für digitale Dienste und digitale Infrastrukturen). Es differenziert dabei nach Verpflichtungen, die alle Betreiber treffen, und solchen, die nur von besonders wichtigen oder kritischen Einrichtungen erfüllt werden müssen. Verkompliziert wird die Systematik durch umfangreiche Ausnahmen für die Netzwirtschaften Telekommunikation und Energie (§ 28 Abs. 5 BSIG) (sowie u. a. den Finanzsektor [§ 28 Abs. 6 BSIG27]) (hierzu unten, unter 5. und 6.). Diese Netzwirtschaften unterfallen – soweit hier von Interesse – nur den Registrierpflichten (hierzu sogleich, unter 1.) sowie der Untersagungsmöglichkeit für kritische Komponenten (hierzu unten, unter 4. a) bb)). Die Betreiber kritischer Anlagen werden außerdem vom KRITISDachG-RegE erfasst (hierzu unten, unter 4. b)).

1. Allgemeine Verpflichtungen nach dem BSIG (Registrierpflicht)

Betreiber wichtiger und besonders wichtiger Einrichtungen (sowie „Domain-Name-Registry“-Diensteanbieter) müssen sich zunächst beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren und insbesondere Kontaktdaten sowie die öffentlichen Internet-Protokoll-Adressbereiche hinterlegen (§ 33 Abs. 1 BSIG). Das BSI betreibt hierfür zusammen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) ein Registerportal.28 Registrieren sich Unternehmen nicht selbst, kann dies auch von Amts wegen erfolgen (§ 33 Abs. 3 BSIG). Außerdem kann das BSI Unterlagen anfordern, um im Verdachtsfall zu prüfen, ob Unternehmen ihrer Registrierpflicht genügt haben (§ 33 Abs. 4 BSIG).

Unabhängig von ihrer Qualifikation als wichtige oder besonders wichtige Einrichtung müssen sich auch bestimmte Einrichtungsarten für digitale Dienste und digitale Infrastrukturen registrieren (§ 34 Abs. 1 BSIG). Die entsprechenden Informationen werden vom BSI an die Agentur der Europäischen Union für Cybersicherheit29 weitergeleitet (§ 34 Abs. 3 BSIG). Diese pflegt ein europäisches Register der entsprechenden Einrichtungen (Art. 27 der NIS-2-Richtlinie [EU] 2022/2555).

2. Verpflichtungen für wichtige (sowie besonders wichtige) Einrichtungen

a) Risikomanagement

Die zentrale Vorschrift für die IT-Sicherheit ist § 30 BSIG. Hiernach sind wichtige und besonders wichtige Einrichtungen verpflichtet, „geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen … zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der informationstechnischen Systeme,30 Komponenten und Prozesse, die sie für die Erbringung ihrer Dienste nutzen, zu vermeiden und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten“ (§ 30 Abs. 1 S. 1 BSIG).31 Dabei ist eine umfassende Abwägung zwischen Risikoexposition, Größe, Umsetzungskosten und Eintrittswahrscheinlichkeit sowie der Schwere von Sicherheitsfolgen einschließlich ihrer gesellschaftlichen und wirtschaftlichen Auswirkungen vorzunehmen (§ 30 Abs. 1 S. 2 BSIG).32 

Die hierfür mindestens zu ergreifenden Maßnahmen werden konkretisiert. Hierzu zählen etwa allgemeine Vorgaben, wie die Verpflichtung, ein Konzept zur Risikoanalyse zu erstellen (§ 30 Abs. 2 S. 2 Nr. 1 BSIG), aber auch konkrete Vorgaben zur Verwendung von Multi-Faktor-Authentifizierungen (§ 30 Abs. 2 S. 2 Nr. 10 BSIG). Die Aufzählung ist nicht abschließend. Die einzelnen Maßnahmen sollen den Stand der Technik33 einhalten (§ 30 Abs. 2 S. 1 BSIG). Das BSIG greift insoweit – wie zahlreiche andere Gesetze – auf einen unbestimmten Rechtsbegriff zurück, der es ermöglicht, aktuelle Entwicklungen zu berücksichtigen. Außerdem müssen die Maßnahmen auf einem „gefahrübergreifenden Ansatz“ beruhen.

Die Mindestmaßnahmen, die zwingend erfüllt werden müssen, können durch Durchführungsrechtsakte der Kommission weiter ergänzt werden34 – bislang (Stand: Dezember 2025) liegt nur die NIS-2-Durchführungsverordnung (EU) 2024/2690 für bestimmte Einrichtungsarten für digitale Dienste und digitale Infrastruktur vor. Die Maßnahmen zum Risikomanagement werden hierin durch einen 20-seitigen Anhang – mitunter sehr detailliert35 – weiter ausdifferenziert.36 Ergänzend (bzw. parallel) hierzu wird außerdem das Bundesministerium des Inneren ermächtigt, weitere Konkretisierungen durch eine Verordnung vorzunehmen. Eine solche Verordnung ist bislang (Stand: Dezember 2025) noch nicht erlassen worden.

