Das Wichtigste in Kürze

• Bei der Bestimmung des Anwendungsbereichs des BSI-Gesetzes (BSI-G) sollte jedes Unternehmen einzeln betrachtet werden.
• Die Definition von „besonders wichtigen Einrichtungen“ und „wichtige Einrichtungen“ weicht von der Kommissionsempfehlung 2003/361 EG als auch von den Vorgaben der NIS-2-Richtlinie ab. Hier sollte es zu einer Anpassung kommen.
• Die Einordnung von Betreibergesellschaften, die Tochtergesellschaften großer Mutterunternehmen sind, als „(besonders) wichtige Einrichtungen, ist nicht zielführend. Der Gesetzgeber sollte diese Unverhältnismäßigkeit bei der Ausgestaltung des BSI-G berücksichtigen.
• Bei Betreibergesellschaften, die das Management des Anlagenparks an geeignete Dienstleister ausgelagert haben, sollten die in § 30 genannten Pflichten zur Umsetzung von Risikomaßnahmen auf diese Dienstleister übertragen werden.
• Die in § 30 Abs. 2 Nr.9 genannten, umzusetzenden Maßnahmen zur „Sicherheit des Personals“ sind nicht eindeutig genug beschrieben.
• Aufgrund der noch nicht vorliegenden Verordnung ist nicht bisher klar, welche IKT-Produkte, IKT-Dienste und IKT-Prozesse in den Anwendungsbereich der Cybersicherheitszertifizierung gem. § 30. Abs. 6 fallen. Der Gesetzgeber sollte die entsprechende Verordnung zeitnah erlassen und dabei einen angemessenen zeitlichen Vorlauf zur Umsetzung berücksichtigen.
• Ein Abgleich der vorliegenden Gesetzentwürfe mit bestehenden Regulierungen/Gesetzen wie etwa dem zukünftig geplanten KRITIS-Dachgesetz ist dringend erforderlich.
• Verordnungen, die nach der Verordnungsermächtigung in § 58 noch auszuarbeiten sind, sollte schnellstmöglich erlassen werden.
• Die Zertifizierungspflicht über den von der BNetzA erstellten IT-Sicherheitskatalog sollte ausschließlich für kritische Anlagen gelten.
• Die Festlegungen in § 5c EnWG zur Zertifizierungspflicht sollten sich ausschließlich auf kritische Anlagen nach § 2 Absatz1 Nummer 21 des BSI-Gesetzes beziehen.

Vorbemerkungen

Der Bundesverband Erneuerbare Energie e.V. (BEE) begrüßt die Möglichkeit zur Sellungnahme zum vorliegenden Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und unterstützt ausdrücklich das Ansinnen des BMI, weitere Maßnahmen zur Stärkung der Cybersecurity in Deutschland zu verabschieden. Jedoch besteht an verschiedener Stelle Nachbesserungsbedarf, etwa bei der Bestimmung des Anwendungsbereichs des Gesetzes. Des Weiteren will unser Verband an dieser Stelle darauf hinweisen, dass zur ordentlichen Umsetzung des Gesetzes ein zeitnahes Erlassen der entsprechenden Verordnungen notwendig ist und hierbei angemessene zeitliche Vorläufe berücksichtigt werden sollten.

Der BEE nimmt zum vorliegenden Gesetzentwurf wie folgt Stellung.

1 Betroffenheit der Betreibergesellschaften von EE-Anlagen / Anlagenparks

Betreiber von EE-Anlagen / -Anlagenparks (Betrieb von Erzeugungsanlagen gem. § 3 Nr. 18 d EnWG) sind in Deutschland sehr heterogen aufgestellt, teilweise mit unterschiedlichen Sparten (Planung/Projektierung, Parkmanagement u.a.), mit Partnerunternehmen oder im Unternehmensverbund.

