Die europäische NIS2-Richtlinie ersetzt die bisherige NIS-Richtlinie (NIS1) und erweitert die Cybersecurity-Anforderungen und die Anzahl der betroffenen Unternehmen erheblich. Die EU-Richtlinie muss noch in nationales Recht umgesetzt werden. In Deutschland wird dies durch das NIS2-Umsetzungsgesetz (NIS2UmsuCG) erfolgen. Voraussichtlich wird das NIS2UmsuCG damit an die Stelle des bisherigen IT-Sicherheitsgesetzes treten und als Artikelgesetz eine Vielzahl weiterer Gesetze wie u. a. Das BISG, TKG, EnwG, ändern. Betroffene Unternehmen sollten die weitere Entwicklung des NIS2UmsuCG verfolgen.
Bisher wurden zwei Entwürfe des NIS2UmsuCG öffentlich:
– Referentenentwurf, Bearbeitungsstand 03.04.2023 (veröffentlicht von der ag.kritis)
– Referentenentwurf, Bearbeitungsstand 03.07.2023 (veröffentlicht von der ag.kritis)
Hinweis: Bei den bekannten Versionen handelt es sich um teilweise noch nicht abgestimmte Referentenentwürfe. Alle nachfolgend aufgeführten Inhalte können noch angepasst werden.
Zeitplan
Grundsätzlich müssen die EU-Mitgliedsstaaten die NIS2-Richtlinie bis spätestens dem 17.10.2024 umsetzen (Artikel 41 NIS2).
Der Artikel 28 regelt das Inkrafttreten des NIS2UmsuCG. Das Gesetz soll voraussichtlich im März 2024 verkündet werden (6 Monate vor Inkrafttreten). Das Gesetz soll am 01. Oktober 2024 in Kraft treten.
– Artikel 2 (Änderung des BSI-Gesetzes) soll zeitgleich am 01.10.2024 in Kraft treten.
– Artikel 27 (Änderung des Vertrauensdienstegesetzes) soll am 18.10.2024 in Kraft treten
Bedeutung für betroffene Betreiber:
Die finale des Verkündung des NIS2-Umsetzungsgesetzes wird in nicht allzu ferner Zukunft erfolgen (01.04.2024). Dies bedeutet, dass betroffenen Unternehmen dann lediglich 6 Monate zur Umsetzung der am Stichtag 01.10.2024 erforderlichen Anforderungen verbleiben. Dies bedeutet, dass sich betroffene Unternehmen bereits heute mit den voraussichtlichen Anforderungen auf Grundlage der NIS2-Richtlinie befassen müssen. Andernfalls ist die fristgerechte Erfüllung nur schwer zu schaffen. Das BMI argumentiert im Referentenentwurf vom 03.07.2023 dazu, dass die „Verpflichtungen von wesentlichen und wichtigen Einrichtungen maßgeblichen Inhalte der NIS-2-Richtlinie bereits seit dem Kommissionsentwurf aus Dezember 2020 bekannt seien (Seite 146)“.