Ein offenes Geheimnis hat sich bestätigt: die NIS-2-Richtlinie wird in der Bundesrepublik Deutschland nicht wie geplant zum 17. Oktober 2024 in nationales Recht umgesetzt. Als realistisch gilt derzeit das Frühjahr 2025.
Am 16. Januar 2023 ist die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2) in Kraft getreten. Da es sich um eine Richtlinie handelt, bedarf sie der Umsetzung in nationales Recht. Dies soll in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) geschehen; die von der EU vorgegebene Umsetzungsfrist endet dabei am 17. Oktober 2024. Mit dem NIS2UmsuCG wird der mit dem IT-Sicherheitsgesetz geschaffene Ordnungsrahmen entsprechend der EU-rechtlichen Vorgaben auf den Bereich bestimmter Unternehmen erweitert. Zu den im Gesetzentwurf vorgesehenen Änderungen zählt die Einführung der durch die NIS-2 vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht. Des Weiteren will die Bundesregierung mit dem Gesetzentwurf das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2 vorgegebene Aufsichtsmaßnahmen ausweiten und den Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 der Richtlinie in das BSI-Gesetz übernehmen. Zudem soll unter anderem die bislang einstufige Meldepflicht bei Vorfällen durch das dreistufige Melderegime der NIS-2 ersetzt werden. Auch wenn vieles aus dem Gesetzesentwurf schon bekannt ist, bleiben Details und damit verbindliche Vorgaben der Endfassung des NIS2UmsuCG nach Abschluss des parlamentarischen Verfahrens vorbehalten.
Am Freitag, den 11. Oktober 2024 hat sich daraufhin der Bundestag bei spärlicher Anwesenheit in erster Lesung mit dem Gesetzesentwurf der Bundesregierung (Drucksache 20/13184) befasst. Die Fraktion der CDU/CSU kritisierte erwartungsgemäß, dass die Bundesregierung trotz der sich häufenden Anzahl folgenreicher Cybersicherheitsvorfälle die NIS-2 noch nicht umgesetzt habe; dies belaste die Betreiber kritischer Infrastrukturen und setze die deutsche Infrastruktur unkalkulierbaren Sicherheitsrisiken aus. Bengt Bergt (SPD) hingegen betonte, dass das Gesetzgebungsverfahren laufe:
Mir ist ein gründliches Ampelgesetz allemal lieber als ein vermurkstes Unionsgesetz.
Zugleich räumte er ein, dass zügiges Handeln notwendig sei. Dr. Silke Launert (CDU/CSU) kritisierte insbesondere, dass im Haushaltsplan 2025 für den Schutz der kritischen Infrastruktur lediglich EUR 400.000,– vorgesehen seien. Demgegenüber hat das NIS2UmsuCG weitreichende Auswirkungen auf die Wirtschaft. Für die Wirtschaft erhöht sich der jährliche Erfüllungsaufwand voraussichtlich um rund EUR 2,2 Mrd.; insgesamt entsteht einmaliger Aufwand von voraussichtlich rund EUR 2,1 Mrd., der fast ausschließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen ist. Sehr viel konkreter wurde es allerdings nicht. Die Gesetzesvorlage der Bundesregierung zum NIS2UmsuCG wurde im Anschluss an die erste Lesung zur federführenden Beratung an den Innenausschuss überwiesen werden. Wann die Beratung in den Ausschüssen abgeschlossen ist, steht derzeit nicht fest; als realistisch gilt derzeit, dass das NIS2UmsuCG im Frühjahr 2025 in Kraft tritt.
Wer wissen will, ob ein Unternehmen vom NIS2UmsuCG erfasst wird, kann ab sofort die NIS-2-Betroffenheitsprüfung des BSI durchführen. Basierend auf dem vorliegenden Gesetzesentwurf stellt die Online-Prüfung konkrete, am Gesetzentwurf orientierte Fragen, um ein Unternehmen einzuordnen. Die Fragen sind kurz und präzise gehalten und werden bei Bedarf im Kleingeschriebenen tiefer gehend erläutert. Im Ergebnis erhält man eine automatisierte Ersteinschätzung, ob ein Unternehmen vom NIS2UmsuCG betroffen ist und erläutert, was dieser Status bedeutet und welche Pflichten durch den Gesetzgeber vorgezeichnet sind.