IT-Sicherheitsgesetz 2.0: Unternehmen im besonderen öffentlichen Interesse (Nardone, ITRB 2022, 17)

Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 am 28.5.2021 wurde der Anwendungsbereich des BSIG ohne eine angemessene Abstimmung mit parallel laufenden europäischen Harmonisierungsvorhaben erweitert. Mit Einführung einer neuen Adressatenkategorie, den sog. Unternehmen im besonderen öffentlichen Interesse, schafft der deutsche Gesetzgeber eine nationale Insellösung, die nicht allzu lang überdauern dürfte.

I. Hintergrund

II. Inhaltliche Schwerpunkte des IT-Sicherheitsgesetzes 2.0

III. Europarechtlicher Ansatz

1. NIS-RL

2. NIS2-Entwurf

IV. Ansatz des IT-Sicherheitsgesetzes 2.0

1. Einteilung in drei Unterkategorien

2. Rechtliche Anforderungen an Unternehmen im besonderen öffentlichen Interesse

a) Kategorien 1 und 2: „Rüstung“ und „erhebliche volkswirtschaftliche Bedeutung“

b) Kategorie 3: „Störfallunternehmen“

c) Verpflichtungen aller Unternehmen im öffentlichen Interesse

V. Bewertung

1. Systematik und Terminologie

2. Vereinbarkeit mit dem NIS2-Entwuf

VI. Ausblick: Nach 2.0 kommt 3.0


I. Hintergrund

Nach seiner Verabschiedung durch den Bundestag am 23.4.2021 ist das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) am 28.5.2021 in Kraft getreten. Mit dem IT-Sicherheitsgesetz 2.0 wird im Wesentlichen der von der Bundesregierung am 16.12.2020 beschlossene Entwurf umgesetzt. Diesem vorausgegangen war ein Diskussionsentwurf der Bundesregierung, der den betroffenen Verbänden und Ländern am 9.12.2020 unter Einräumung einer Frist von gerade einmal 24 Stunden zur Kommentierung zugeleitet worden war. Dieses Vorgehen der Bundesregierung wurde sowohl von Verbandseite als auch seitens des Normenkontrollrats zum Teil scharf kritisiert. Demzufolge würde dieses überhastete Vorgehen eine angemessene Abstimmung mit europäischen Harmonisierungsvorgaben erschweren bzw. sogar unmöglich machen. Jede Ausweitung des Anwendungsbereichs IT-sicherheitsrechtlicher Regelungen solle jedoch, insb. mit Blick auf wettbewerbsrechtliche Implikationen, erst über die Implementierung der entsprechenden europarechtlichen Vorgaben erfolgen.

Diesem Kritikpunkt soll nun im Rahmen des nachfolgenden Beitrags unter besonderer Berücksichtigung der durch das IT-Sicherheitsgesetz 2.0 neu eingeführten Adressaten Unternehmen im besonderen öffentlichen Interesse nachgegangen werden.

II. Inhaltliche Schwerpunkte des IT-Sicherheitsgesetzes 2.0

Das IT-Sicherheitsgesetz 2.0 hat in erster Linie Auswirkungen auf das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG). Die Änderungen im BSIG lassen sich wiederum grob in drei Themenkomplexe zusammenfassen: (1) die Stärkung der Rolle des BSI durch die Übertragung neuer Aufgaben und Zuständigkeiten, (2) die Verbesserung des Verbraucherschutzes – nicht zuletzt durch die Einführung eines neuen IT-Sicherheitskennzeichens für Verbraucherprodukte und Dienstleistungen im IT-Bereich und (3) die Ausweitung des Adressatenkreises des BSIG insb. durch die Einführung der sog. Unternehmen im besonderen öffentlichen Interesse.

Gerade die Einführung der neuen Adressatenkategorie wurde überwiegend kritisch aufgenommen, wobei in erster Linie eine mangelhafte bzw. inexistente Abstimmung mit der sich zeitgleich in Überarbeitung befindenden NIS-Richtlinie (NIS-RL) beklagt wurde. Letztlich würde der deutsche Gesetzgeber mit Einführung der Unternehmen im besonderen öffentlichen Interesse unnötigerweise einen nationalstaatlichen Alleingang unternehmen, der spätestens mit dem zu erwartenden Inkrafttreten einer dann überarbeiteten NIS-RL wieder aufwendig revidiert werden müsste. Aus diesem Grund sollte, so die schärfsten Kritiker, sogar gänzlich von der Einführung einer „Quasi-KRITIS-Kategorie“ bzw. „KRITIS light“ abgesehen werden.

III. Europarechtlicher Ansatz

1. NIS-RL

Die NIS-RL aus dem Jahr 2016 sah eine Unterteilung des Adressatenkreises in Betreiber wesentlicher Dienste und Anbieter von digitalen Diensten vor.Diese Unterteilung erwies sich jedoch schon sehr bald als unpraktikabel, insb. weil Anbieter digitaler Dienste begrifflich schwer von den Betreibern infrastrukturnaher digitaler Dienste (und damit im Prinzip Betreibern wesentlicher Dienste) zu unterscheiden sind. Angesichts eines steigenden Angebots von sog. Mischdiensten sah man somit das Erfordernis einer klaren begrifflichen Trennung dieser beiden Bereiche, welches im Rahmen der anstehenden Überarbeitung der NIS-RL umgesetzt werden sollte.

2. NIS2-Entwurf

Am 16.12.2020, und damit just an dem Tag, an dem auch die Bundesregierung ihren Regierungsentwurf vorlegte, präsentierte die EU-Kommission im Rahmen ihrer neuen EU-Cybersicherheitsstrategie „The EU’s Cybersecurity Strategy for the Digital Decade“ einen Vorschlag für eine überarbeitete NIS-RL (NIS2-Entwurf).

Mit diesem neuen Entwurf (...)