Durch eine Rechtsverordnung können (besonders) wichtige Einrichtungen zudem verpflichtet werden, „bestimmte IKT-Produkte, IKT-Dienste und IKT-Prozesse nur [zu] verwenden, wenn diese über eine Cybersicherheitszertifizierung gemäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881 verfügen“ (§ 30 Abs. 6 BSIG). Auch eine solche Verordnung ist bislang (Stand: Dezember 2025) nicht erlassen worden.

Wie bereits unter Geltung des alten BSIG (§ 8a Abs. 2 BSIG 2021) können für die Erfüllung der entsprechenden Verpflichtungen branchenspezifische Sicherheitsstandards (B3S) herangezogen werden (§ 30 Abs. 8 und 9 BSIG). Hierfür können – wie bisher – Branchenverbände (allerdings nur von besonders wichtigen Einrichtungen) Vorschläge machen, die dann im Einvernehmen mit den verschiedenen Aufsichtsbehörden vom BSI festgelegt werden.37

b) Meldepflichten

Kommt es zu einem erheblichen Sicherheitsvorfall, muss dieser gemeldet werden (§ 32 BSIG).38 Das BSI und das BBK richten hierzu eine gemeinsame Meldestelle ein (§ 32 Abs. 1 S. 1 BSIG).39 Meldepflichten nach anderen Vorschriften – etwa nach Art. 33 der Datenschutz-Grundverordnung 2016/679 (DSGVO) – bleiben hiervon unberührt.40

Der Begriff des erheblichen Sicherheitsvorfalls ist legaldefiniert als „ein Sicherheitsvorfall, der

1. schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder
2. andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann“ (§ 2 Nr. 11 BSIG).

Wichtig ist insoweit zunächst, dass ein erheblicher Sicherheitsvorfall nicht erst dann vorliegt, wenn es zu einem Schadereignis gekommen ist. Vielmehr reicht es aus, dass es hierzu hätte kommen können.
41 Eine weitere Ausdifferenzierung kann durch Rechtsverordnung (§ 2 Nr. 11 a. E. i. V. m. § 56 Abs. 5 BSIG) oder Durchführungsrechtsakt der Kommission erfolgen. Für bestimmte Einrichtungsarten für digitale Dienste und digitale Infrastruktur liegt bereits die NIS-2-Durchführungsverordnung (EU) 2024/2690 vor. Hiernach ist etwa ein erheblicher Sicherheitsvorfall bei einem DNS-Diensteanbieter gegeben, wenn der Dienst mehr als 30 Minuten lang nicht verfügbar ist (Art. 5 lit. a der NIS-2-Durchführungsverordnung [EU] 2024/2690). In der Durchführungsverordnung wird außerdem – für ihren Anwendungsbereich – konkretisiert, wann ein (potentieller) finanzieller Verlust als erheblich anzusehen ist, nämlich ab 500.000 Euro oder 5 % des jährlichen Gesamtumsatzes (Art. 3 Abs. 1 lit. a der NIS-2-Durchführungsverordnung [EU] 2024/2690). Das dürfte auch als Richtgröße für andere Sektoren ein sinnvoller Wert sein.

Das BSIG sieht mehrere abgestufte Meldungen vor: Eine Erstmeldung hat „unverzüglich“, spätestens jedoch binnen 24 Stunden zu erfolgen (§ 32 Abs. 1 Nr. 1 BSIG). Diese Frist ist deutlich kürzer als die Meldepflicht nach (Art. 33 Abs. 1) der DSGVO (72 Stunden), aber länger als die Meldefrist im Finanzsektor (vier Stunden42). Die Erstmeldung muss noch keine detaillierten Analysen enthalten. Mitzuteilen ist aber in jedem Fall, ob der Verdacht auf einen Angriff besteht und ob grenzüberschreitende Auswirkungen wahrscheinlich sind (§ 32 Abs. 1 Nr. 1 BSIG).43

Nach spätestens 72 Stunden muss die Meldung bestätigt oder aktualisiert werden und es muss eine erste Bewertung durch das Unternehmen erfolgen (§ 32 Abs. 1 Nr. 2 BSIG). Schließlich ist nach spätestens einem Monat eine ausführliche Meldung nebst umfassender Analyse vorgeschrieben (§ 32 Abs. 1 Nr. 4 BSIG). Auf Ersuchen des BSI sind außerdem Zwischenmeldungen abzugeben (§ 32 Abs. 1 Nr. 3 BSIG). Das BSI regelt die weiteren Einzelheiten des Meldeverfahrens (§ 32 Abs. 4 BSIG).

