Aktueller Stand: NIS2-Umsetzungsgesetz (NIS2UmsuCG)

Update 03.06.2024

Am 03.06 gab es eine Verbändeanhörung zur NIS2 im BMI, Grundlage war der offizielle Referentenentwurf vom 07.05.24 

  • Dem BMI liegen jetzt insgesamt 62 Stellungnahmen von Verbänden vor.
  • Im nächsten Schritt wird ein weiterer Referentenentwurf erstellt (4.)
  • Anschließend folgen in diesem Sommer Kabinettsbeschluss und das parlamentarische Verfahren
  • Inkrafttreten: Man geht weiterhin von einer Verspätung aus. (Umsetzungspflicht erst mit Verabschiedung, nicht wie geplant zum 17.10.24 )


Die europäische NIS2-Richtlinie ersetzt die bisherige NIS-Richtlinie (NIS1) und erweitert die Cybersecurity-Anforderungen und die Anzahl der betroffenen Unternehmen erheblich. Die EU-Richtlinie muss noch in nationales Recht umgesetzt werden. In Deutschland wird dies durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) erfolgen. Das NIS2UmsuCG wird als Artikelgesetz eine Vielzahl weiterer Gesetze wie u. a. das BISG, TKG, EnwG, ändern. Voraussichtlich betroffene Unternehmen sollten die weitere Entwicklung des NIS2UmsuCG verfolgen.
Grundlagen: Was ist die NIS2-Richtlinie?

Bisher wurden die folgenden Entwürfe des NIS2UmsuCG öffentlich:
Referentenentwurf, Bearbeitungsstand 03.04.2023 (veröffentlicht von der ag.kritis)
Referentenentwurf, Bearbeitungsstand 03.07.2023 (veröffentlicht von der ag.kritis)
– Diskussionspapier, Bearbeitungsstand 27.09.2023 (veröffentlicht von der ag.kritis)
offizieller Entwurf (BMI) 07.05.2024

Hinweis: Bei den bekannten Versionen handelt es sich um teilweise noch nicht abgestimmte Referentenentwürfe. Alle nachfolgend aufgeführten Inhalte können noch angepasst werden.

Zeitplan
Grundsätzlich müssen die EU-Mitgliedsstaaten die NIS2-Richtlinie bis spätestens dem 17.10.2024 umsetzen (Artikel 41 NIS2). Allerdings wird es sowohl in Deutschland, als auch auch in weiteren EU-Mitgliedsstaaten zu Verspätungen kommen. 

Der Artikel 28 regelt das Inkrafttreten des NIS2UmsuCG. Das Gesetz soll voraussichtlich im März 2024 verkündet werden (6 Monate vor Inkrafttreten). Das Gesetz soll am 01. Oktober 2024 in Kraft treten.
– Artikel 2 (Änderung des BSI-Gesetzes) soll zeitgleich am 01.10.2024 in Kraft treten.
– Artikel 27 (Änderung des Vertrauensdienstegesetzes) soll am 18.10.2024 in Kraft treten

Nachweise:
Nachweispflichten – Weniger Nachweise: Der Entwurf vom 27.09 enthält eine wichtige Anpassung. Aktuell sind Nachweispflichten nur noch für Betreiber kritischer Anlagen vorgesehen, anstatt wie zuvor auch für „besonders wichtige Unternehmen“. Für einen Großteil der von der NIS2 betroffenen Unternehmen bedeutet dass diese keine separaten Nachweis-Audits durchführen müssen und somit eine erhebliche Aufwandsreduzierung. Betroffene Unternehmen müssen aber weiterhin alle der bisher vorgesehen Maßnahmen umsetzen und Verstöße können weiterhin mit Bußgelder geahndet werden.

Nachweiszyklus: Bisher war geplant, dass nachweispflichtige Betreiber (d. h. nur noch Betreiber kritischer Anlagen) die Einhaltung der Anforderungen alle 2 Jahre nachweisen müssen. Der aktuelle Entwurf (27.09) sieht jetzt einen Zyklus von 3 Jahren vor. Hier scheint das BMI auf die langjährige Kritik reagiert zu haben, denn in vielen Unternehmen etablierte Zertifizierungsnormen wie die ISO/IEC 27001 verfolgen einen 3-jährigen Zyklus (zumindest für die aufwendigere Re-Zertifizierung). Dies hatte in der Praxis verhindert, dass bspw. kombinierte Audits für KRITIS-Nachweise und ISO-Zertifikat durchgeführt werden konnten.

Bedeutung für betroffene Betreiber / Fristen:
Die Verabschiedung des NIS2-Umsetzungsgesetzes wird sich voraussichtlich verzögern und nicht wie gefordert bis zum 17.10.2024 erfolgen. Auch wenn sich keine exakte Dauer der Verzögerung benennen lässt, ist von 3-6 Monaten auszugehen und eine Verabschiedung Anfang 2025 denkbar.

Für die voraussichtlich betroffenen Unternehmen ändert das aber wenig. Sie sollten sich bereits jetzt mit den bereits bekannten Basis-Anforderungen befassen. Hier ist von keinen weiteren Änderungen auszugehen. Auch hinsichtlich der Betroffenheitsprüfung sind alle wesentlichen Kriterien bekannt, sodass eine Ersteinschätzung vorgenommen werden kann.

Grundsätzlich gilt: Die NIS2-Pflichten MÜSSEN direkt mit Verabschiedung umgesetzt sein. Diese gesetzliche Forderung ist nicht realistisch und eine direkte Sanktionierung ist unwahrscheinlich. Allerdings wird die Umsetzung in vielen Organisationen mehrere Monate bis Jahre dauern. Unternehmen die jetzt mit der Umsetzungsplanung starten, können es aber schaffen einen Großteil der Anforderungen zu erfüllen und müssen nicht überstürzt um die sowieso schon knappen Ressourcen konkurrieren. Das BMI argumentiert übrigens im Referentenentwurf vom 03.07.2023, dass die „Verpflichtungen von wesentlichen und wichtigen Einrichtungen maßgeblichen Inhalte der NIS-2-Richtlinie bereits seit dem Kommissionsentwurf aus Dezember 2020 bekannt seien (Seite 146)“. – das noch nicht verabschiedete Umsetzungsgesetz, ist also auch aus BMI-Sicht kein Argument nicht proaktiv mit der Umsetzung zu beginnen.