Die hier dargestellten, archivierten FAQ stellen auf den Regierungsentwurf des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG) vom 24.07.2024 ab.
Aufgrund der vorgezogenen Wahlen konnte das parlamentarische Verfahren zum NIS2UmsuCG nicht abgeschlossen werden.
Für den Bundestag gilt das Diskontinuitätsprinzip. Das heißt unter anderem, dass mit der Konstituierung eines neu gewählten Bundestages alle vom alten Bundestag noch nicht beschlossenen Gesetzentwürfe neu eingebracht und verhandelt werden müssen.
Einrichtungen der Langzeitpflege fallen nicht unter den Sektor Gesundheitsdienstleistung.
Ja, gemäß Anlage 1 Nr. 4.1.1 BSIG-E in Verbindung mit Richtlinie (EU) 2011/24, umfassen Gesundheitsdienstleistungen u.a. auch die Verschreibung, Abgabe und Bereitstellung von Arzneimitteln und Medizinprodukten.
Im Sinne der Richtlinie bezeichnet „Gesundheitsversorgung“ Gesundheitsdienstleistungen, die von Angehörigen der Gesundheitsberufe gegenüber Patienten erbracht werden, um deren Gesundheitszustand zu beurteilen, zu erhalten oder wiederherzustellen, einschließlich der Verschreibung, Abgabe und Bereitstellung von Arzneimitteln und Medizinprodukten.
Betreiber kritischer Anlagen (bisher Betreiber Kritischer Infrastrukturen) sind unabhängig von den neuen Schwellenwerten Mitarbeiterzahl, Umsatz und Bilanzsumme automatisch besonders wichtige Einrichtungen, vgl. § 28 Absatz 1 Nummer 1 BSIG-E. Die Einordnung als kritische Anlage richtet sich nach § 2 Nummer 22 in Verbindung mit § 56 Absatz 4 BSIG-E auch zukünftig nach den in der BSI-KritisV enthaltenen Schwellenwerten.
Nein, in der Regel dürften reine Beratungsleistungen zur IT-Sicherheit nicht unter die Einrichtungsarten im Sektor digitale Infrastruktur (Anlage 1 Nummer 6 BSIG-E) fallen.
Ja, Tochterunternehmen, in denen der zentrale IT-Betrieb eines Unternehmensverbunds organisiert ist, dürften in der Regel als Managed Services Provider (MSP) oder Managed Security Service Provider (MSSP) anzusehen sein.
Nein, Webhosting zählt nicht zu Einrichtungsarten, wie Cloudanbieter oder MSP.
Ja. Gemäß § 28 Absatz 1 Nr. 2 BSIG-E sind DNS-Diensteanbieter, unabhängig ihrer Größe, verpflichtet die Anforderungen nach §§ 30 ff. BSIG-E zu erfüllen.
Ja, nach aktuellem Stand werden Betreiber von öffentlichen Kommunikationsnetzen unabhängig von ihrer Größe als „wichtige Einrichtungen“ (sofern unter der Schwelle für Kleinunternehmen liegend) oder „besonders wichtige Einrichtung“ betroffen sein, vgl. § 28 Absatz 1 Nummer 3, Absatz 2 Nummer 2 BSIG-E. Hierbei ist jedoch auf die sektorspezifischen Regelungen des § 28 Absatz 4 sowie des TKG (vgl. Artikel 26 des NIS2UmsuCG) hinzuweisen.
DORA ist ab dem 17. Januar 2025 anzuwenden. Ab diesem Tag müssen Einrichtungen, die unter DORA fallen, an die BaFin melden. Alle DORA-Meldungen, die die BaFin erreichen, wird die BaFin automatisiert und inhaltlich unverändert an das BSI weiterleiten.
Ab diesem Zeitpunkt kann für diese Banken auf die Abgabe von Meldungen an das BSI im Sinne von § 8b BSIG verzichtet werden, da laut § 8d Absatz 3 Nummer 5 BSIG Betreiber von der Meldepflicht gemäß § 8b Absatz 4 BSIG ausgenommen sind, wenn diese auf Grund von Rechtsvorschriften Anforderungen erfüllen müssen, die mit den Anforderungen nach § 8b Absatz 4 BSIG vergleichbar oder weitergehend sind. Dies ist mit DORA der Fall.
Bis zum 17. Januar 2025 ist eine Meldung von IT-Sicherheitsvorfällen weiterhin nach der geltenden gesetzlichen Grundlage an das BSI verpflichtend.
Nach Inkrafttreten des NIS2UmsuCG gilt für DORA-Betroffene der § 28 Absatz 5 Nummer 1 BSIG-E, der von DORA betroffene Unternehmen unter anderem von der Meldepflicht ausnimmt.
Von DORA betroffene Einrichtungen werden nach Verabschiedung des BSIG-E gemäß § 28 Absatz 5 Nummer 1 BSIG-E, abgesehen von einer Registrierung, von weitergehenden Pflichten ausgenommen. Eine doppelte Meldung von Sicherheitsvorfällen, Aufsichten, Nachweisen etc. ergibt sich somit nicht.
Die Registrierung beim BSI ist erforderlich, um weiterhin Zugriff auf die BSI-Produkte (Warnmeldungen, Management-Infos etc.) zu erhalten und auf die Unterstützungsleistung des BSI im Betroffenheitsfall zurückgreifen zu können.
In der Regel nein. Für Hotel-Restaurants / Restaurants / Gastronomiebetriebe könnte zwar die Einrichtungsart des Sektors „Produktion, Verarbeitung und Vertrieb von Lebensmitteln“ in Betracht kommen (Nr. 4.1.1 in Anlage 2 BSIG-E). Diese beschränkt sich jedoch auf solche Lebensmittelunternehmen nach Artikel 3 Nummer 2 der VO (EU) 178/2002, „die im Großhandel sowie in der industriellen Produktion und Verarbeitung tätig sind“.
Es soll vermieden werden, dass Unternehmen zur selben Thematik (sich womöglich widersprechende) Anforderungen aus verschiedenen Gesetzen erfüllen müssen. Daher regelt § 28 Absatz 4 Nummer 2 BSIG-E, in welchen Fällen welche Teile des BSIG-E nicht anzuwenden sind, weil entsprechende Regelungen bereits in anderen Gesetzen enthalten sind. Als Beispiel nimmt § 28 Abs. 4 S. 1 BSIG-E besonders wichtige Einrichtungen und wichtige Einrichtungen, die gemäß § 5c EnWG-E regulierte Energieanlagen betreiben, von den Regelungen der in § 28 Absatz 4 BSIG-E aufgeführten Paragraphen aus. Hierbei ist wichtig zu beachten, dass die Ausnahme gemäß § 28 Absatz 4 Satz 2 BSIG-E nur für die Unternehmensteile gilt, die nicht anderen, nicht von den Ausnahmeregelungen erfassten, Sektoren zuzuordnen sind. Ist die betroffene besonders wichtige Einrichtung oder wichtige Einrichtung bspw. gleichzeitig ein Anbieter von Rechenzentrumsdiensten (i. S. Anlage 1), so unterliegen die Bereiche der Einrichtung, die diese Rechenzentrumsdienste anbieten, weiterhin den Regelungen des BSIG.
Ja. Für die Betroffenheit gemäß BSIG-E sind dessen Regelungen relevant. Das BSIG-E spricht nicht von "auto-skalierbar", sondern nur von "skalierbar". Somit würde auch ein solcher Cloud-Computing-Dienst unter das BSIG-E fallen.