Wenn ein erheblicher Sicherheitsvorfall Auswirkungen auf die Empfänger von Diensten haben kann, kann das BSI anordnen, dass die Empfänger informiert werden müssen (§ 35 Abs. 1 BSIG).44 Einrichtungen aus den Sektoren Finanz- und Versicherungswesen, digitale Infrastruktur, Verwaltung von Informations- und Kommunikationstechnologie (IKT)-Diensten und digitale Dienste müssen die Empfänger grundsätzlich über Abhilfemaßnahmen informieren (§ 35 Abs. 2 BSIG).

Das BSI kann einem meldenden Unternehmen technische Unterstützung leisten (§ 36 Abs. 1 BSIG). Das BSI kann zudem Unternehmen verpflichten, die Öffentlichkeit zu informieren, oder eine Information selbst vornehmen (§ 36 Abs. 2 BSIG).

c) Besondere Verpflichtungen für die Geschäftsleitung

Verantwortlich für die Umsetzung der Risikomanagementmaßnahmen sind die Geschäftsleitungen45 der (besonders) wichtigen Einrichtungen (§ 38 Abs. 1 BSIG). Verletzen die Geschäftsleitungen ihre Pflichten schuldhaft, so haften sie gegenüber ihren Einrichtungen (§ 38 Abs. 2 BSIG).46 Damit die Geschäftsleitungen auch tatsächlich in der Lage sind, beurteilen zu können, welche Maßnahmen erforderlich sind, und um kontrollieren zu können, ob diese umgesetzt wurden, müssen sie regelmäßig47 an entsprechenden Schulungen teilnehmen (§ 38 Abs. 3 BSIG).48

3. Sonderregelungen für besonders wichtige Einrichtungen

Besonders wichtige Einrichtungen müssen über die beschriebenen Maßnahmen hinaus weitere Anforderungen erfüllen. So kann das BSI gegenüber besonders wichtigen Einrichtungen anordnen, dass die Pflichten zum Risikomanagement49 durch Audits, Prüfungen oder Zertifizierungen von unabhängigen Stellen nachgewiesen werden müssen (§ 61 Abs. 1 BSIG). Die entsprechenden Unternehmen können zudem verpflichtet werden, gegenüber dem BSI Nachweise zur Erfüllung dieser Pflichten – einschließlich aufgedeckter Sicherheitsmängel – zu erbringen (§ 61 Abs. 3 BSIG). Das BSI kann zudem selbst die Einhaltung der Verpflichtungen überprüfen (§ 61 Abs. 5 BSIG). Außerdem kann es ggf. Maßnahmen gegenüber den Unternehmen anordnen (§ 61 Abs. 6 ff. BSIG). Gegenüber (nur) wichtigen Einrichtungen sind Aufsichts- oder Durchsetzungsmaßnahmen lediglich im begründeten Einzelfall zulässig (§ 62 BSIG).50

4. Sonderregelungen für kritische Einrichtungen

Für kritische Einrichtungen – als Untergruppe der besonders wichtigen Einrichtungen – enthält das BSIG weitere Sonderregelungen (hierzu sogleich, unter a)). Die entsprechenden Unternehmen fallen zudem in den Anwendungsbereich des KRITISDachG-RegE (hierzu unten, unter b)).

a) Sonderregelungen nach dem BSIG

aa) Erweiterte Verpflichtungen

Das BSIG verschärft zahlreiche Regelungen in Bezug auf kritische Einrichtungen. Diese müssen mit Blick auf Risikomanagementmaßnahmen für kritische Anlagen erweiterte Anstrengungen unternehmen. Das Gesetz modifiziert hierzu den Verhältnismäßigkeitsmaßstab. Maßnahmen sind hiernach solange verhältnismäßig, wie sie nicht außer Verhältnis zu den „Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen kritischen Anlage steh[en]“ (§ 31 Abs. 1 BSIG). Die Unternehmen müssen zudem Systeme zur Angriffserkennung einsetzen (§ 31 Abs. 2 BSIG).51 Die Unternehmen treffen außerdem erweiterte Registrierungspflichten (§ 33 Abs. 2 BSIG) und erweiterte Meldepflichten bei einem erheblichen Sicherheitsvorfall (§ 30 Abs. 3 BSIG). Die Erfüllung der Risikomanagementmaßnahmen muss alle drei Jahre durch Sicherheitsaudits, Prüfungen oder Zertifizierungen gegenüber dem BSI nachgewiesen werden (§ 39 Abs. 1 BSIG). Das BSI kann hierfür weitere Vorgaben machen (§ 39 Abs. 2 BSIG).