Nach Auffassung des BEE ist bei der Bestimmung, ob ein Unternehmen in den Anwendungsbereich des BSI-Gesetzes (BSI-G) fällt, jedes Unternehmen (jede rechtlich selbständige Einheit) einzeln zu betrachten. Unter Berücksichtigung der Mitarbeiterzahlen oder der Jahresumsätze/-bilanzsummen werden daher viele Betreibergesellschaften selbst nicht unmittelbar unter die Kategorien „wichtige Einrichtungen“ oder „besonders wichtige Einrichtungen“ fallen. Dies wird voraussichtlich lediglich für Betreibergesellschaften größerer EE-Anlagenparks gelten.

1.1 Definition von „besonders wichtigen Einrichtungen“ und „wichtige Einrichtungen“

Bei der Bestimmung von Mitarbeiterzahl, Jahresumsatz und Jahresbilanzsumme und der Definition von „besonders wichtigen Einrichtung“ und „wichtige Einrichtung“ (§ 28 Abs. 1 Nummer 4 a und b und § 28 Abs. 2 Nummer 3 a und b) verweist der Gesetzgeber auf die Kommissionsempfehlung 2003/361 EG.

In Artikel 2 der Kommissionsempfehlung 2003/361 EG – Mitarbeiterzahlen und finanzielle Schwellenwerte zur Definition der Unternehmensklassen – wird neben der Mitarbeiterzahl bei der Erreichung eines finanziellen Schwellenwertes entweder der Jahresumsatz oder die Jahresbilanzsumme herangezogen. Abweichend hierzu wird im NIS-2UmsuCG (§ 28 Abs. 1 Nummer 4 a und b und § 28 Abs. 2 Nummer 3 a und b) der Jahresumsatz und die Jahresbilanzsumme zur Erreichung eines finanziellen Schwellenwertes und damit zur Bestimmung der „besonders wichtigen Einrichtung“ und „wichtigen Einrichtung“ herangezogen. Beide Schwellenwerte müssen also erreicht sein. Wiederum wird abweichend vom Artikel 2 der Kommissionsempfehlung 2003/361 EG im NIS-2UmsuCG das Kriterium der Mitarbeiteranzahl mit einem oder an die Erreichung des finanziellen Schwellenwertes von Jahresumsatz und die Jahresbilanzsumme gebunden. Dies hat zur Folge, dass die alleinige Erreichung des Schwellenwertes der Mitarbeiteranzahl oder des Jahresumsatzes und der Jahresbilanzsumme für die Bestimmung als „besonders wichtigen Einrichtung“ und „wichtigen Einrichtung“ ausreicht.

Der deutsche Gesetzgeber weicht hier nicht nur von der Definition für kleine und mittlere Unternehmen in der Kommissionsempfehlung 2003/361 EG ab, sondern auch von den Vorgaben der NIS-2-Richtlinie, die auf diese Kommissionsempfehlung verweist. Eine bewusste Abweichung von den Vorgaben der EU-Richtlinie kann unseres Erachtens jedoch nicht gewollt und zielführend sein. Dies würde zu einer Ungleichbehandlung von Unternehmen innerhalb der EU führen, in denen die Kriterien zur Einstufung als betroffenes Unternehmen anders geregelt sind.

Vorschlag des BEE:

Wir schlagen vor den Text entsprechend der Kommissionsempfehlung 2003/361 EG anzupassen. Wird die Definition aus einer EU-Empfehlung als Kriterium herangezogen, ist diese auch 1:1 zu übernehmen.

1.2 Einordnung von Tochtergesellschaften großer Mutterunternehmen

Für den Fall, dass eine Tochtergesellschaft eine Betreibergesellschaft eines EE-Anlagenparks ist und die Muttergesellschaft das technische und kaufmännische Parkmanagement übernommen hat, sind zwei Betrachtungen vorzunehmen.

