Aktueller Stand: NIS2-Umsetzungsgesetz (NIS2UmsuCG)

Update 05.11.2024
Es gab eine zweite Anhörung im Bundestag zum NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Der derzeitige Gesetzentwurf (vom 02.10.2024) lässt sich hier einsehen.
Es gibt eine Aufzeichnung der Anhörung: Expertenkritik an geplanter Umsetzung der NIS-2-Richtlinie

Update 11.10.2024
Es gab eine erste Anhörung im Bundestag zum NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz). Der derzeitige Gesetzentwurf (vom 02.10.2024) lässt sich hier einsehen.
Auf Bundestagszusammenfasser.de lässt sich der Gesetzgebungsprozess zum „Gesetz zur Umsetzung der NIS-2-Richtlinie (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG)“ verfolgen. Es folgen nach die 2. und 3. Lesung.

Update 18.09.2024
Sicherheitsexperte Manuel Atug hat auf LinkedIn einen Beitrag geteilt aus dem ein Zeitplan des Bundesministerium des Inneren und für Heimat (BMI) hervorgeht. Das Dokument ist auf den 23. Juli 2024 terminiert und der Zeitplan stellt sich wie folgt dar (mögliche Änderungen vorbehalten):

Zeitplanung

Gesetzentwurf der Bundesregierung

Referentenentwurf
Kabinettbeschluss über Regierungsentwurf 24. Juli 2024
Zuleitung Bundesrat 16. August 2024
Bundesrat 1. Durchgang 27. September 2024
Kabinettbeschluss über Gesetzänderung 2. Oktober 2024 mit Nachmeldung
Zuleitung Bundestag
Bundestag 1. Lesung 10./11. Oktober 2024
Ausschüsse, Anhörung Beschluss Anhörung 16. Oktober 2024

Anhörung: 4. November 2024

Abschluss IA: 13. November 2024

Bundestag 2./3. Lesung 5./6. Dezember 2024
Bundesrat 2. Durchgang 14. Februar 2025
Inkrafttreten März 2025

Update 24.07.2024
Das Bundeskabinett hat am 24.07.2024 – ohne weitere Aussprache- das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) auf den Weg gebracht. Das weitere Vorgehen wird auf dieser Seite näher beschrieben.

Weitere Informationen (inkl. Regierungsentwurf):
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/nis2umsucg.html

Finaler Regierungsentwurf, Bearbeitungsstand 22.07.2024 (veröffentlich von BMI)

Wir informieren hier und auf LinkedIn was dies für die nächsten Monate (für Unternehmen in Deutschland) bedeutet und was Unternehmen / Organisationen dabei beachten müssen.

In den einzelnen Ländern der EU gibt es weitere Ausprägungen und Aufsichtsbehörden zu NIS2 (dort erfolgt ebenfalls eine Umsetzung in nationales Recht).

Update 03.06.2024

Am 03.06 gab es eine Verbändeanhörung zur NIS2 im BMI, Grundlage war der offizielle Referentenentwurf vom 07.05.24 

  • Dem BMI liegen jetzt insgesamt 62 Stellungnahmen von Verbänden vor.
  • Im nächsten Schritt wird ein weiterer Referentenentwurf erstellt (4.)
  • Anschließend folgen in diesem Sommer Kabinettsbeschluss und das parlamentarische Verfahren
  • Inkrafttreten: Man geht weiterhin von einer Verspätung aus. (Umsetzungspflicht erst mit Verabschiedung, nicht wie geplant zum 17.10.24 )


Die europäische NIS2-Richtlinie ersetzt die bisherige NIS-Richtlinie (NIS1) und erweitert die Cybersecurity-Anforderungen und die Anzahl der betroffenen Unternehmen erheblich. Die EU-Richtlinie muss noch in nationales Recht umgesetzt werden. In Deutschland wird dies durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) erfolgen. Das NIS2UmsuCG wird als Artikelgesetz eine Vielzahl weiterer Gesetze wie u. a. das BISG, TKG, EnwG, ändern. Voraussichtlich betroffene Unternehmen sollten die weitere Entwicklung des NIS2UmsuCG verfolgen.
Grundlagen: Was ist die NIS2-Richtlinie?

Bisher wurden die folgenden Entwürfe des NIS2UmsuCG öffentlich:
– Regierungsentwurf, Bearbeitungsstand 22.07.2024 (veröffentlich von BMI)
Referentenentwurf, Bearbeitungsstand 03.04.2023 (veröffentlicht von der ag.kritis)
Referentenentwurf, Bearbeitungsstand 03.07.2023 (veröffentlicht von der ag.kritis)
– Diskussionspapier, Bearbeitungsstand 27.09.2023 (veröffentlicht von der ag.kritis)
offizieller Entwurf (BMI) 07.05.2024
– Finaler Regierungsentwurf, Bearbeitungsstand 22.07.2024 (veröffentlich von BMI)

Hinweis: Bei den bekannten Versionen handelt es sich um teilweise noch nicht abgestimmte Referentenentwürfe. Alle nachfolgend aufgeführten Inhalte können noch angepasst werden.