bb) Untersagung des Einsatzes kritischer Komponenten

Bislang mussten Betreiber kritischer Einrichtungen den Einsatz kritischer Komponenten vorab dem Bundesministerium des Inneren melden (§ 9b BSIG 2021). Diese Anzeigepflicht ist nun entfallen.52 Ebenfalls entfallen ist die Verpflichtung, für kritische Komponenten eine Garantieerklärung einzuholen (bislang § 9b Abs. 3 BSIG 2021).53 Allerdings kann das Ministerium weiterhin den Einsatz kritischer Komponenten untersagen, wenn deren Einsatz die öffentliche Ordnung oder Sicherheit voraussichtlich beeinträchtigt (§ 41 Abs. 1 BSIG). Das Ministerium orientiert sich bei der Prüfung (beispielhaft) daran, ob der Hersteller von der Regierung eines Drittstaats kontrolliert wird (§ 41 Abs. 4 Nr. 1 BSIG). Die Unternehmen sind bei der Prüfung zur Mitwirkung verpflichtet (§ 41 Abs. 5 BSIG).

b) KRITISDachG-RegE

Während die NIS-2-Richtlinie (EU) 2022/2555 sowie das BSIG Risiken mit Blick auf die Netz- und IT-Infrastruktur adressieren, verfolgen die CER-Richtlinie (EU) 2022/2557 und das diese Richtlinie umsetzende (künftige) KRITISDachG einen Allgefahrenansatz.

aa) Geltungsbereich

Adressaten des KRITISDachG-RegE sind nur die Betreiber kritischer Anlagen (§ 4 Abs. 1 KRITISDachG-RegE).54 Die Sektoren sind insoweit identisch mit denen des BSIG.55 Die Kommission hat inzwischen durch die delegierte Verordnung (EU) 2023/2450 die einzelnen Teilsektoren spezifiziert – etwa Elektrizitätsunternehmen, Eisenbahnunternehmen, Betreiber von Internetknoten und Anbieter elektronischer Kommunikationsdienste (Art. 2 Nr. 1 lit. a i), Nr. 2 lit. b i), Nr. 8 i) und viii) der delegierten Verordnung). Eine weitere Eingrenzung erfolgt über eine Rechtsverordnung des Bundesministeriums des Inneren (§ 4 Abs. 356 und § 5 Abs. 1 KRITISDachG-RegE). Diese Rechtsverordnung regelt Schwellenwerte, die – wie die BSI-KritisV – grundsätzlich auf 500000 versorgte Einwohner bezogen sind (§ 5 Abs. 2 a. E. KRITISDachG-RegE).57 Die Begründung zum Regierungsentwurf stellt diesbezüglich eine gemeinsame – oder jedenfalls vergleichbare – Verordnung nach dem BSIG und dem KRITISDachG-RegE in Aussicht.58 

Zudem können Anlagen abweichend hiervon als kritisch oder unkritisch qualifiziert werden (§ 5 Abs. 5 KRITISDachG-RegE).

Ähnlich der Regelungstechnik des BSIG wird der Telekommunikationssektor zunächst vom Gesetz erfasst. Es werden sodann aber wesentliche Teile wieder aus dem Geltungsbereich ausgenommen.59 Anders als nach dem BSIG gibt es jedoch keine vergleichbare Ausnahme für den Energiesektor (wohl aber für den Finanz-, Abfall- und Sozialversicherungssektor, siehe § 4 Abs. 2 Nr. 1, 3 und 4 KRITISDachG-RegE).60

Der KRITISDachG-RegE differenziert grundsätzlich zwischen „normalen“ kritischen Einrichtungen und „kritischen Einrichtungen von besonderer Bedeutung für Europa“. Letzteres sind Betreiber, die – weiter eingegrenzte – kritische Dienstleistungen in mindestens sechs EU-Mitgliedstaaten erbringen (§ 9 Abs. 1 KRITISDachG-RegE). Die betroffenen Unternehmen können dann eine spezielle Unterstützung durch Sachverständige und Vertreter der Kommission im Rahmen einer „Beratungsmission“ erhalten.61 Allerdings erfolgt eine solche Beratungsmission nur auf Antrag des Bundesministeriums des Inneren, nicht etwa des betroffenen Unternehmens (§ 10 Abs. 1 KRITISDachG-RegE). Das betroffene Unternehmen ist aber umfassend zur Kooperation verpflichtet (§ 10 Abs. 2, 3, 5 KRITISDachG-RegE).

bb) Verpflichtungen nach dem KRITISDachG-RegE

Die Verpflichtungen nach dem KRITISDachG-RegE entsprechen in ihrer Struktur denen des BSIG.62

Die Unternehmen müssen ihre kritischen Anlagen zunächst registrieren (§ 8 KRITISDachGReg-E63).64 Sie müssen außerdem Maßnahmen zum Risikomanagement ergreifen. Der KRITISDachG-RegE sieht hierfür ein zweistufiges Verfahren vor. In einem ersten Schritt erfolgt (in einem vierjährigen Intervall) eine umfassende Risikoanalyse und Risikobewertung durch die Betreiber (§ 12 KRITISDachG-RegE). Grundlage hierfür ist eine (vom Bundesministerium des Inneren koordinierte) nationale Risikoanalyse und Risikobewertung auf Ministerialebene (§ 11 KRITISDachG-RegE).

