Begründung zu § 28 BSIG

Begründung der Bundesregierung

Der § 28 dient der Umsetzung von Artikel 3 NIS-2-Richtlinie.

Zu Absatz 1

Absatz 1 dient der Definition besonders wichtiger Einrichtungen und setzt damit Artikel 3 Absatz 1 Buchstaben a, b, c und f um. Durch die Einbeziehung von rechtlich unselbstständigen Organisationseinheiten einer Gebietskörperschaft wird sichergestellt, dass Eigenbetriebe und Landesbetriebe, die entsprechende Dienste gemäß der Einrichtungsdefinitionen erbringen, adäquat adressiert werden können, auch wenn diese keine juristische oder natürliche Person sind. Die in der Kommissionsempfehlung 2003/361 EG genannten Größenschwellen für Mitarbeiteranzahl und Jahresumsatz werden zur Verbesserung der Lesbarkeit in diesem Gesetz grundsätzlich ausdefiniert.

Soweit in diesem Absatz Einrichtungskategorien ohne eine explizite Angabe der Mitarbeiteranzahl, des Jahresumsatzes oder der Jahresbilanzsumme angegeben sind, werden diese Definitionen jeweils unabhängig von der Unternehmensgröße erfasst.

Zu Nummer 1

Nummer 1 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe f der NIS-2-Richtlinie, wonach gemäß der CER-Richtlinie als kritische Einrichtung bzw. Betreiber kritischer Anlagen auch als besonderes wichtige Einrichtung im Sinne dieses Gesetzes gelten.

Zu Nummer 2

Nummer 2 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe b der NIS-2-Richtlinie.

Zu Nummer 3

Nummer 3 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe c der NIS-2-Richtlinie.

Zu Nummer 4

Nummer 4 dient der Umsetzung von Artikel 3 Absatz 1 Buchstabe a der NIS-2-Richtlinie.

Zu Absatz 2

Absatz 2 dient der Definition wichtiger Einrichtungen und der Umsetzung Artikel 3 Absatz 2 der NIS-2-Richtlinie. Die obenstehenden Hinweise in der Begründung zu Absatz 1 gelten entsprechend.

Zu Absatz 3

Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind. Damit wird im Einzelfall vermieden, dass eine nur geringfügige Nebentätigkeit zu einer unverhältnismäßigen Identifizierung als wichtige oder besonders wichtige Einrichtung führt.

Mögliche Anhaltspunkte für diese Bewertung können etwa die Anzahl der in diesem Be-reich tätigen Mitarbeiter, der durch diese Geschäftstätigkeit erwirtschaftete Umsatz oder die Bilanzsumme für diesen Bereich sein. Ein Indiz, dass es sich nicht um eine vernachlässigbare Geschäftstätigkeit handelt, kann ihre Nennung in einem Gesellschaftervertrag, einer Satzung oder einem vergleichbaren Gründungsdokument der Einrichtung sein.

Entscheidend ist dabei unter Berücksichtigung aller relevanten Anhaltspunkte das Gesamtbild der betreffenden Geschäftstätigkeit im Lichte der Gesamtgeschäftstätigkeit der Einrichtung.

Zu Absatz 4

Bei der Bestimmung von Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme ist im Übrigen für Einrichtungen, die keine rechtlich unselbstständige Organisationseinheit einer Gebietskörperschaft sind, die Empfehlung 2003/361/EG mit Ausnahme von Artikel 3 Absatz 4 der Empfehlung anzuwenden. Danach beziehen sich die Daten grundsätzlich auf den letzten Rechnungsabschluss der Einrichtung und werden auf Jahresbasis berechnet, vgl. Artikel 4 Absatz 1 des Anhangs zur Empfehlung 2003/361/EG. Dies bedeutet, dass insbesondere saisonale Überschreitungen des Schwellenwerts bei der Mitarbeiteranzahl innerhalb eines Jahres nicht ausschlaggebend sind. Des Weiteren verliert eine Einrichtung den Status eines mittleren Unternehmens, eines kleinen Unternehmens oder eines Kleinstunternehmens erst dann, wenn es in zwei aufeinanderfolgenden Geschäftsjahren zu einer Über- oder Unterschreitung der Größenschwelle kommt, vgl. Artikel 4 Absatz 2 des Anhangs zur Empfehlung 2003/361/EG. Damit führen gegebenenfalls einzelne wirtschaftlich besonders erfolgreiche oder nichterfolgreiche Geschäftsjahre nicht für sich allein zu einer Erfassung als besonders wichtige oder wichtige Einrichtung.

