Begründung der Bundesregierung
Die Vorschrift dient der Umsetzung von Artikel 33 der NIS-2-Richtlinie. Für wichtige Einrichtungen sind gemäß dieser Vorschrift grundsätzlich die gleichen Aufsichtsmaßnahmen des Bundesamts vorgesehen, wie in § 61 für besonders wichtige Einrichtungen. Jedoch gilt für wichtige Einrichtungen als Voraussetzung zur Ausübung dieser Aufsichtsmaßnahmen, dass Tatsachen die Annahme rechtfertigen, dass eine wichtige Einrichtung die gesetzlichen Verpflichtungen nicht oder nicht richtig umgesetzt hat.
Stellungnahme des Bundesrates
Zu § 62
- Der Bundesrat begrüßt die mit dem Gesetzentwurf vorgesehene Umsetzung der NIS-2-Richtlinie in nationales Recht. Hierbei handelt es sich um einen wichtigen nächsten Schritt hin zu einer kohärenten Gesetzgebung zum Schutz der kritischen Infrastruktur. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden.
- Der Bundesrat bittet im weiteren Gesetzgebungsverfahren zu prüfen, ob die Frist zur Vorlage von Nachweisen über die Erfüllung einzelner oder aller der in § 61 Absatz 1 BSIG-E genannten Verpflichtungen wie sie in § 61 Absatz 3 Satz 5 BSIG-E für Krankenhäuser vorgesehen ist, auch für wichtige Einrichtungen im Bereich des Gesundheitssektors gemäß der Bestimmung in § 28 Absatz 2 Nummer 3 BSIG-E vorgesehen und in die Regelung des § 62 BSIG-E aufgenommen werden kann.
Begründung
Der Gesetzentwurf dient der Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung. Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015, S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz auf den Bereich bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt.
Schwerpunktmäßig wird eine Novellierung des BSI-Gesetzes vorgenommen. Dabei sollen die Vorgaben der NIS-2-Richtlinie 1:1 im Bereich Wirtschaft umgesetzt werden. Dadurch erweitert sich der Kreis der Unternehmen, die Risikomanagementmaßnahmen im Bereich der IT-Sicherheit und Meldepflichten bei IT-Sicherheitsvorfällen zu erfüllen haben.
Für den Bereich des Gesundheitswesens könnten künftig große Praxen, Berufsausübungsgemeinschaften
(BAG) und Medizinische Versorgungszentren (MVZ) von den Vorschriften zu den kritischen Sektoren betroffen sein, wenn sie eines von zwei Kriterien erfüllen
– mindestens 50 Mitarbeiter
– über zehn Millionen Euro Jahresumsatz.
Davon könnten gemäß § 28 Absatz 2 Nummer 3 BSIG-E große ambulante Einrichtungen, umsatzstarke Praxen aus der Radiologie und Nuklearmedizin, Nephrologie oder Laboratoriumsmedizin betroffen sein.
Auf diese Einrichtungen kommen mit dem Gesetzentwurf neue Pflichten zu.
§ 61 BSIG-E beschreibt die Vorgehensweise gegenüber besonders wichtigen Einrichtungen. Zudem bestehen auch für bestimmte besonders wichtige Einrichtungen Ausnahmen betreffend die Umsetzungspflicht. So schreibt § 61 Absatz 3 Satz 5 BSIG-E fest, dass für Krankenhäuser nach § 108 SGB V eine Übergangsfrist von fünf Jahren nach Inkrafttreten des Gesetzes zur Vorlage von Nachweisen anzunehmen ist. In Anbetracht der auch auf die wichtigen Einrichtungen mit dem Gesetzentwurf zukommenden Verpflichtungen wird die Notwendigkeit gesehen, eine entsprechende Übergangfrist auch für diese in § 62 BSIG-E vorzusehen.
Aus den vorgesehenen Verpflichtungen können sich weitere Aufwände und Kosten für die betroffenen Einrichtungen ergeben, die bisher nicht einkalkuliert sind. Der Umsetzungs- und Dokumentationsaufwand für die gesetzlich vorgeschriebenen Maßnahmen ist nicht unerheblich. Betroffene Einrichtungen, die erst jetzt beginnen, sich mit NIS-2 Vorschriften zu befassen, werden die Umsetzungsfrist gegebenenfalls nicht mehr einhalten können.
Zudem müssten diese Ausnahmetatbestände doch erst recht für (weniger) wichtige Einrichtungen gelten.
Gegenäußerung der Bundesregierung
Zu § 62
Die Bundesregierung begrüßt die Ausführung zu a) und lehnt den Vorschlag zu b) ab
Wie in Artikel 33 der NIS-2-Richtlinie vorgesehen, gilt für wichtige Einrichtungen eine ex post-Aufsicht. So kann das BSI bei einer wichtigen Einrichtung z.B. im Fall des Auftretens eines IT-Sicherheitsvorfalls die Einhaltung der gesetzlichen Verpflichtungen überprüfen und Maßnahmen nach § 61 BSIG-E ergreifen, vgl. § 62 BSIG-E. Eine ex ante-Aufsicht – wie bei besonders wichtigen Einrichtungen – oder gar eine allgemeine Nachweispflicht – wie bei Betreibern kritischer Anlagen – ist gerade nicht vorgesehen. Da hierdurch die Verhältnismäßigkeit der Aufsichtsmaßnahmen bereits ausreichend sichergestellt ist, wird der Änderungsbedarf im Sinne des Vorschlags nicht geteilt.