ist Rechtsanwalt und Partner bei der Kanzlei Osborne Clarke. Der promovierte Jurist ist Spezialist für die Sektoren Life Sciences und Financial Services, Fragen des Datenschutzrechts und der Compliance sowie für rechtliche Aspekte von Cybersecurity und Blockchain-Technologie.
Der Gesetzgeber bleibt dabei seiner Linie treu – nun allerdings in etwas entschärfter und jedenfalls weniger evident EU-rechtswidriger Weise – nebensächliche Geschäftstätigkeiten aus dem Geltungsbereich auszuklammern. Gerade für den Energiesektor ist das eine sinnvolle Klarstellung. Denn für Einrichtungen wie Erzeugungsanlagen oder Ladestationen ist es unerheblich, ob sie dem Hauptwirtschaftszweck eines Unternehmens dienen. Ohne eine solche Einschränkung könnte etwa jede einzelne Photovoltaikanlage auf einem Unternehmensdach oder jede Ladesäule auf einem Mitarbeiterparkplatz in den Anwendungsbereich der Regulierung fallen – und das, obwohl es sich um rein nebensächliche Tätigkeiten handelt.
Zugleich bleibt die Regulierung im Energiesektor unnötig komplex. Das liegt vor allem daran, dass der deutsche Gesetzgeber auch nach Umsetzung der NIS-2-Vorgaben am Konzept des Betreibers kritischer Anlagen festhält – zusätzlich zur systemischen Perspektive auf Unternehmen als „wesentliche“ oder „wichtige“ Einrichtungen, wie es die Richtlinie vorsieht. Für betroffene Energieunternehmen bedeutet das: Sie unterliegen entweder dem reformierten Energiewirtschaftsgesetz (EnWG), dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) – oder womöglich beiden Regelwerken. Damit drohen unterschiedliche Anforderungen an die Umsetzung von Sicherheitsmaßnahmen. Unklar bleibt zudem, wen künftig die Zertifizierungspflicht nach dem von der Bundesnetzagentur (BNetzA) entwickelten IT-Sicherheitskatalog konkret treffen wird.
Trotz dieser noch offenen Detailfragen sollten Unternehmen nicht auf eine endgültige Klärung durch den Gesetzgeber warten. Vielmehr bietet der aktuelle Entwurf – gerade im Energiesektor – bereits jetzt eine solide Grundlage, um sich vorzubereiten: Unternehmen können zuverlässig prüfen, ob sie unter die neue Regulierung fallen und welche Pflichten oder technischen Maßnahmen damit verbunden sind. Bei diesen Kernpunkten ist im weiteren Gesetzgebungsverfahren kaum noch mit wesentlichen Änderungen zu rechnen.
Das gilt ebenso für Betreiber kritischer Anlagen im Sinne der Kritis-Verordnung. Auch sie wird im Zuge der NIS-2-Umsetzung angepasst. Es ist jedoch nicht zu erwarten, dass der Gesetzgeber – oder das BSI – größere Anlagentypen ausnehmen oder Schwellenwerte nennenswert anheben wird. Die derzeit gültige Kritis-Verordnung bietet daher ausreichend Orientierung, um fundierte Betroffenheitsanalysen durchzuführen und gegebenenfalls notwendige Compliance-Maßnahmen frühzeitig zu ergreifen.
*An dieser Stelle lesen Sie einen Gastbeitrag, der nicht notwendigerweise die Meinung der Redaktion wiedergibt. Für den Inhalt sind die jeweiligen Autoren verantwortlich.