Die Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung 2003/361/EG sind nicht hinzuzurechnen, wenn das betreffende Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände bestimmenden Einfluss auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse ausübt, die das Unternehmen für die Erbringung seiner Dienste nutzt. Ein bestimmender Einfluss auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse liegt insbesondere vor, wenn grundsätzliche Entscheidungen zur Beschaffung, zum Betrieb und zur Konfiguration der informationstechnischen Systeme, Komponenten und Prozesse durch die Einrichtung eigenverantwortlich getroffen werden können. Dies ist beispielsweise regelmäßig zu verneinen, wenn die informationstechnischen Systeme, Komponenten und Prozesse vollständig durch eine Konzernmutter betrieben werden, und die Einrichtung selbst demnach tatsächlich keinerlei Einfluss auf die vorgenannten Eigenschaften nehmen kann. Ein bestimmender Einfluss liegt jedoch regelmäßig vor, wenn die informationstechnischen Systeme, Komponenten und Prozesse im Auftrag durch einen Dienstleister betrieben werden, da hier durch vertragliche Regelungen bestimmender Einfluss auf die vorgenannten Eigenschaften ausgeübt werden kann. Hierdurch wird sichergestellt, dass Partnerunternehmen oder Tochterunternehmen, die für sich alleine gesehen die vorgesehenen Schwellen für Mitarbeiteranzahl, Jahresumsatz und Jahresbilanzsumme nicht erreichen oder überschreiten, nur in denjenigen Fällen als besonders wichtige Einrichtung gelten können, wenn sie keinen bestimmenden Einfluss auf ihre eigenen informationstechnischen Systeme, Komponenten und Prozesse ausüben, weil diese beispielsweise von einem Partnerunternehmen betrieben werden.

Zu Absatz 5

Absatz 5 regelt Ausnahmen für bestimmte Einrichtungskategorien, die spezialgesetzlich reguliert werden. Absatz 5 führt den bisherigen § 8d Absatz 2 fort. Die Ergebnisse der Evaluierung dieser Norm gemäß Artikel 6 Absatz 1 Nummer 1 des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme wurden berücksichtigt. Für Betreiber von öffentlichen Telekommunikationsnetzen, Energieversorgungsnetzen und Energieanlagen werden die derzeit bestehenden spezialgesetzlichen Regelungen mit einer entsprechenden Zuständigkeit der Bundesnetzagentur und hierfür durch die Bundesnetzagentur erstellter IT-Sicherheitskataloge fortgeführt.

Absatz 5 Satz 1 nimmt dazu zunächst all jene Einrichtungen von den aufgeführten Regelungen des BSIG aus, die eine von TKG bzw. EnWG erfasste Anlage betreiben. Ziel ist insoweit die Vermeidung einer Doppelregulierung durch BNetzA und BSI: die NIS-2-Richtlinie wird in diesem Fall vollständig durch die Regelungen des TKG beziehungsweise des EnWG umgesetzt.

