Update vom 06.11.2023: 

Zur Umsetzung der europäischen NIS-2-Richtlinie in Deutschland hat das Bundesministerium des Innern und für Heimat (BMI) ein Diskussionspapier mit Regelungsentwürfen für sogenannte wichtige Einrichtungen und besonders wichtige Einrichtungen im BSI-Gesetz veröffentlicht. Die NIS-2-Richtlinie führt strengere Sicherheits- und Vorfallmeldeanforderungen ein. Unternehmen sind demnach verpflichtet, Cyber-Risiken zu minimieren, Resilienzmaßnahmen umzusetzen und schwerwiegende Cyber-Vorfälle innerhalb von 24 Stunden den nationalen Behörden zu melden.

Der DSLV hat seine Mitglieder mit E-Mail vom 6. Oktober 2023 (siehe Anlage) um ihre Einschätzung zu dem Diskussionspapier gebeten. Anhand der eingegangenen Anmerkungen hat der DSLV mit dem angehängten Positionspapier gegenüber dem BMI fristgerecht Stellung genommen. Basierend auf den eingegangenen Stellungnahmen hat das BMI ein Werkstattgespräch organisiert, in dem die eingegangenen Stellungnahmen ausgewertet wurden. An dem Werkstattgespräch, das am 26. Oktober 2023 in Berlin stattgefunden hat, hat als Vertreter des DSLV Herr Christian Skorupa (DHL) teilgenommen.

Ergebnisse des Werkstattgesprächs:

Vertreten war das Team aus dem Referat „Cybersicherheit für Wirtschaft und Gesellschaft“ im BMI, die den Entwurf zwar nicht federführend betreuen, aber für alle Punkte bzgl. Wirtschaft/Unternehmen verantwortlich sind. Es waren rund 40 VertreterInnen der verschiedenen Verbände anwesend.

Das BMI ist alle Anmerkungen der einzelnen Stellungnahmen durchgegangen, jeweils mit Einordnung, ob man den Vorschlag übernehmen oder ablehnen wird, oder ob noch weiterer Prüfbedarf vorliegt. Danach gab es die Möglichkeit zur mündlichen Stellungnahme der einzelnen Verbände sowie eine Fragerunde. Die Präsentation mit den Inhalten ist im Nachgang verschickt worden und befindet sich ebenfalls in der Anlage zu dieser E-Mail.

Die Anmerkungen des DSLV (siehe angehängtes Positionspapier) wurden folgendermaßen bewertet:

Nachweispflichten für Betreiber kritischer Anlagen

• Mit dem Entwurf möchte man klarstellen, dass die speziellen Anforderungen an Kritische Anlagen (§ 31), auch nur für den Versorgungsbereich der kritischen Anlage gelten soll. Sollte eine Rechtsperson aber aufgrund des Betriebs einer kritischen Anlage als „besonders wichtig“ gelten (nach § 28 Abs.1 Punkt 4), so unterliegt auch die gesamte Rechtsperson zumindest den Anforderungen der „besonders wichtigen“ Einrichtungen. Dies würde konkret bedeuten: wenn ein Logistikunternehmen eine wichtige Anlage betreibt, dann ist die gesamte AG, GmbH etc. „besonders wichtig“ und muss die entsprechenden Anforderungen (z. B. den verpflichteten Informationsaustausch) erfüllen, auch wenn die weiteren Dienstleistungen des Unternehmens nicht im Geltungsbereich der Anlage 1 liegen.
• Fazit des DSLV: Diese Regelung bleibt unübersichtlich und wird daher auch im weiteren Verlauf der Verbändeanhörung noch zu adressieren sein.

Registrierungspflicht nach § 33

• Die Möglichkeit zur Benennung zentraler Kontaktstellen bei Konzernen soll in der Form möglich sein, dass zwar die genannte Kontaktstelle immer die gleiche sein kann, es müssen aber immer auch die im Anwendungsbereich liegenden genannten Rechtspersonen genannt und registriert werden. Weitere Pflichten aus den §§ 30 bis 35 müssen in dem Fall auch immer aus der Rolle der jeweiligen Rechtspersonen durchgeführt werden bzw. zuzuordnen sein.
• Allgemein sollen Fragen bzgl. der Umsetzung bei größeren Konzernstrukturen besser in der Gesetzesbegründung erklärt werden.
• Die Kommunikation mit dem BSI auf Englisch kann aufgrund deutscher Amtssprache nicht ins Gesetz aufgenommen werden, in der Praxis erwartet man aber keine Schwierigkeiten, da das BSI auch in der Vergangenheit mit Englisch arbeiten konnte.

Meldepflichten nach § 32

• Bezüglich „substantiierter Kenntnis“ für Vorfälle: eine derartige Anpassung ist nicht möglich, man geht aber davon aus, dass bei der konkreten Umsetzung sowieso demnach gehandelt wird, weil es laut BMI in der Natur der Sache liegt.
• Doppelte Verantwortlichkeiten gegenüber nationalen Aufsichtsbehörden will man möglichst vermeiden.

Verantwortlichkeiten nach § 38

• Klarstellungen der Regelungen für internationale Konzerne sollen geprüft werden, ansonsten keine Anpassungen.

Relevant waren des Weiteren die Aussagen zur notwendigerweise kommenden Anpassung/Neugestaltung der BSI-KritisV. Man plant weiterhin, dass der Kreis der KRITIS-Betreiber und die Definitionen nicht angepasst werden, jedoch wollte (bzw. kann) man sich derzeit auch nicht festlegen. Dies wird der DSLV im Blick behalten.

Die Ergebnisse des Workshops stehen unter einem gewissen Vorbehalt, da das BMI darauf hingewiesen hat, dass das Diskussionspapier noch nicht in die Ressortabstimmung gegeben wurde. Die ordentliche Verbändeanhörung wird ebenfalls noch durchgeführt. Die bisherigen Vorschläge zur Umsetzung und die Ergebnisse des Workshops sind nach Ansicht des DSLV trotzdem positiv zu bewerten. Die drohende weitgehende Betroffenheit der Logistik-Branche ist mit der Orientierung an der europäischen NIS-2-Richtlinie glücklicherweise sehr unwahrscheinlich geworden, was als Erfolg zu werten ist.