NIS2 Verzögerung in Deutschland

NIS2 Verzögerung: Gesetz bleibt hinter Frist zurück

Ein offenes Geheimnis hat sich bestätigt: die NIS2 Verzögerung ist offiziell. Die NIS-2-Richtlinie wird in der Bundesrepublik Deutschland nicht wie geplant zum 17. Oktober 2024 in nationales Recht umgesetzt. Als realistisch gilt derzeit das Frühjahr 2025. Damit wächst der Druck auf Politik und Wirtschaft, rechtzeitig Klarheit über die Umsetzung zu schaffen.

Hintergrund zur NIS2 Verzögerung

Am 16. Januar 2023 ist die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten EU (Network and Information Security 2, kurz: NIS-2 ) in Kraft getreten. Da es sich um eine Richtlinie handelt, bedarf sie der Umsetzung in nationales Recht. Dies soll in Deutschland durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) geschehen. Die von der EU vorgegebene Umsetzungsfrist endet dabei am 17. Oktober 2024. Aufgrund der NIS2 Verzögerung droht Deutschland, diese Frist nicht einzuhalten. Dies könnte auch politische und wirtschaftliche Folgen auf EU-Ebene nach sich ziehen.

NIS2 Verzögerung betrifft neue Einrichtungskategorien

Mit dem NIS2UmsuCG wird der mit dem IT-Sicherheitsgesetz geschaffene Ordnungsrahmen entsprechend der EU-rechtlichen Vorgaben auf den Bereich bestimmter Unternehmen erweitert. Zu den im Gesetzentwurf vorgesehenen Änderungen zählt die Einführung der durch die NIS-2 vorgegebenen Einrichtungskategorien. Diese gehen mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einher.

Des Weiteren will die Bundesregierung mit dem Gesetzentwurf das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2 vorgegebene Aufsichtsmaßnahmen ausweiten. Auch soll der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 der Richtlinie in das BSI-Gesetz übernommen werden. Zudem soll unter anderem die bislang einstufige Meldepflicht bei Vorfällen durch das dreistufige Melderegime der NIS-2 ersetzt werden. Die NIS2 Verzögerung verzögert somit auch die Einführung dieser wichtigen Aufsichtsmaßnahmen.

Politische Diskussion zur NIS2 Verzögerung

Auch wenn vieles aus dem Gesetzesentwurf bereits bekannt ist, bleiben Details und damit verbindliche Vorgaben der Endfassung des NIS2UmsuCG nach Abschluss des parlamentarischen Verfahrens vorbehalten. Am Freitag, den 11. Oktober 2024 hat sich der Bundestag bei spärlicher Anwesenheit in erster Lesung mit dem Gesetzesentwurf der Bundesregierung (Drucksache 20/13184) befasst.

Die Fraktion der CDU/CSU kritisierte erwartungsgemäß, dass die Bundesregierung trotz der sich häufenden Anzahl folgenreicher Cybersicherheitsvorfälle die NIS-2 noch nicht umgesetzt habe. Die NIS2 Verzögerung belaste die Betreiber kritischer Infrastrukturen und setze die deutsche Infrastruktur unkalkulierbaren Sicherheitsrisiken aus. Bengt Bergt (SPD) hingegen betonte, dass das Gesetzgebungsverfahren laufe:

„Mir ist ein gründliches Ampelgesetz allemal lieber als ein vermurkstes Unionsgesetz.“

Finanzielle Folgen der NIS2 Verzögerung

Zugleich räumte er ein, dass zügiges Handeln notwendig sei. Dr. Silke Launert (CDU/CSU) kritisierte insbesondere, dass im Haushaltsplan 2025 für den Schutz der kritischen Infrastruktur lediglich EUR 400.000,– vorgesehen seien. Demgegenüber hat das NIS2UmsuCG weitreichende Auswirkungen auf die Wirtschaft. Für die Wirtschaft erhöht sich der jährliche Erfüllungsaufwand voraussichtlich um rund EUR 2,2 Mrd.; insgesamt entsteht einmaliger Aufwand von voraussichtlich rund EUR 2,1 Mrd., der fast ausschließlich der Kategorie Einführung oder Anpassung digitaler Prozessabläufe zuzuordnen ist.

Sehr viel konkreter wurde es allerdings nicht. Die Gesetzesvorlage der Bundesregierung zum NIS2UmsuCG wurde im Anschluss an die erste Lesung zur federführenden Beratung an den Innenausschuss überwiesen. Wann die Beratung in den Ausschüssen abgeschlossen ist, steht derzeit nicht fest. Die NIS 2 Verzögerung macht ein Inkrafttreten vor Frühjahr 2025 unwahrscheinlich. Dadurch entsteht bei vielen betroffenen Unternehmen Unsicherheit bei der Planung ihrer IT-Sicherheitsmaßnahmen.

Hilfreiches Tool bei NIS2 Verzögerung: BSI-Betroffenheitsprüfung

Wer wissen will, ob ein Unternehmen vom NIS2UmsuCG erfasst wird, kann ab sofort die NIS-2-Betroffenheitsprüfung des BSI durchführen. Basierend auf dem vorliegenden Gesetzesentwurf stellt die Online-Prüfung konkrete, am Gesetzentwurf orientierte Fragen, um ein Unternehmen einzuordnen.

Die Fragen sind kurz und präzise gehalten und werden bei Bedarf im Kleingedruckten erläutert. Im Ergebnis erhält man eine automatisierte Ersteinschätzung, ob ein Unternehmen vom NIS2UmsuCG betroffen ist und was dieser Status bedeutet. Auch hier zeigt sich, dass die NIS2 Verzögerung für betroffene Unternehmen Unsicherheit erzeugt – und den Handlungsdruck deutlich erhöht. Unternehmen sollten die gewonnene Zeit nutzen, um sich umfassend auf die Anforderungen vorzubereiten und bestehende Sicherheitskonzepte rechtzeitig zu aktualisieren.