Gleichzeitig soll die Anwendbarkeit des BSIG, und damit die Zuständigkeit des BSI, für weitere Sektoren durch diese Ausnahmeregelung nicht eingeschränkt werden. Denkbar wäre etwa der beispielhafte Fall, in dem eine Einrichtung gleichzeitig ein Wasserwerk nach Anlage 1 Nummer 5.1.1 wie auch ein Stromkraftwerk nach Anlage 1 Nummer 1.1.4 umfasst, deren IT-Systeme zwar grundsätzlich getrennt voneinander betrieben werden, die jedoch beide Schnittstellen zu einem gemeinsamen Monitoringssystem aufweisen.

In diesem Fall regelt Absatz 4 Sätze 2 und 3 eine entsprechende Rückausnahme, die sich auf die IT des Wasserwerks einschließlich dessen Schnittstelle zum Monitoringsystem erstrecken würde. Von der Rückausnahme erfasst ist also sämtliche IT, die für die Tätigkeiten in diesen Sektoren – bzw. den Betrieb der entsprechenden kritischen Anlage – erheblich ist. Diese unterliegt also wieder den Anforderungen des BSIG, womit insbesondere auch entsprechende Branchenspezifische Sicherheitsstandards nach § 30 Absätze 8 und 9 zur Anwendung kommen können.

Von der Rückausnahme nicht erfasst wird demgegenüber Unternehmens-IT, die für die Tätigkeit in diesen weiteren Sektoren nicht erheblich ist (z. B. „Office-IT“ ohne Schnittstellen zu kritischen Anlagen).

Theoretisch kann demzufolge auch der Fall eintreten, dass Teile der IT sowohl der Aufsicht der BNetzA als auch des BSI unterfallen, nämlich dann, wenn diese für die Tätigkeit in verschiedenen Sektoren erheblich ist.

Im Ergebnis unterliegen damit alle IT-Systeme einer Einrichtung einer Regulierung (so auch die Vorgabe aus Artikel 21 Absatz 1 der NIS-2-Richtlinie).

Mit Satz 4 wird klargestellt, dass im Fall, dass der Betrieb einer Energieanlage als Geschäftstätigkeit nach Satz 1 Nummer 2 im Hinblick auf die gesamte Geschäftstätigkeit vernachlässigbar ist (in Analogie zu Absatz 3), für den Betrieb dieser Energieanlage die Bereichsausnahme des Absatzes 5 keine Anwendung findet. Denkbar wäre etwa der Fall einer Kläranlage (Sektor Wasser), auf deren Gelände auch eine kleine PV-Anlage betrieben wird. In diesem Fall ist durch die Regelung sichergestellt, dass die gesamte Geschäftstätigkeit der Einrichtung sich hinsichtlich der Regulierung nach dem (Haupt)Sektor (im Beispiel: Wasser) richtet.

Zu Absatz 6

Zu Nummer 1

In Umsetzung von Erwägungsgrund 28 der NIS-2-Richtlinie gilt die Verordnung (EU) 2022/2554 (DORA-VO) für Finanzunternehmen als lex specialis. Somit sind diese Unternehmen von den hier genannten Verpflichtungen ausgenommen.

Zu Nummer 2

Nummer 2 führt den bisherigen § 8d Absatz 2 Nummer 3 sowie Absatz 3 Nummer 3 fort.

Zu Absatz 7

Absatz 7 regelt, dass für Betreiber kritischer Anlagen, deren Dienstleistungsempfänger bereits der Verordnung (EU) 2022/2554 (DORA) unterliegen und nach dieser meldepflichtig sind, eine weitere Meldepflicht nach § 32 dieses Gesetzes entfällt. Freiwillige Meldungen nach § 5 sind weiterhin möglich.

Zu Absatz 8

Absatz 8 dient der Definition von Betreibern kritischer Anlagen.