Auf der Grundlage der Risikoanalyse und Risikobewertung müssen „Resilienzpflichten“ erfüllt werden (§ 13 KRITISDachG-RegE). Diese Pflichten sind deutlich breiter ausgelegt als die nach dem BSIG. So müssen – beispielhaft – Extremereignisse durch Unfälle, Naturgefahren oder gesundheitliche Notlagen, feindliche Bedrohungen, einschließlich terroristischer Straftaten, sowie Risiken, die sich durch Abhängigkeiten von anderen Betreibern kritischer Anlagen auch in Drittstaaten ergeben können, berücksichtigt werden (§ 12 Abs. 1 Nr. 1 [i. V. m. § 11 Abs. 2 Nr. 1], Nr. 2 KRITISDachG-RegE). Die hierfür zu treffenden Maßnahmen werden lediglich beispielhaft im Gesetz angerissen – etwa Zugangskontrollen oder ein angemessenes Sicherheitsmanagement hinsichtlich der Mitarbeitenden65 (§ 13 Abs. 3 Nr. 2 lit. d und Nr. 5 KRITISDachG-RegE). Eine weitere Ausgestaltung kann durch Rechtsverordnungen verschiedener (Bundes- und Landes-) Ministerien erfolgen (§ 14 Abs. 1, 3, 4 KRITISDachG-RegE). Außerdem können – in offensichtlicher Anlehnung an die B3S nach dem BSIG – branchenspezifische Resilienzstandards herangezogen werden (§ 14 Abs. 2 KRITISDachG-RegE).66 Weiter verkompliziert wird das Ganze durch Durchführungsrechtsakte der Kommission, die ebenfalls technische und methodische Spezifikationen erlassen kann, denen dann Vorrang zukommt.67

Die Maßnahmen müssen in einem „Resilienzplan“ dargestellt werden (§ 13 Abs. 4 KRITISDachG-RegE). Hierfür werden den Betreibern Vorlagen und Muster zur Verfügung gestellt (§ 13 Abs. 5 KRITISDachG-RegE).

Die ergriffenen Resilienzmaßnahmen müssen auf Ersuchen des BBK nachgewiesen werden (§ 16 KRITISDachG-RegE68). Werden bei der Überprüfung Mängel festgestellt, können Maßnahmen zur Beseitigung und Fristen hierfür angeordnet werden (§ 16 Abs. 6 KRITISDachG-RegE).

Schließlich besteht auch nach dem KRITISDachG-RegE eine Meldepflicht für Vorfälle (§ 18 KRITISDachG-RegE). Das Gesetz versteht dabei unter einem „Vorfall“ (im Wesentlichen) „ein Ereignis, das die Erbringung einer kritischen Dienstleistung erheblich beeinträchtigt oder beeinträchtigen könnte“ (§ 2 Nr. 9 KRITISDachG-RegE).69 Für die Bestimmung der Erheblichkeit ist u. a. auf die Zahl der betroffenen Nutzer, die Dauer der Störung und das betroffene geographische Gebiet abzustellen.70 Das BBK gestaltet das Verfahren weiter aus.

Verantwortlich für die Umsetzung und Überwachung sind – wie im Geltungsbereich des BSIG – die Geschäftsleitungen, die ggf. auch persönlich für schuldhaft verursachte Schäden haften (§ 20 KRITISDachG-RegE). Allerdings sieht der KRITISDachG-RegE keine speziellen Schulungspflichten für die Geschäftsleitungen vor.

5. Sonderregelungen für den Telekommunikationssektor

a) KRITISDachG-RegE und BSIG

Wie oben (unter 4. b) aa)) erwähnt, gilt das KRITISDachG-RegE in weiten Bereichen nicht für den Telekommunikationssektor.

Das BSIG enthält zunächst zahlreiche Sonderregelungen für Telekommunikationsunternehmen und differenziert hier detailliert zwischen wichtigen, besonders wichtigen und kritischen Einrichtungen. Im Anschluss werden dann aber weite Teile des BSIG für wichtige und besonders wichtige Telekommunikationsunternehmen ausgenommen.71 Grundsätzlich anwendbar bleiben – soweit hier relevant – nur die Registrierungspflicht (§§ 33, 34 BSIG) sowie die Untersagungsmöglichkeit für den Einsatz kritischer Komponenten (§ 41 BSIG). Grund hierfür ist, dass die übrigen Verpflichtungen spezialgesetzlich im TKG geregelt sind.72

