Das Deutsche Verkehrsforum (DVF) bedankt sich für die Möglichkeit zur Kommentierung des Referentenentwurfs für ein Gesetz zur Umsetzung der NIS2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz - NIS2UmsuCG) mit Stand 23.06.2025.

Nachfolgend einige Anmerkungen:

• Das DVF begrüßt, dass im vorliegenden Entwurf der Nachweiszeitraum über die umgesetzten Anforderungen des neuen BSIG für die Einrichtungen der Bundesverwaltung gestrafft wurde (§ 43 Abs. 4). Dieser soll analog zu den Vorgaben für die in den Geltungsbereich der Richtlinie fallenden Unternehmen drei Jahre betragen.
• Kritisch ist zu sehen, dass im vorliegenden Entwurf eine Entkoppelung vom KRITIS-DachG vorgenommen wurde. Das KRITIS-DachG zur Umsetzung der Resilienz-Richtlinie war bislang mit der NIS2-Umsetzung verwoben: So sollten die Gesetze aufeinander abgestimmt werden, u.a. um Vorgaben zur Erbringung von Meldepflichten und Nachweisverfahren zu synchronisieren. Diese Vernetzung ist im aktuellen Entwurf weitestgehend gelöscht, sollte mit Blick auf die Handhabbarkeit der Vorgaben und dem Ziel der Reduzierung bürokratischen Aufwands jedoch dringend wiederaufgenommen werden (siehe hierzu auch der Punkt „Harmonisierung mit weiterer einschlägiger Regulatorik, insbesondere KRITIS-DachG“)

An einigen Stellen sehen wir darüber hinaus nach wie vor Konkretisierungs- bzw. Anpassungsbedarf – insbesondere da, wo die Anforderungen des vorliegenden Entwurfes in Teilen strenger sind als in der NIS2 vorgegeben:

Zu § 28 BISG Besonders wichtige Einrichtungen und wichtige Einrichtungen

• Der § 28 Abs. 1 Nr. 4 beschriebene Anwendungsbereich scheint von dem der NIS2-Richtlinie erheblich abzuweichen: Nach unserem Verständnis sind hier Unternehmen als „besonders wichtige Einrichtung“ umfasst, die nach der NIS2-Richtlinie nicht betroffen wären. Das deutsche Umsetzungsgesetz geht damit aus unserer Sicht „ohne Not“ weit über den Anwendungsbereich der europäischen Richtlinie hinaus, mit ganz erheblichen finanziellen Auswirkungen auf die betroffenen Unternehmen. Zudem ist nicht klar, warum man auf europäischer Ebene von „wesentlichen“ und „wichtigen“ Einrichtungen spricht, wohingegen der deutsche Gesetzgeber „wichtige“ und „besonders wichtige“ Einrichtungen (anders) definiert. Etwas vereinfacht gesagt: Der Fokus der europäischen Richtlinie liegt auf den Betreibern kritischer Infrastrukturen, das deutsche Umsetzungsgesetz verpflichtet einen Großteil der Lieferkette gleich direkt gesetzlich mit.
   
• Zudem ist nicht ganz klar, wie die Definition des Anwendungsbereichs in der aktuellen Fassung zu verstehen ist: Den Satz „Eine juristische Person, die anderen juristischen Personen entgeltlich Waren oder Dienstleistungen anbietet, die einer der in Anlage 1 bestimmten Einrichtungsarten zuzuordnen ist“, könnte man so verstehen, dass jeder Dienstleister oder Lieferant (bei einer entsprechenden Mitarbeiteranzahl/ bei entsprechendem Umsatz) einer in Anlage 1 bestimmten Einrichtungsart, unabhängig von der Art seiner geleisteten Tätigkeit/gelieferten Ware in den Anwendungsbereich des Gesetzes fiele. Mit anderen Worten könnte man die aktuelle Definition einer „besonders wichtigen Einrichtung“ so verstehen, dass auch der Kaffeelieferant der Deutschen Bahn (bei einer entsprechenden Mitarbeiteranzahl/bei entsprechendem Umsatz) in den Anwendungsbereich des Gesetzes fiele, was - liest man Abs. 1 in Verbindung mit Abs. 3 - wohl nicht gewünscht ist. [Der Relativsatz im Gesetzentwurf scheint den falschen Bezug zu haben, denn intendiert ist vermutlich, dass sowohl die Geschäftstätigkeit des Lieferanten/ des Dienstleisters als auch seine entgeltlich angebotene Ware oder Dienstleistung einen Bezug zu einer in Anlage 1 bestimmten Einrichtungsart haben müssen.]

• Bei den Anforderungen an die Risikomanagementmaßnahmen von Betreibern kritischer Anlagen sollte konkretisiert werden, dass aufgrund des Betriebs einer „kritischen Anlage“ gemäß § 28 Abs. 8 auch nur der diese „kritische Anlage“ betreffende Unternehmensteil den speziellen Anforderungen an „besonders wichtige Einrichtungen“ nach § 31 unterfällt.

Zu § 30 BISG Risikomanagementmaßnahmen besonders wichtiger Einrichtungen und wichtiger Einrichtungen

• In der NIS2 wird von der Beherrschung von Risiken für die Erbringung der Dienste gesprochen, das NIS2UmsuCG spricht in § 30 Abs. 1 jedoch von der Vermeidung von Störungen in informationstechnischen Systemen, Komponenten und Prozesse, die für die Erbringung ihrer Dienste genutzt werden. Hier fehlt ein qualifizierender Faktor, dass die Störung überhaupt Relevanz für die Diensterbringung hat und es somit ein zu beherrschendes Risiko gibt.

Vollständige Stellungnahme siehe PDF