In § 28 Abs. 1 Nummer 4 a und b und § 28 Abs. 2 Nummer 3 a und b i.V.m. § 28 Abs. 3 des Regelungsentwurfs zum BSI-G wird für die Bestimmung von Mitarbeiterzahl, Jahresumsatz und Jahresbilanzsumme auf die Empfehlung 2003/361/EG verwiesen, um festzustellen, ob ein Unternehmen unter die in § 28 des Regelungsentwurfs genannten Kategorien („besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“) fällt. Diese sieht grundsätzlich vor, dass die Kennzahlen von sog. „Partnerunternehmen“ oder „verbundenen Unternehmen“ – zumindest anteilig – zugerechnet werden können. Nach dieser Berechnungsmethode würden viele Betreibergesellschaften, die Tochtergesellschaften größerer Unternehmen sind, aufgrund der Hinzurechnung der Mitarbeiterzahlen oder Jahresumsätze/-bilanzsummen mindestens der Kategorie „wichtige Einrichtung“, wenn nicht sogar der Kategorie „besonders wichtige Einrichtung“, einzuordnen sein.

Eingeschränkt wird dies gemäß § 28 Abs. 3 Satz 2 des Regelungsentwurfs zum BSI-G, indem die Hinzurechnung der Daten von Partner- oder verbundenen Unternehmen im Sinne der Empfehlung dann nicht gelten soll, wenn das Unternehmen unter Berücksichtigung der rechtlichen, wirtschaftlichen und tatsächlichen Umstände mit Blick auf die Beschaffenheit und den Betrieb der informationstechnischen Systeme, Komponenten und Prozesse unabhängig von seinem Partner oder verbundenen Unternehmen ist. Eine solche Unabhängigkeit dürfte jedoch größtenteils bei Betreibergesellschaften, die Tochtergesellschaften von größeren Unternehmen sind, nicht zutreffen. Vielmehr werden diese von der Muttergesellschaft über deren informationstechnische Systeme, Komponenten und Prozesse verwaltet. Folglich fallen Betreibergesellschaften, die Tochtergesellschaften größerer Mutterunternehmen sind, in den Anwendungsbereich des § 28 und sind somit betroffen (teilweise können sie sogar unter die Kategorie „besonders wichtige Einrichtungen“ fallen).

Die Muttergesellschaft selbst könnte im Bereich des EE-Anlagen-/Anlagenparkmanagements unter eine „(besonders) wichtige Einrichtung“ subsumiert werden, wenn sie Dienstleistungen anbietet, die z. B. dem Betrieb von Erzeugungsanlagen gem. § 3 Nr. 18 d EnWG zuzuordnen sind. Zudem könnte sie auch als „Betreiber kritischer Anlagen“ gelten und somit gemäß § 28 Abs. 1 Nr. 4 eine „besonders wichtige Einrichtung“ sein. Folglich könnte auch das übergeordnete Unternehmen betroffen sein.

Im Übrigen bleibt für uns die Abgrenzung, wann die „Hinzurechnung“ von Zahlen anderer Gesellschaften nach der o.g. Kommissionsempfehlung stattfinden soll und wann nicht, unklar. Denn bislang wird im deutschen Recht die Frage, welche juristische Person Adressatin der Pflichten aus dem BSI-G ist, ohnehin danach bestimmt, ob eine Gesellschaft „rechtlich, wirtschaftlich und tatsächlich“ Einfluss auf eine in der NIS-1-Richtlinie definierte Anlage hat. Ob diese Kriterien auch bei der Bestimmung der „Einrichtung“ unter NIS-2 erhalten bleiben, ist bisweilen ungeklärt.  Sofern dies der Fall sein sollte, bleibt in § 28 Abs. 3 Satz 2 nur das Kriterium „Unabhängigkeit“ als substanzielles Kriterium übrig – denn wenn eine Konzerngesellschaft gar keinen eigenen „wirtschaftlichen, rechtlichen und tatsächlichen“ Einfluss hätte, käme sie ohnehin schon gar nicht als NIS-2-/BSI-G-Adressatin in Betracht. Der Begriff „Unabhängigkeit“ ist bislang allerdings so wenig konkretisiert, dass die Subsumtion, ob hinzugerechnet werden soll oder nicht, nach dem jetzigen Entwurf sehr schwerfallen wird.

