Ende September hat das Innenministerium den mittlerweile dritten Entwurf des NIS2-Umsetzungsgesetzes veröffentlicht (Bearbeitungsstand 27.09.2023). Diesmal beabsichtigt als „Diskussionspapier Wirtschaftsbezogene Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland“, um den beteiligten Verbänden die Möglichkeit der Stellungnahme zu bieten. Der Entwurf weist einige Änderungen und Erleichterungen für betroffene Unternehmen auf, insbesondere hinsichtlich der Nachweispflichten. Einige Paragraphen des zweiten Entwurfs werden im aktuellen Diskussionsentwurf ausgenommen bzw. sind nicht enthalten. Es handelt sich weiterhin um einen vorläufigen Stand, und zusätzliche Änderungen in den kommenden Monaten sind zu erwarten.

Nachweispflichten: Weniger Unternehmen müssen Nachweise erbringen – Der aktuelle Entwurf sieht keine Nachweispflichten mehr für „besonders wichtige Unternehmen“ vor. Für „lediglich“ wichtige Unternehmen waren diese zuvor bereits nicht vorgesehen. Somit wären nun nur noch Betreiber kritischer Anlagen von einer Nachweispflicht betroffen. Das bedeutet, dass diese weiterhin und voraussichtlich vergleichbar zum aktuellen Verfahren Nachweise durch externe Audits erbringen müssen. Wichtig: Die Umsetzungspflichten bleiben bestehen. Die wegfallende Nachweispflicht entlastet die Unternehmen hinsichtlich zeitlicher Ressourcen und teilweise auch finanziell. Das Budget zur Auditdurchführung kann anderweitig in Sicherheitsmaßnahmen investiert werden. Die geforderten Sicherheitsmaßnahmen müssen jedoch weiterhin umgesetzt werden. Meldepflichten bleiben bestehen, und Bußgelder bei Nichteinhaltung bleiben ebenfalls bestehen.

Ausnahme für die Kategorie „besonders wichtig“: Das BSI kann einzelne Betreiber besonders wichtiger Unternehmen zu Nachweisen verpflichten: „§64 (3) Das Bundesamt kann von besonders wichtigen Einrichtungen Nachweise über die Erfüllung einzelner oder aller Anforderungen nach den §§ 30, 31 und 32 verlangen. […]“.
Anschließend wird noch weiter ausgeführt, dass das BSI bei der Auswahl unter anderem Risikoexposition, Unternehmensgröße und Eintrittswahrscheinlichkeit berücksichtigen soll. Zusätzlich besteht unverändert die Möglichkeit, dass sich das BSI selbst oder durch Dritte die Einhaltung der Maßnahmen überprüft (5) oder gar einen Überwachungsbeauftragten in das Unternehmen entsendet (9). Somit müssen besonders wichtige Unternehmen sich mit einer Nachweispflicht und Überprüfungen auseinandersetzen, wenn auch nur nach Aufforderung oder Ankündigung der Überprüfung.

Nachweiszyklus: Nachweise nur alle 3 Jahre anstatt alle 2 Jahre – Derzeit müssen KRITIS-Betreiber ihre Nachweise alle zwei Jahre erbringen (§8a (3) BSIG). In der Praxis hat dieser Zyklus vielen Betreibern Probleme bereitet. Häufig verfügen diese bereits über eine Zertifizierung des ISMS nach ISO/IEC 27001. Einen passenden Geltungsbereich vorausgesetzt, kann das dafür notwendige Audit als Nachweis genutzt werden (in Teilen) bzw. eine gemeinsame Prüfung für KRITIS und ISO 27001 durchgeführt werden. Der Zyklus der Re-Zertifizierung einer ISO 27001 und vergleichbarer Normen beträgt aber in der Regel 3 Jahre. Eine sinnvolle Synchronisation der Prüfzyklen war somit nicht möglich.

Sektoren und betroffene Unternehmen: Es gibt geringfügige Anpassungen der Definition der Kategorien der Unternehmensgrößen, bzw. werden diese nun übersichtlicher dargestellt (wichtig/besonders wichtig). Inhaltlich ändert sich hier an dieser Definition jedoch nichts. Interessanter wird es dafür im Anhang (Anlage 1,2) des Dokuments. Hier werden nun analog zu den Definitionen des Annex 1 und 2 der zugrundeliegenden NIS2-Richtlinie die „Sektoren mit hoher Kritikalität“ und „sonstige kritische Sektoren“ definiert. Es gibt teilweise Anpassungen hinsichtlich der Bennenung der Sektoren im Vergleich zur NIS2 und einige Sektoren wurden zusammengefasst. Wir haben die Sektorübersicht entsprechend ergänzt.

Anpassungen gab es auch hinsichtlich Ausnahmen für Kreditinstitutionen und Versicherungen. Diese sollten die Anpassungen noch einmal im Detail bewerten.

Weitere Planung / Umsetzungsfristen: Es ist weiterhin von einer finalen Veröffentlichung bis Ende März 2023 auszugehen. Im Oktober 2024 wird das Gesetz dann in Kraft treten.