Zu Absatz 9

Mit dieser Öffnungsklausel können durch die Länder in eigener Verantwortung solche Einrichtungen aus dem Anwendungsbereich dieses Gesetzes ausgenommen werden, die zu 100% im Eigentum von Ländern und Kommunen stehen und zu dem überwiegenden Zweck errichtet wurden, im öffentlichen Auftrag Leistungen für Verwaltungen zu erbringen. Schließlich ist notwendig, dass das die Einrichtung Gegenstand einer mit den Regelungen dieses Gesetzes vergleichbaren NIS-2-Umsetzung durch das betreffende Land ist und das Land mit der Bezugnahme auf die Öffnungsklausel auch – bewusst – Gebrauch von dieser Öffnungsklausel macht. Letzteres soll gewährleisten, dass keine Einrichtungen regulierungsfrei gestellt werden, die durch die Bundesrepublik Deutschland in Umsetzung der NIS-2-Richtlinie zu regulieren sind.

Der Anwendungsbereich des § 28 erfasst lediglich wirtschaftlich tätige Einrichtungen. Insoweit können auch nur solche rechtlich unselbstständige Organisationseinheiten von Gebietskörperschaften und juristische Personen mittels dieser Öffnungsklausel ausgenommen werden, die wirtschaftlich tätig sind.

Stellungnahme des Bundesrates

Zu § 28 Absatz 5 Satz 4

In Artikel 1 § 28 Absatz 5 Satz 4 ist die Angabe „vernachlässigbar ist“ durch die Angabe „eine Nebentätigkeit darstellt“ zu ersetzen.

Begründung

Mit der Änderung soll eine Doppelregulierung für Anlagen verhindert werden, bei denen die Energieerzeugung lediglich ein Nebenzweck im Rahmen anderer Tätigkeiten darstellt. Eine solche Doppelregulierung würde keinen sicherheitsrelevanten Mehrwert bieten.

Mit der Änderung in Satz 4 wird insofern klargestellt, dass im Fall, dass der Betrieb einer Energieanlage als Geschäftstätigkeit nach Satz 1 Nummer 2 im Hinblick auf die gesamte Geschäftstätigkeit eine Nebentätigkeit darstellt, eine Regulierung nach dem EnWG entfällt und weiterhin das BSIG-E anwendbar bleibt. Eine Nebentätigkeit ist dabei weiter zu verstehen, als eine vernachlässigbare Geschäftstätigkeit nach § 28 Absatz 3 BSIG-E. Beispielhaft dafür sind im Regelfall die Energieanlagen der thermischen Abfallbehandlungsanlagen und Biovergärungsanlagen. Auch Klärwerke mit kleinen, aber nicht vernachlässigbaren PV-Anlagen würden darunterfallen.

Zu § 28 Absatz 5 Satz 4

In Artikel 1 § 28 Absatz 9 Nummer 2 ist die Angabe „unter Bezugnahme auf diesen Absatz“ zu streichen.

Begründung

Nach Maßgabe des § 28 Absatz 1 Satz 1 Nummer 4 und Absatz 2 Satz 1 Nummer 3 BSIG-E sollen bestimmte natürliche oder juristische Personen oder rechtlich unselbstständige Organisationseinheiten einer Gebietskörperschaft dem BSIG-E unterfallen. Hiervon dürfen die Länder nur unter den Voraussetzungen des § 28 Absatz 9 BSIG-E Ausnahmen zulassen. Dieser Absatz 9 basiert auf einem von Seiten der Länder eingebrachten Vorschlag, den der Bund zwar aufgenommen, aber zu ihrem Nachteil verändert hat. So müssen die Länder diesen Absatz 9 bei der abweichenden Gesetzgebung, deren Inhalt ihnen in der Vorschrift immerhin ebenfalls bundesrechtlich vorgegeben wird, zitieren. Dies schränkt sie bereits in ihrer Abweichungsmöglichkeit ein.