In seiner aktuellen Ausgestaltung ist die Einordnung von Betreibergesellschaften, die Tochtergesellschaften großer Mutterunternehmen sind, als „(besonders) wichtige Einrichtungen“ nicht zielführend. Gerade die Abhängigkeit dieser Tochtergesellschaften im Hinblick auf die informationstechnischen Systeme, Komponenten und Prozesse, auf die diese keinen Einfluss haben, führt dazu, dass eine Hinzurechnung der Daten der Muttergesellschaft erfolgt. Dadurch wird die Tochtergesellschaft zu einer „(besonders) wichtigen Einrichtung“ und kommt somit nicht in den Genuss der Ausnahme des § 28 Abs. 3 Satz 2

Den Tochtergesellschaften werden damit Pflichten aufgebürdet, auf deren Umsetzung sie keinen Einfluss nehmen können. Sie können dies lediglich durch vertragliche Verpflichtungen an ihre Muttergesellschaft sicherstellen. Dies könnte in der Vertragsgestaltung problematisch im Hinblick auf das Über-/Unterstellungsverhältnis sein. Der von dem Gesetz gewollte Effekt läuft hier unseres Erachtens ins Leere und verpflichtet (zusätzlich) die falschen Unternehmen. Die eigentlichen Akteure, nämlich Betreiber großer EE-Anlagenparks sowie EE-Anlagenparkmanager im Rahmen der Anlagenüberwachung (falls ein Fernsteuereingriff möglich ist), fallen größtenteils unter das BSI-G und sind somit selber verpflichtet, die Vorgaben einzuhalten.

Zudem stellt die Betroffenheit von Tochtergesellschaften als Betreibergesellschaften eine Ungleichbehandlung im Vergleich zu anderen selbständigen Betreibergesellschaften dar. Diese haben ebenfalls keinen Einfluss auf die IT-Sicherheit, da sie die Steuerung und Verwaltung ihrer EE-Anlagen ebenfalls in die Hände von EE-Anlagenparkmanagern gegeben haben. Die Verpflichtungen des BSI-G treffen sie aber nicht.

Vorschlag des BEE:

In der NIS-2-Richtlinie selbst findet sich keine Regelung, die der Regelung in § 28 Abs. 3 entspricht. Lediglich in Nr. 16 der Erwägungsgründe der NIS-2-Richtlinie steht die Empfehlung, die Unverhältnismäßigkeiten, die durch eine Hinzurechnung der Daten der Partner- oder verbundenen Unternehmen entstehen könnten, zu berücksichtigen. Zudem wird vorgeschlagen, wie Mitgliedstaaten dies regeln könnten. Dieser Vorschlag hat nun Einzug in § 28 Abs. 3 des Regelungsentwurfs des BSI-G gefunden.

Aus unserer Sicht ist es richtig, dass der Gesetzgeber der Empfehlung gefolgt ist, jedoch ist diese Regelung unvollständig und lässt diejenigen Betreibergesellschaften unberücksichtigt, die vollständig in der Abhängigkeit ihrer Muttergesellschaft stehen (da keine Mitarbeiter und Infrastruktur).

Hier könnte der Gesetzgeber eine weitere Regelung einfügen, um diese Unverhältnismäßigkeit zu berücksichtigen. Dies wäre auch nicht im Widerspruch zur NIS-2-Richtlinie, sondern würde der Empfehlung in Nr. 16 der Erwägungsgründe folgen.

2 Umsetzbarkeit der unter § 30 genannten Risikomaßnahmen

Für die betroffenen Betreibergesellschaften, die das Management des Anlagenparks an geeignete Dienstleister ausgelagert haben, sind die in § 30 genannten Risikomaßnahmen nicht umsetzbar, da sie keinen Einfluss auf die informationstechnischen Systeme, Komponenten und Prozesse haben. Die Pflichten müssten vertraglich auf die Dienstleister übertragen werden

2.1 Sicherheit des Personals“ aus § 30 Abs. 2 Nr. 9

In § 30 Abs. 2 Nr.9 wird als umzusetzende Maßnahme die „Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen“ gefordert.