Zeitplan
Grundsätzlich müssen die EU-Mitgliedsstaaten die NIS2-Richtlinie bis spätestens dem 17.10.2024 umsetzen (Artikel 41 NIS2). Allerdings wird es sowohl in Deutschland, als auch auch in weiteren EU-Mitgliedsstaaten zu Verspätungen kommen. 

Der Artikel 28 regelt das Inkrafttreten des NIS2UmsuCG. Das Gesetz soll voraussichtlich im März 2024 verkündet werden (6 Monate vor Inkrafttreten). Das Gesetz soll am 01. Oktober 2024 in Kraft treten.
– Artikel 2 (Änderung des BSI-Gesetzes) soll zeitgleich am 01.10.2024 in Kraft treten.
– Artikel 27 (Änderung des Vertrauensdienstegesetzes) soll am 18.10.2024 in Kraft treten

Nachweise:
Nachweispflichten – Weniger Nachweise: Der Entwurf vom 27.09 enthält eine wichtige Anpassung. Aktuell sind Nachweispflichten nur noch für Betreiber kritischer Anlagen vorgesehen, anstatt wie zuvor auch für „besonders wichtige Unternehmen“. Für einen Großteil der von der NIS2 betroffenen Unternehmen bedeutet dass diese keine separaten Nachweis-Audits durchführen müssen und somit eine erhebliche Aufwandsreduzierung. Betroffene Unternehmen müssen aber weiterhin alle der bisher vorgesehen Maßnahmen umsetzen und Verstöße können weiterhin mit Bußgelder geahndet werden.

Nachweiszyklus: Bisher war geplant, dass nachweispflichtige Betreiber (d. h. nur noch Betreiber kritischer Anlagen) die Einhaltung der Anforderungen alle 2 Jahre nachweisen müssen. Der aktuelle Entwurf (27.09) sieht jetzt einen Zyklus von 3 Jahren vor. Hier scheint das BMI auf die langjährige Kritik reagiert zu haben, denn in vielen Unternehmen etablierte Zertifizierungsnormen wie die ISO/IEC 27001 verfolgen einen 3-jährigen Zyklus (zumindest für die aufwendigere Re-Zertifizierung). Dies hatte in der Praxis verhindert, dass bspw. kombinierte Audits für KRITIS-Nachweise und ISO-Zertifikat durchgeführt werden konnten.

Bedeutung für betroffene Betreiber / Fristen:
Die Verabschiedung des NIS2-Umsetzungsgesetzes wird sich voraussichtlich verzögern und nicht wie gefordert bis zum 17.10.2024 erfolgen. Auch wenn sich keine exakte Dauer der Verzögerung benennen lässt, ist von 3-6 Monaten auszugehen und eine Verabschiedung Anfang 2025 denkbar.

Für die voraussichtlich betroffenen Unternehmen ändert das aber wenig. Sie sollten sich bereits jetzt mit den bereits bekannten Basis-Anforderungen befassen. Hier ist von keinen weiteren Änderungen auszugehen. Auch hinsichtlich der Betroffenheitsprüfung sind alle wesentlichen Kriterien bekannt, sodass eine Ersteinschätzung vorgenommen werden kann.

Grundsätzlich gilt: Die NIS2-Pflichten MÜSSEN direkt mit Verabschiedung umgesetzt sein. Diese gesetzliche Forderung ist nicht realistisch und eine direkte Sanktionierung ist unwahrscheinlich. Allerdings wird die Umsetzung in vielen Organisationen mehrere Monate bis Jahre dauern. Unternehmen die jetzt mit der Umsetzungsplanung starten, können es aber schaffen einen Großteil der Anforderungen zu erfüllen und müssen nicht überstürzt um die sowieso schon knappen Ressourcen konkurrieren. Das BMI argumentiert übrigens im Referentenentwurf vom 03.07.2023, dass die „Verpflichtungen von wesentlichen und wichtigen Einrichtungen maßgeblichen Inhalte der NIS-2-Richtlinie bereits seit dem Kommissionsentwurf aus Dezember 2020 bekannt seien (Seite 146)“. – das noch nicht verabschiedete Umsetzungsgesetz, ist also auch aus BMI-Sicht kein Argument nicht proaktiv mit der Umsetzung zu beginnen.