Allerdings gibt es im BSIG – und zwar nicht im dritten Teil über die „Sicherheit in der Informationstechnik der Einrichtungen“, sondern in Teil 2 Kapitel 1 über „Aufgaben und Befugnisse“ des BSI – eine Sonderregelung für „Anbieter von Telekommunikationsdiensten“ (§ 16 BSIG).73 Hiernach kann das BSI gegenüber solchen Unternehmen zur „Abwehr erheblicher Gefahren“ u. a. anordnen, Telekommunikationsdienste einzuschränken, umzuleiten oder „Befehle zur Bereinigung von einem konkret benannten Schadprogramm an betroffene informationstechnische Systeme [zu] verteil[en]“ (§ 16 Abs. 1 BSIG74). Eine vergleichbare Ermächtigung besteht im Übrigen gegenüber den Anbietern von digitalen Diensten (§ 17 BSIG75).

b) TKG

Das TKG erfasst – soweit hier relevant – zunächst alle Telekommunikationsunternehmen unabhängig von ihrer Größe oder der Erreichung von Schwellenwerten. Allerdings differenziert das TKG hinsichtlich einzelner Verpflichtungen zwischen Telekommunikationsanbietern mit erhöhtem Gefährdungspotential und sonstigen Unternehmen. Die Zuordnung erfolgt durch die Bundesnetzagentur (§ 167 Abs. 1 Nr. 3 TKG).76 Telekommunikationsanbieter mit erhöhtem Gefährdungspotential müssen etwa Systeme zur Angriffserkennung betreiben (§ 165 Abs. 3 TKG). Kritische Komponenten dürfen solche Unternehmen nur einsetzen, wenn sie von einer anerkannten Zertifizierungsstelle überprüft und zertifiziert wurden (§ 165 Abs. 4 TKG).

Meldungen über erhebliche Sicherheitsvorfälle müssen an das BSI und die Bundesnetzagentur erfolgen (§ 168 TKG). Anders als nach dem BSIG müssen Telekommunikationsunternehmen grundsätzlich die von einer „Gefahr potenziell betroffenen Nutzer über alle möglichen Schutz- oder Abhilfemaßnahmen“ informieren (§ 168 Abs. 7 TKG).

Eine weitere Besonderheit des Telekommunikationsrechts ist, dass Telekommunikationsunternehmen einen Sicherheitsbeauftragten bestellen müssen (§ 166 TKG). Zudem wird die Bundesnetzagentur ermächtigt, einen Katalog von Sicherheitsanforderungen zu erlassen (§ 167 TKG). Anders als die branchenspezifischen Sicherheitsstandards nach dem BSIG ist dieser Katalog von Sicherheitsanforderungen verpflichtend umzusetzen. Die Bundesnetzagentur kann in diesem Katalog u. a. festlegen, welche Funktionen als kritisch anzusehen sind (§ 167 Abs. 1 S. 2 TKG). Diese Befugnis geht zukünftig (zusammen mit einer allgemeinen entsprechenden Ermächtigung) auf das Bundesministerium des Inneren über (§ 167 Abs. 2 TKG i. V. m. § 56 Abs. 7 BSIG). Im Übrigen verbleibt die Befugnis zum Erlass eines Katalogs von Sicherheitsanforderungen bei der Bundesnetzagentur.

c) Katalog von Sicherheitsanforderungen

Die Bundesnetzagentur hat dementsprechend kürzlich eine Konsultation für einen überarbeiteten Katalog – die letzte Version stammt aus dem Jahr 2020 – eingeleitet.77

Der dabei im Entwurf vorgelegte Katalog78 unterscheidet drei Gruppen von Telekommunikationsunternehmen:

• Telekommunikationsunternehmen mit hoher Bedeutung für das Gemeinwohl,
• Telekommunikationsunternehmen mit Bedeutung für das Gemeinwohl und
• sonstige Telekommunikationsunternehmen.

Er knüpft dabei – wie § 28 Abs. 1 und 2 BSIG – an die Unternehmensgröße an. In die Gruppe mit den höchsten Anforderungen fallen Unternehmen mit mindestens 50 Mitarbeitern oder mehr als 10 Millionen Euro Jahresumsatz oder -bilanzsumme. In der mittleren Gruppe sind es weniger als 50 Mitarbeiter und maximal 10 Millionen Euro und in der niedrigsten Gruppe weniger als 10 Mitarbeiter und maximal 2 Millionen Euro. Betreiber von Mobilfunknetzen der 5. Generation werden pauschal der höchsten Gruppe zugeordnet.

