Das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) wird nicht mehr Anfang 2025 im Bundestag verabschiedet – sondern erst nach den Neuwahlen und der erfolgreichen Bildung einer neuen Regierung (nach dem 23. Februar 2025).

Obwohl es zuletzt bereits erhebliche Forschritte im Gesetzgebungsverfahren und zudem Expertenanhörgungen gab (siehe Fortschritt in der folgenden Abbildung) sind die Arbeiten nun endgültig zum Halten gekommen, da keine Mehrheit im Bundestag vorliegt (SPD, Grüne und FDP konnten sich nicht mehr auf einen finalen Gesetzestext einigen).

Quelle zum Fortschritt des NIS2UmsuCG: https://bundestagszusammenfasser.de/details?docid=71

Neben NIS2 ist auch das KRITIS-Dachgesetz ins Stocken geraten, es wird – mit sehr hoher Wahrscheinlichkeit – ebenfalls erst mit einer neuen Regierung umgesetzt. Unklar bleibt, wie die EU dies bewertet und ob Deutschland Strafen zahlen muss, da die Richtlinien nicht zeitnah in nationales Recht überführt wurden. Es wurde bereits ein formales Vertragsverletzungsverfahren durch die EU eingeleitet.

Weitere Informationen, u.a. Tagesschau.de (Link im Bild)

Unternehmen sind trotzdem gut beraten sich weiterhin um eine effektive Umsetzung von NIS2-Anforderungen zu kümmern, da es mutmaßlich keine Verzögerung oder Übergangsfristen für die Unternehmen geben wird.

Das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz 🔒) ist eines von 113 Gesetzesvorhaben (!), welches aktuell weiterhin auf Grund der unklaren politischen Verhältnisse (Stichwort: „Ende des Ampel“) in der parlamentrarischen Beratung weitestgehend im Bundestag „festhängen“ 🤔. Dies gefährdet Einhaltung von EU-Recht ⚖ und darüber hinaus die Cybersicherheit am Standort Deutschland 😮🔨

▶Auf Grund von EU-Vorgaben und des Fortschritts (es gab bereits Lesungen und Beratungen in Bundestag und Bundesrat) ist jedoch davon auszugehen, dass in den nächsten Monaten eine Verabschiedung dazu erfolgt (spätestens Ende Q1/Anfang Q2 2025) 🚀

‼🛡🚀Einrichtungen (sowohl Unternehmen, als auch sonstige Organisationen) sollten also keine Zeit verlieren 🕚 und trotzdem loslegen, zu den wichtigsten Handlungsschritten gehören nun:
✅Prüfung der Betroffenheit
✅Registrierungspflicht mutmaßlich in Q1/Q2 2025
✅Umsetzung von Maßnahmen (u.a. Einhaltung: „Stand der Technik“ / Mindeststandards & Pflicht zum Risikomanagement (§ 30), etc.)

Hier der entsprechende Vortrag (auf media.ccc.de)

Das Bundeskabinett hat am 24.07.2024 – ohne weitere Aussprache – das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) auf den Weg gebracht.

Weitere Informationen (inkl. Regierungsentwurf):
https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/nis2umsucg.html

Finaler Regierungsentwurf, Bearbeitungsstand 22.07.2024 (veröffentlich von BMI)

Wir informieren hier und auf LinkedIn was dies für die nächsten Monate (für Unternehmen in Deutschland) bedeutet und was Unternehmen / Organisationen dabei beachten müssen.

In den einzelnen Ländern der EU gibt es weitere Ausprägungen und Aufsichtsbehörden zu NIS2 (dort erfolgt ebenfalls eine Umsetzung in nationales Recht).

Mit der NIS2-Richtlinie und dem NIS2umsuCG wurde eine Vielzahl neuer Definitionen und Begriffsbestimmungen eingeführt. bzw. werden bereits bestehende Definitionen aus dem IT-Sicherheitsgesetz konkretisiert.
(Stand: NIS2-Diskussionspapier 27.09.2023)

Wichtiger Hinweis: Die Übersicht hat keinen Anspruch auf Vollständigkeit und basiert auf teilw. nicht abgestimmten Entwürfen und kann sich laufend ändern. Für die Richtigkeit der Inhalte wird daher keine Haftung übernommen.

Weiterlesen →

Konkretisierung der NIS2-Sektoren (Stand: NIS2-Diskussionspapier 27.09.2023)
– Tabelle aktualisiert um den Anhang des 3. Entwurf des NIS2UmsuCG.

Die alleinige Nennung der 18 im NIS2UmsuCG vorhandenen Sektoren reicht nicht aus, um betroffene Dienste eindeutig zu identifizieren. Das BMI (Bundesministerium des Innern und für Heimat) wird noch eine weitere Rechtsverordnung erlassen, die festlegt, welche Anlagen bzw. Einrichtungen im Detail erfasst sind (§57 NIS2 UmsuCG). Der Annex I und II der NIS2-Richtlinie ermöglicht aber bereits einen recht genauen Ausblick auf die kommende Verordnung. Auch finden sich erste Definitionen im Referentenentwurf des Umsetzungsgesetzes.

Wichtiger Hinweis: Die Übersicht hat keinen Anspruch auf Vollständigkeit und basiert auf teilw. nicht abgestimmten Entwürfen und kann sich laufend ändern. Für die Richtigkeit der Inhalte wird daher keine Haftung übernommen.

Weiterlesen →

Mit dem NIS2UmsuCG wird die deutsche Umsetzung des der NIS2-Richtlinie erfolgen. Hinsichtlich der in der NIS-2 Richtlinie genannten Sektoren ergeben sich einige wichtige Unterschiede.

Die NIS2-Richtlinie kategorisiert Unternehmen in „Essential Entities“ und „Important Entities“. Die deutsche Übersetzung zu diesen Kategorien wird „besonders Wichtig“ (§28 (6)) und „Wichtig“(§28 (7)) lauten.

Die NIS2-Richtlinie soll zu einer Harmonisierung der Cybersicherheitsregulierung in der EU führen. Dazu zählt auch eine Vereinheitlichung der Identifikation der betroffenen Unternehmen. Bei der Umsetzung der ersten NIS-Richtlinie hatten die einzelnen EU-Mitgliedsstaaten relativ viel Handlungsspielraum, bzgl. der Identifikation der zu regulierenden Unternehmen. Beispielsweise erfolgt die bisherige Identifikation in Deutschland anhand der BSI-Kritisverordung (BSI-KritisV), welche mittels Schwellenwertformeln zur Berechnung eines Versorgungsgrads betroffene Unternehmen identifiziert, andere Mitgliedsstaaten haben direkt kritische Unternehmen benannt.

Die Regelungen der NIS2 und des NIS2-Umsetzungsgesetz zur Betreiberidentifikation können verwirrend sein. Zur Hilfestellung haben wir einen Fragebogen entwickelt, der anhand weniger Angaben eine schnelle Ersteinschätzung zur Betroffenheit eines Unternehmens ermöglicht.