Die große Frage ist derzeit, wann tritt NIS-2 in Deutschland in Kraft. Die NIS-2-Richtlinie hätte bis zum 18. Oktober 2024 in nationales Recht überführt werden müssen. Ziel der Richtlinie ist es, ein einheitlich hohes Cybersicherheitsniveau in der EU sicherzustellen. Doch Deutschland hat die gesetzliche Frist verpasst. Die Umsetzung scheitert an politischen Verzögerungen und offenen inhaltlichen Fragen.
Verzögerung der NIS-2-Umsetzung
Das Bundesministerium des Innern und für Heimat (BMI) veröffentlichte bereits im Juli 2023 einen ersten Referentenentwurf zur nationalen Umsetzung von NIS-2. Nach mehreren Überarbeitungen wurde am 7. Mai 2024 der finale Referentenentwurf und am 24. Juli 2024 der Regierungsentwurf veröffentlicht. Trotzdem kam es zu weiteren Verzögerungen.
In Deutschland werden schätzungsweise 30.000 Unternehmen und Institutionen von den neuen Anforderungen betroffen sein – ein deutlicher Anstieg im Vergleich zur bisherigen NIS-Richtlinie. Doch die gesetzliche Umsetzung blieb hinter dem Zeitplan zurück: Der Gesetzentwurf zur NIS-2-Umsetzung (Drucksache 20/13184) wurde am 4. November 2024 in einer öffentlichen Anhörung des Innenausschusses kontrovers diskutiert.
Kritikpunkte am aktuellen NIS-2-Entwurf
Während Sachverständige die Dringlichkeit einer schnellen Umsetzung betonten, gab es erhebliche Kritik an verschiedenen Punkten:
- Ausnahmeregelungen für staatliche Verwaltungen: Diese werden als potenzielle Schwachstelle der Cybersicherheitsstrategie gesehen.
- Verzahnung mit dem KRITIS-Dachgesetz: Experten fordern eine engere Abstimmung, um Rechtsunsicherheiten zu vermeiden.
- Rolle des BSI: Die Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sind noch nicht klar definiert, was zu Unsicherheiten in der praktischen Umsetzung führen könnte.
Doch wann tritt NIS-2 in 2025 in Kraft?
Die NIS-2-Richtlinie ist in der EU bereits in Kraft, doch die nationale Umsetzung in Deutschland verzögert sich erheblich. Unternehmen müssen sich darauf einstellen, dass verbindliche Regelungen voraussichtlich nicht vor Mitte 2025 greifen werden. Bis dahin bleibt unklar, wie sich NIS-2 auf betroffene Branchen auswirken wird.
Ende Januar 2025 scheiterte die NIS-2-Umsetzung erneut. Nach den Bundestagsneuwahlen am 23. Februar 2025 müssen alle noch nicht verabschiedeten Gesetzentwürfe neu eingebracht und beraten werden. Dadurch verzögert sich die endgültige Umsetzung weiter. Eine Verabschiedung des Gesetzes ist frühestens im zweiten Quartal 2025 zu erwarten.
Zusätzlich bleibt unklar, wann die notwendigen Rechtsverordnungen zur Detailregelung von NIS-2 verabschiedet werden. Dies bedeutet für Unternehmen weiterhin Rechtsunsicherheit und fehlende Planungssicherheit.
Handlungsempfehlung der SECURAM Consulting zu NIS-2
Unternehmen sollten sich trotz der Verzögerungen bereits jetzt auf die NIS-2 Anforderungen vorbereiten, insbesondere im Bereich Risikomanagement, Incident Response und Meldepflichten, um nach Inkrafttreten schnell compliant zu sein.Ende Januar 2025 scheiterte die NIS-2-Umsetzung erneut. Nach den Bundestagsneuwahlen am 23. Februar 2025 müssen alle noch nicht verabschiedeten Gesetzentwürfe neu eingebracht und beraten werden. Dadurch verzögert sich die endgültige Umsetzung weiter. Eine Verabschiedung des Gesetzes ist frühestens im zweiten Quartal 2025 zu erwarten.
Zusätzlich bleibt unklar, wann die notwendigen Rechtsverordnungen zur Detailregelung von NIS-2 verabschiedet werden. Dies bedeutet für Unternehmen weiterhin Rechtsunsicherheit und fehlende Planungssicherheit.