Der Katalogsentwurf erfasst zunächst verschiedene Aspekte der Unternehmensführung – etwa in Ziff. 4.1 den Schutz des Fernmeldegeheimnisses und personenbezogener Daten oder in Ziff. 4.10 das Bewusstsein für Bedrohungen („Threat Awareness“). Ein weiteres Kapitel enthält zusätzliche Anforderungen für 5G-Netze – etwa hinsichtlich der Bestimmung von kritischen Komponenten (Ziff. 5.1) oder (technischer) Diversität (Ziff. 5.4). Innerhalb der einzelnen Abschnitte werden zunächst die Maßnahmen aufgeführt, die alle Unternehmen zu ergreifen haben, es folgen dann solche, die außerdem von Telekommunikationsunternehmen mit einfacher und hoher Bedeutung für das Gemeinwohl umgesetzt werden müssen, und schließlich werden Anforderungen aufgelistet, die nur von Unternehmen mit hoher Bedeutung für das Gemeinwohl erfüllt werden müssen. Beispielsweise müssen alle Telekommunikationsunternehmen Schutzmaßnahmen treffen, indem sie Server gegen Missbrauch absichern.79 Unternehmen mit einfacher und hoher Bedeutung für das Gemeinwohl müssen zusätzlich regelmäßige Kontrollen der Softwareintegrität durchführen.80 Unternehmen mit hoher Bedeutung für das Gemeinwohl müssen außerdem Software-Patching-Verfahren anwenden, um sicherzustellen, dass Softwareprodukte oder -komponenten nicht verändert wurden.81 

6. Sonderregelungen für den Energiesektor

a) Netz- und Informationssicherheit

Die Regelungstechnik für den Energiesektor entspricht im Anwendungsbereich der NIS-2-Richtlinie (EU) 2022/2555 der im Telekommunikationssektor: Die Betreiber von (wichtigen und besonders wichtigen) Energieversorgungsnetzen, Energieanlagen oder digitalen Energiediensten werden zunächst vom BSIG erfasst (§ 28 Abs. 1 und 2 BSIG). Dann wird die Geltung des Gesetzes in weiten Teilen wieder zurückgenommen.82 Schließlich werden die Regeln des BSIG im EnWG nachgebildet.83 Die Regelungstechnik gleicht mitunter einem Verweisungsparcours: So erfassen § 28 Abs. 1 und 2 BSIG zunächst Energieversorgungsnetze, § 28 Abs. 5 BSIG nimmt dann die Unternehmen von der Geltung (u. a.) der §§ 32 und 36 BSIG aus. § 5d Abs. 3 EnWG bildet schließlich § 32 Abs. 1 BSIG nahezu wörtlich nach und erklärt im Übrigen § 32 Abs. 2 bis 5 und § 36 BSIG für entsprechend anwendbar. Hier wäre eine einfachere Regelungstechnik möglich gewesen.

Eine Besonderheit des Energiesektors – den dieser allerdings mit dem Telekommunikationssektor teilt – ist ein verbindlicher IT-Sicherheitskatalog (§ 5c Abs. 2 EnWG).84 Anders als im Telekommunikationssektor macht das Gesetz für dessen Inhalt sehr konkrete Vorgaben (§ 5c Abs. 3 EnWG).85 Bislang hat das EnWG hinsichtlich der IT-Sicherheitskataloge zwischen Betreibern, die der kritischen Infrastruktur zugeordnet werden, und sonstigen Betreibern differenziert (§ 11 Abs. 1a und 1b EnWG). Diese Differenzierung wird aufgegeben.86 Der IT-Sicherheitskatalog muss alle zwei Jahre überprüft und bei Bedarf aktualisiert werden (§ 5c Abs. 2 S. 6 EnWG). Bedenkt man, dass der „aktuelle“ Sicherheitskatalog Ende 2025 auf dem Stand von August 2015 war, erscheint das eine naheliegende Anforderung für die Zukunft.

Die Bundesnetzagentur hat im Mai 2025 Eckpunkte für zwei neue IT-Sicherheitskataloge nach dem alten § 11 Abs. 1a und 1b EnWG zur Konsultation gestellt.87 Diese Eckpunkte haben sich mit der Umsetzung der NIS-2-Richtlinie (EU) 2022/2555 überschnitten und berücksichtigen dementsprechend auch nicht die Vorgaben des § 5c Abs. 3 EnWG. Die Eckpunkte verdeutlichen allerdings, dass sich die Bundesnetzagentur auch zukünftig an Normen der Internationalen Organisation für Normung (International Organization for Standardization, ISO) und der Internationalen Elektrotechnischen Kommission (International Electrotechnical Commission, IEC) – und zwar „in ihrer aktuellen englischsprachigen Fassung“88 – orientieren will.89 Basis soll dabei (weiterhin) die ISO/IEC 27001 sein. Auch bislang wird auf diese Norm – ebenfalls „in der jeweils geltenden Fassung“ – verwiesen.90 Diese Regelungstechnik ist nicht unproblematisch: Es werden nämlich dynamisch – noch dazu fremdsprachige – (technische) Normen von Gesetzes wegen zur verbindlichen Pflichtenkonkretisierung herangezogen, auf deren Entstehung der deutsche Gesetzgeber – noch dazu vermittelt durch die Ermächtigung einer Bundesoberbehörde – allenfalls einen höchst mittelbaren Einfluss hat.91