Zudem soll § 28 BSIG-E der Umsetzung von Artikel 3 der NIS-2-Richtlinie dienen. Diese war nach Artikel 41 Absatz 1 der NIS-2-Richtlinie bis zum 17. Oktober 2024 umzusetzen. Das BMI teilte am 9. Dezember 2024 mit, dass „die Vorgaben der NIS-2-Richtlinie … nach der Kompetenzordnung des Grundgesetzes durch [den] Bund und im Rahmen der jeweils bestehenden Zuständigkeit [durch die Länder] eigenverantwortlich umzusetzen [seien].“ Hinsichtlich der öffentlichen Unternehmen ist dabei zu berücksichtigen, dass der Bund nur über den Umfang der eigenen wirtschaftlichen Betätigung und den Status der eigenen Unternehmen befinden darf (Püttner, Die öffentlichen Unternehmen, 1985, S. 147). Wenn der Bund diese Einrichtungen nicht zu dem überwiegenden Zweck errichtet hat, im öffentlichen Auftrag Leistungen für die Verwaltungen von Ländern und Kommunen zu erbringen, ist er konsequenterweise auch nicht für die Umsetzung der NIS-2-Richtlinie im Hinblick auf diese Einrichtungen zuständig. Dementsprechend soll insbesondere § 46 Absatz 5 BSIG-E sicherstellen, dass lediglich Einrichtungen der Bundesverwaltung, die vom Anwendungsbereich der Umsetzung der NIS-2-Richtlinie zu erfassen sind, nicht von den Verpflichtungen der NIS 2-Richtlinie ausgenommen werden können. Eines solchen Zitiergebots bedarf es vor diesem Hintergrund nicht.

Vor allem wird der Sinn und Zweck der Regelung im Hinblick auf die Verpflichtungen der NIS-2-Richtlinie und die Grundsätze der Lastentragung auch ohne das Zitiergebot erreicht. Auch zur Vermeidung der negativen Folgen des laufenden Vertragsverletzungsverfahrens haben zahlreiche Länder bereits NIS-2-Umsetzungen auf den Weg gebracht. Ein solches Zitiergebot würde nicht zuletzt diejenigen Länder bestrafen, die bereits vergleichbare Regelungen erlassen haben und diese nun zum Beispiel in einem erneuten parlamentarischen Verfahren aufwändig ändern müssten. In diesem Zusammenhang ist im Bund-Länder-Verhältnis auch der Aufwand, den das Zitiergebot verursachen würde, unangemessen.

Die Voraussetzung, § 28 Absatz 9 BSIG-E explizit zu zitieren, ist deshalb zu streichen.

Gegenäußerung der Bundesregierung

Zu § 28 Absatz 5 Satz 4

Die Bundesregierung wird den Antrag prüfen.

Zu § 28 Absatz 9 Nummer 2

Die Bundesregierung lehnt den Vorschlag ab. Eine entsprechende Regelung war bereits Gegenstand des Gesetzentwurfs aus der letzten Legislaturperiode (Artikel 1 § 28 Absatz 8 Nummer 2 des Gesetzentwurfs auf Bundesratsdrucksache 380/24). Eine ausdrückliche Inbezugnahme ist aus Gründen der rechtlichen Klarheit geboten.

Beschlussempfehlung und Bericht des Innenausschusses

Zu § 28 Absatz 5 Satz 4:

In § 28 Absatz 5 Satz 4 wird die Angabe „vernachlässigbar ist“ durch die Angabe „eine Nebentätigkeit darstellt“ ersetzt.

Begründung

Zu § 28 Absatz 5 Satz 4:

Durch die Änderung von „vernachlässigbare Tätigkeit“ in „Nebentätigkeit“ werden unnötige Doppelzuständigkeiten von Bundesamt und BNetzA vermieden, wie sie zum Beispiel im Bereich der thermischen Abfallbeseitigung (Nebentätigkeit: Stromerzeugung) entstehen könnten. Der Begriff der Nebentätigkeit ist dabei weiter zu verstehen als der der „vernachlässigbaren Tätigkeit“ des § 28 Absatz 3.

Mit dieser Änderung wird einem Änderungsvorschlag des Bundesrates Rechnung getragen.