Insbesondere zur Sicherheit des Personals ergeben sich Fragen. Ist hiermit die Überprüfung des Personals, wie z.B. unter Punkt A.7.1 des Annexes der DIN ISO 27001 oder Nr. 56 der Konkretisierung der Anforderungen an die gemäß § 8a Abs. 1 BSIG umzusetzenden Maßnahmen gemeint?

2.2 Cybersicherheitszertifizierung aus § 30. Abs. 6

In § 30 Abs. 6 heißt es: Besonders wichtige Einrichtungen und wichtige Einrichtung dürfen durch Rechtsverordnung nach § 58 Absatz 3 bestimmte IKT-Produkte, IKT-Dienste und IKT-Prozesse nur verwenden, wenn diese über eine Cybersicherheitszertifizierung gemäß europäischer Schemata nach Artikel 49 der Verordnung (EU) 2019/881 verfügen. Wir verstehen § 30 Abs. 6 i.V.m. § 58 Absatz 3 des Entwurfes so, dass der deutsche Gesetzgeber von der Öffnungsklausel in Art. 24 Abs. 1 der NIS-2-Richtlinie Gebrauch machen möchte und das BMI dies in einer entsprechenden Verordnung konkretisieren soll. Eine solche Zertifizierungspflicht würde betroffene Unternehmen sehr streng regulieren und ihre Umsetzung würde einen großen Zeitvorlauf erfordern. Daher wäre es wichtig, dass betroffene Unternehmen rechtzeitig wissen, ob, wann und welche Pflichten sie zur Cybersicherheitszertifizierung treffen werden.

Die in EE-Erzeugungsanlagen eingesetzten IKT-Produkte, IKT-Dienste und IKT-Prozesse sind i.d.R. branchenspezifische Produkte und speziell für den Betrieb der Anlagen konzipiert.

Angesichts der Tatsache, dass noch kein Entwurf für die nach § 58 Absatz 3 geforderte Ministeriumsverordnung bekannt ist und die Schemata nach Artikel 49 der Verordnung (EU) 2019/881 nach unserem Wissen noch nicht finalisiert sind, herrscht noch viel Unklarheit, was diese verpflichtende Cybersicherheitszertifizierung konkret für die Unternehmen bedeuten würde.

Für die Mitglieder des BEE wäre daher wichtig, über folgende Punkte rechtzeitig informiert zu werden: Welche Produkte und Dienstleistungen plant das BMI in seiner Verordnung hier einzubeziehen? Wie genau sähe der Zertifizierungsprozess aus und wie können hierdurch Verzögerungen vermieden werden? Welche Timeline gibt es für die Schemata und die Verordnung nach § 57 Abs. 4 des Entwurfes und wird diese zeitgleich mit dem BSI-G neu in Kraft treten oder erst später, ggf. mit einer Übergangsfrist?

3 Anpassung und Abgleich mit dem KRITIS-Dachgesetz / Klarstellung von Fristen zur Umsetzung und Nachweisen

Die Anpassung und der Abgleich zu bestehenden Regulierungen/Gesetzen wie dem zukünftig geplanten KRITIS-Dachgesetz oder spezialrechtlichen Regelungen (z.B. Network Code on Cybersecurity, IT-Sicherheitskatalog der BNetzA) ist aus unserer Sicht dringend erforderlich. Betroffene Unternehmen können somit eindeutig identifiziert werden und geeignete branchenspezifische Maßnahmen umsetzen.

Den angepassten Zeitraum von drei Jahren zum Nachweis von Cybersecurity-Maßnahmen bei kritischen Anlagen halten wir für einen realistischen und pragmatischen Ansatz, da hier sowohl das BSI als auch die Zertifizierungs- und Auditierung-Stellen und nicht zuletzt die Unternehmen selber personell entlastet werden. Wir gehen davon aus, dass damit die aktuelle Gesetzeslage (§ 8b Abs. 3 BSI-G in Verbindung Anhang 1 Teil 1 Nr. 3 der BSI-KritisV) mit einer Nachweispflicht alle zwei Jahre ersetzt würde. Uns ist jedoch nicht klar, wie der Übergang unter der jetzigen BSI-KritisV zu der neu zu erlassenden Verordnung mit längeren Nachweisfristen gestaltet werden wird. Darüber würden wir uns nähere Informationen wünschen.

