Finaler NIS2 Regierungsentwurf

Das Bundeskabinett hat am 24.07.2024 – ohne weitere Aussprache – das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) auf den Weg gebracht.

Weitere Informationen (inkl. Regierungsentwurf):
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/nis2umsucg.html

Finaler Regierungsentwurf, Bearbeitungsstand 22.07.2024 (veröffentlich von BMI)

NIS2 Beschluss des Bundeskabinetts

Wir informieren hier und auf LinkedIn was dies für die nächsten Monate (für Unternehmen in Deutschland) bedeutet und was Unternehmen / Organisationen dabei beachten müssen.

In den einzelnen Ländern der EU gibt es weitere Ausprägungen und Aufsichtsbehörden zu NIS2 (dort erfolgt ebenfalls eine Umsetzung in nationales Recht).

Neuer Entwurf des KRITIS-Dachgesetzes

Es gibt einen neuen Referentenentwurf des KRITIS-Dachgesetzes mit vom 21.12.23.

Die neue Version beinhaltet zahlreiche Änderungen zum bisher bekannten Entwurf vom 17.07.23. Das BMI hat eine Vergleichsversion erstellt, welche die Anpassungen darstellt. Weiterlesen

Neuer Entwurf des NIS2-Umsetzungsgesetzes

Ende September hat das Innenministerium den mittlerweile dritten Entwurf des NIS2-Umsetzungsgesetzes veröffentlicht (Bearbeitungsstand 27.09.2023). Diesmal beabsichtigt als „Diskussionspapier Wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland“, um den beteiligten Verbänden die Möglichkeit der Stellungnahme zu bieten. Der Entwurf weist einige Änderungen und Erleichterungen für betroffene Unternehmen auf, insbesondere hinsichtlich der Nachweispflichten. Weiterlesen

NIS2-Begriffsdefinitionen

Mit der NIS2-Richtlinie und dem NIS2umsuCG wurde eine Vielzahl neuer Definitionen und Begriffsbestimmungen eingeführt. bzw. werden bereits bestehende Definitionen aus dem IT-Sicherheitsgesetz konkretisiert.
(Stand: NIS2-Diskussionspapier 27.09.2023)

Wichtiger Hinweis: Die Übersicht hat keinen Anspruch auf Vollständigkeit und basiert auf teilw. nicht abgestimmten Entwürfen und kann sich laufend ändern. Für die Richtigkeit der Inhalte wird daher keine Haftung übernommen.

Weiterlesen

NIS2-Sektordefinitionen

Konkretisierung der NIS2-Sektoren (Stand: NIS2-Diskussionspapier 27.09.2023)
Tabelle aktualisiert um den Anhang des 3. Entwurf des NIS2UmsuCG.

Die alleinige Nennung der 18 im NIS2UmsuCG vorhandenen Sektoren reicht nicht aus, um betroffene Dienste eindeutig zu identifizieren. Das BMI (Bundesministerium des Innern und für Heimat) wird noch eine weitere Rechtsverordnung erlassen, die festlegt, welche Anlagen bzw. Einrichtungen im Detail erfasst sind (§57 NIS2 UmsuCG). Der Annex I und II der NIS2-Richtlinie ermöglicht aber bereits einen recht genauen Ausblick auf die kommende Verordnung. Auch finden sich erste Definitionen im Referentenentwurf des Umsetzungsgesetzes.

Wichtiger Hinweis: Die Übersicht hat keinen Anspruch auf Vollständigkeit und basiert auf teilw. nicht abgestimmten Entwürfen und kann sich laufend ändern. Für die Richtigkeit der Inhalte wird daher keine Haftung übernommen.

Weiterlesen

NIS2-Kategorien: Wer ist besonders wichtig?

Mit dem NIS2UmsuCG wird die deutsche Umsetzung des der NIS2-Richtlinie erfolgen. Hinsichtlich der in der NIS-2 Richtlinie genannten Sektoren ergeben sich einige wichtige Unterschiede.

Die NIS2-Richtlinie kategorisiert Unternehmen in „Essential Entities“ und „Important Entities“. Die deutsche Übersetzung zu diesen Kategorien wird „besonders Wichtig“ (§28 (6)) und „Wichtig“(§28 (7)) lauten.

Weiterlesen

Erklärung des NIS2-Size-Cap (Schwellenwerte)

Die NIS2-Richtlinie soll zu einer Harmonisierung der Cybersicherheitsregulierung in der EU führen. Dazu zählt auch eine Vereinheitlichung der Identifikation der betroffenen Unternehmen. Bei der Umsetzung der ersten NIS-Richtlinie hatten die einzelnen EU-Mitgliedsstaaten relativ viel Handlungsspielraum, bzgl. der Identifikation der zu regulierenden Unternehmen. Beispielsweise erfolgt die bisherige Identifikation in Deutschland anhand der BSI-Kritisverordung (BSI-KritisV), welche mittels Schwellenwertformeln zur Berechnung eines Versorgungsgrads betroffene Unternehmen identifiziert, andere Mitgliedsstaaten haben direkt kritische Unternehmen benannt.

Weiterlesen

NIS2-Check zur Betroffenheitsanalyse veröffentlicht

Die Regelungen der NIS2 und des NIS2-Umsetzungsgesetz zur Betreiberidentifikation können verwirrend sein. Zur Hilfestellung haben wir einen Fragebogen entwickelt, der anhand weniger Angaben eine schnelle Ersteinschätzung zur Betroffenheit eines Unternehmens ermöglicht.

Weiterlesen

Was ist die RCE-Richtlinie (CER-Richtlinie)?

Die EU RCE-Direktive (EU 2022/2557), auch bekannt als CER-Richtlinie (Critical Entities Resilience Directive), hat das Ziel die (physische) Resilienz von Kritischen Infrastrukturen innerhalb der Europäischen Union zu regulieren. Diese Direktive tritt an die Stelle der vorherigen European Critical Infrastructures Direktive von 2008. Ihr Hauptziel ist es, die Ausfallsicherheit von Betreibern kritischer Einrichtungen, auch als Critical Entities bezeichnet, zu gewährleisten.

Übersicht: Aktueller Stand KRITIS-Dachgesetz

Weiterlesen

Was ist die NIS2-Richtlinie?

Die NIS2-Richtlinie (EU 2022/2555) ist eine europäische Rechtsvorschrift, die Mindeststandards für die Cybersicherheit von Unternehmen in der Europäischen Union festlegt. Sie ersetzt die bestehende NIS-Richtlinie von 2016 und erweitert sowohl die Anforderungen zur Informationssicherheit, als auch die von der Regulierung betroffenen Unternehmen erheblich. Die Cybersicherheit betrifft künftig nicht mehr nur „KRITIS-Betreiber“, sondern auch zahlreiche „wichtige Unternehmen ab bereits 50 Mitarbeitern.

Übersicht: Aktueller Stand NIS2UmsuCG

Weiterlesen