Schließlich bestehen – auch bislang schon – zusätzliche Meldepflichten bei Versorgungsstörungen. Betreiber von Energieversorgungsnetzen müssen die Bundesnetzagentur bei Störungen für lebenswichtige Bedarfe unverzüglich unterrichten (§ 13 Abs. 8 und § 52 S. 6 EnWG).92

b) Resilienz kritischer Anlagen

Während der Telekommunikationssektor weitgehend aus der Umsetzung im KRITISDachG-RegE ausgenommen wird,93 werden die Vorschriften des KRITISDachG-RegE durch weitere Vorgaben im EnWG für den Energiesektor ergänzt.94

Eine wesentliche Besonderheit ist dabei, dass die Bundesnetzagentur – neben dem BBK – auch für die Überwachung der Resilienzmaßnahmen zuständig ist (§ 5f Abs. 1 EnWG-RegE). Außerdem kann die Bundesnetzagentur einen „Sicherheitskatalog für die physische Resilienz“ erlassen (§ 5f Abs. 2 EnWG-RegE).

IV. Aufsicht und Bußgelder

Zuständige Behörde für die Aufsicht ist im Bereich des BSIG (§ 3 BSIG) grundsätzlich das BSI. Der KRITISDachG-RegE verteilt die Zuständigkeiten auf verschiedene Behörden – u. a. die Bundesnetzagentur, das BSI sowie das Eisenbahn-Bundesamt (§ 3 Abs. 1 KRITISDachG-RegE). Weitere Zuständigkeiten können durch Rechtsverordnung geregelt werden (§ 3 Abs. 3 KRITISDachG-RegE). Für die Durchführung des Gesetzes ist zudem in zahlreichen Vorschriften das BBK verantwortlich.95

Verstöße gegen das BSIG sowie das künftige KRITISDachG sind bußgeldbewehrt (bzw. werden es sein). Das BSIG sieht hierbei – in Umsetzung von Art. 34 der NIS-2-Richtlinie (EU) 2022/2555 – Bußgelder bis zu zehn Millionen Euro oder 2 % des weltweiten Jahresgesamtumsatzes vor (§ 65 BSIG). Betrachtet man die Auswirkungen, die Verstöße gegen Sicherungspflichten für das Gemeinwohl haben können, so ist dieser Betrag – insbesondere zu den 4 % des Jahresumsatzes, welche die DSGVO vorsieht (Art. 83 Abs. 5 und 6 DSGVO) – kaum zu hoch gegriffen. Erstaunlich ist demgegenüber der Bußgeldrahmen des KRITISDachG-RegE, welcher bis maximal 500.000 Euro reicht (§ 24 KRITISDachG-RegE). Diese Differenz ist im Vergleich zum BSIG allenfalls dadurch erklärbar, dass die NIS-2-Richtlinie (EU) 2022/2555 Vorgaben zur Höhe der Bußgelder enthält, während die CER-Richtlinie (EU) 2022/2557 es bei der Standardfloskel belässt, wonach Mitgliedstaaten „wirksam[e], verhältnismäßig[e] und abschreckend[e]“ Sanktionen vorsehen müssen (Art. 22 der CER-Richtlinie [EU] 2022/2557).

V. Fazit

Der Schutz kritischer Infrastrukturen sowie die Netz- und Informationssicherheit in wichtigen und besonders wichtigen Einrichtungen sind gesamtgesellschaftlich und unionsweit zu bewältigende Aufgaben. Die Umsetzung der NIS-2-Richtlinie (EU) 2022/2555 sowie der CER-Richtlinie (EU) 2022/2557 leistet hierzu einen entscheidenden Beitrag. Die Regelungstechnik ist – teilweise historisch bedingt – höchst komplex. Der Gesetzgeber wechselt dabei zwischen sektorübergreifenden Regelungen im BSIG und dem KRITISDachG-RegE sowie sektorspezifischen Regelungen – vor allem für die Netzwirtschaften Telekommunikation und Energie – im TKG sowie im EnWG. Das führt mitunter zu einem Verweisungsparcours durch die Gesetze, die Unternehmen erst erfassen, dann wieder ausschließen, um aus einem anderen Gesetz dann auf das ursprüngliche Gesetz zurückzuverweisen.96 Nicht leichter wird der Zugang zum Recht durch zahlreiche Verordnungsermächtigungen – im Falle des KRITISDachG-RegE noch dazu einer Vielzahl von Ministerien – zur Regelung weiterer Fragen. Hinzu kommen verschiedene Sicherheitskataloge – insbesondere der Bundesnetzagentur. Schließlich verfügt die Kommission über zahlreiche Ermächtigungen zum Erlass von Durchführungsrechtsakten, die ggf. das nationale Recht überlagern. Ob diese Vielzahl von Regelungsakten – vom Gesetz bis hinunter zu Sicherheitskatalogen und Meldevorgaben von Behörden – dem Anliegen dient, die digitale Resilienz der EU zu stärken, wird die Zukunft erst zeigen müssen.