4 Information über zu erlassende Verordnungen / kritische Anlagen

Der Entwurf verweist in wichtigen Teilen auf Verordnungen, die nach der Verordnungsermächtigung in § 58 noch zu erlassen sind. In diesen Verordnungen werden für die Mitglieder des BEE wesentliche Pflichten konkretisiert, etwa die Frage, wer eine „kritischen Anlage“ betreibt und damit deutlich mehr Pflichten hat, oder für welche IKT-Produkte verpflichtende Cybersicherheitszertifizierungen verordnet werden (siehe dazu bereits oben). Beispielsweise ist aus dem aktuellen BSI-G-Entwurf nicht ersichtlich, ob in der neuen Kategorie „Kritische Anlagen“ die bisherigen „kritischen Infrastrukturen“ nahtlos weitergeführt werden sollen oder ob sich hier Änderungen im Vergleich zur BSI-KritisV ergeben (z.B. bei den betroffenen Anlagen in einzelnen Sektoren oder Schwellenwerten siehe auch unsere Frage zu Übergangsregelungen bezüglich des Turnus bei den Nachweispflichten). Unklar ist z.B. auch, ob es wie bislang weiterhin „gemeinsame Betreiber“ einer kritischen Anlage oder einer wichtigen/besonders wichtigen Einrichtung geben soll.

Dasselbe gilt für die Verordnungen, die nach § 15 des jetzigen Entwurfes des KRITIS-Dachgesetzes (Referentenwurf vom 25.07.2023) zu erlassen sind. Auch hier stehen die konkreten Angaben zur sachlichen Anwendung erst in einer Verordnung, über die bislang weder der Inhalt noch die geplante Timeline bekannt sind. Es besteht ein dringendes Interesse der betroffenen Unternehmen, diese wichtigen Konkretisierungen zu erfahren, um ggf. rechtzeitig mit der Umsetzung zu beginnen.

5 Klarstellung der Zertifizierungspflicht ausschließlich für kritische Anlagen gemäß BSI-KritisV

Der Änderungsvorschlag in § 5c Abs. 2 EnWG besagt, dass Betreiber von Energieerzeugungsanlagen, die als besonders wichtige und wichtige Einrichtungen im Sinne des § 28 BSI- G zu klassifizieren sind, ebenfalls den IT-Sicherheitskatalog gemäß § 11 Absatz 1a des EnWG einhalten (und sich nach gegenwärtiger Fassung des IT-Sicherheitskatalogs) sowie sich auch zertifizieren lassen müssen.

Da sich die Zertifizierungspflicht nicht aus dem Gesetz, sondern aus dem IT-Sicherheitskatalog selbst (vgl. Abschnitt F.I., IT_Sicherheitskatalog_08-2015.pdf (bundesnetzagentur.de) ergibt, bitten wir um Klarstellung, dass eine Zertifizierungspflicht über den von der BNetzA erstellten IT- Sicherheitskatalog ausschließlich kritische Anlagen betrifft, die unter der aktuell gültigen BSI-KritisV hierunter klassifiziert werden.

Zudem sollte auch in § 5c Abs. 9 EnWG klargestellt werden, dass nicht alle Energieanlagen pauschal gemeint sind, sondern nur diejenigen, welche kritische Anlage nach § 2 Absatz1 Nummer 21 des BSI-Gesetzes sind. Daher schlagen wir vor, den Text an dieser Stelle entsprechend Folgendermaßen zu ergänzen:

(9) Die Bundesnetzagentur legt im Einvernehmen mit dem Bundesamt für Sicherheit in der Informationstechnik durch Allgemeinverfügung im Wege einer Festlegung nach § 29 Absatz 1 in einem Katalog von Sicherheitsanforderungen für das Betreiben von Energieversorgungsnetzen und Energieanlagen, die kritische Anlagen nach § 2 Absatz 1 Nummer 21 des BSI-Gesetzes sind, fest,

[…]