Wie unterscheiden sich eigentlich die Richtlinien und Gesetze rund um die NIS2

Standards und Normen NIS-2
1

Der Unterschied zwischen BSIG (BSI-Gesetz), BSIG-E (Entwurf), NIS2, dem NIS2-Umsetzungsgesetz (NIS2UmsuCG), der KRITISV (Verordnung) und dem KRITIS-Dachgesetz ergibt sich aus Reichweite, Adressatenkreis und inhaltlicher Ausgestaltung – sie bauen aufeinander auf, adressieren unterschiedliche Unternehmen und Verantwortliche und definieren Pflichten zur IT-Sicherheit differenziert.​

BSIG, BSIG-E und NIS2UmsuCG

  • BSIG (BSI-Gesetz): Das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik regelt bisher die Sicherheitsanforderungen, Meldepflichten und Zuständigkeiten für KRITIS-Betreiber (kritische Infrastrukturen) in Deutschland.​

  • BSIG-E (Entwurf): Der Entwurf des BSI-Gesetzes (BSIG-E) ist Teil der Umsetzung der europäischen NIS2-Richtlinie und erweitert den Adressatenkreis: Neben KRITIS-Betreibern werden auch besonders wichtige und wichtige Einrichtungen adressiert. Die Meldepflichten werden verschärft und dreistufig gestaltet, erstmals gibt es klare Anforderungen an Unternehmensleitungen.​

  • NIS2UmsuCG (NIS2-Umsetzungsgesetz): Dieses Gesetz dient der Umsetzung der EU-weiten NIS2-Richtlinie und ändert das BSIG im Kern. Die eigentlichen Sicherheitsanforderungen sowie organisatorische und technische Maßnahmen stehen im (neu gefassten) BSIG, das fortan für mehr Unternehmen verbindlich ist.​

  • NIS2-Richtlinie: Regelt EU-weit Mindeststandards der Cybersicherheit für „wesentliche“ und „wichtige“ Einrichtungen (u. a. Energie, Verkehr, Gesundheit, Verwaltung, digitale Infrastrukturen).​

KRITISV und KRITIS-Dachgesetz

  • KRITISV (KRITIS-Verordnung): Diese Verordnung konkretisiert das BSIG für bestimmte Branchen und legt Schwellenwerte und Sektoren fest, ab wann z. B. ein Energieversorger als KRITIS-Betreiber gilt.​

  • KRITIS-Dachgesetz: Es ist als separates Bundesgesetz geplant und regelt im Unterschied zu BSIG-E ausschließlich Betreiber kritischer Anlagen, nicht aber wichtigere oder besonders wichtige Einrichtungen. Es soll einen sektorübergreifenden Mindeststandard an physischen Sicherheitsanforderungen ergänzen und dabei den Kreis der Unternehmen kleiner halten als im BSIG-E.​

Zusammenhänge und Abgrenzungen

  • BSIG-E und NIS2UmsuCG: Das NIS2UmsuCG implementiert die Pflichten aus NIS2 primär durch Anpassung des BSIG (also nicht als eigenständiges „neues“ Gesetz), macht diese aber für einen erweiterten Kreis verpflichtend. So definiert das neue BSIG (gemäß NIS2UmsuCG) Pflichten zur Risikoanalyse, Vorfallmanagement und Meldewegen mit klaren Fristen und Verantwortungen.​

  • KRITISV vs. BSIG/BSIG-E: Während das BSIG (alt und neu) die rechtlichen Grundlagen und Sicherheitsanforderungen für alle betroffenen Unternehmen und kritischen Infrastrukturen enthält, bestimmt die KRITISV konkret, für welche Anlagen in welchen Sektoren Schwellenwerte gelten, um als KRITIS zu gelten.​

  • KRITIS-Dachgesetz vs. BSIG-E: Das KRITIS-Dachgesetz ist auf die physischen Aspekte und auf Betreiber kritischer Anlagen in wenigen Bereichen zugeschnitten, während das BSIG-E (als Teil der NIS2-Umsetzung) auch auf importante und besonders importante Einrichtungen umfassendere IT-Sicherheitsvorgaben anwendet.​

  • NIS2UmsuCG: Die NIS2-RL und ihr nationales Umsetzungsgesetz (NIS2UmsuCG) heben IT-Sicherheit auf einen einheitlichen europäischen Mindeststandard und erzwingen Nachbesserungen am deutschen Gesetz.