Die Umsetzung der NIS2-Richtlinie in Deutschland schreitet weiter voran. Nachdem das Bundesinnenministerium Ende Juni den vierten Entwurf des deutschen Umsetzungsrechtsakts (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz – NIS2UmsuCG) zur Verbandsanhörung vorlegte, wurde dieser am 24. Juli 2024 vom Bundeskabinett angenommen, sodass er nun in das gesetzgeberische Verfahren übergeht.
Mit dem NIS2UmsuCG wird das bisherige Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) umfassend überarbeitet. Das BSIG hat sich in den letzten Jahren von einem Gesetz über die Aufgaben und Befugnisse des BSI zu einem umfassenden Cybersicherheitsgesetz entwickelt. Diese Entwicklung wird durch die Umsetzung der NIS2-Richtlinie fortgesetzt, wobei die über die Jahre entstandene komplexe Regelungsstruktur vereinfacht werden soll.
Wenige punktuelle inhaltliche Veränderungen
Der Regierungsentwurf enthält im Vergleich zum letzten Referentenentwurf nur wenige inhaltliche Änderungen, überwiegend handelt es sich um redaktionelle Anpassungen. Wesentliche Änderungen betreffen die Konkretisierung der Pflichten für regulierte Einrichtungen der Bundesverwaltung (§ 44 BSIG-E).
Betreiber öffentlicher Telekommunikationsnetze oder Erbringer öffentlich zugänglicher Telekommunikationsdienste nach dem Telekommunikationsgesetz (TKG) sowie Betreiber von Energieversorgungsnetzen oder Energieanlagen nach dem Energiewirtschaftsgesetz (EnWG) sind von bestimmten Regelungen des BSIG-E ausgenommen, da für sie spezifische Anforderungen aus ihren jeweiligen Fachgesetzen gelten. Auch das TKG und das EnWG erfahren durch das NIS2UmsuCG diverse Änderungen im Bereich der Cybersicherheit.
Zusätzlich werden im Regierungsentwurf klare Regelungen zur Haftung der Geschäftsleitung für Verstöße gegen Cybersicherheitsvorgaben eingeführt (§ 165 Abs. 2c TKG-neu). Zudem wird das Management dieser Einrichtungen gesetzlich zur regelmäßigen Teilnahme an Schulungen verpflichtet (§ 165 Abs. 2d TKG-neu). Entsprechende Vorgaben gelten auch für alle anderen durch die NIS2-Richtlinie regulierten Einrichtungen.
Neu ist auch, dass das BSI bei festgestellten Mängeln von allen NIS2-regulierten Einrichtungen neben der Umsetzung geeigneter Risikomanagementmaßnahmen die Vorlage eines Mängelbeseitigungsplans oder eines Nachweises über die Mängelbeseitigung verlangen kann (§ 61 Abs. 6 BSIG-E).
Wie geht es weiter?
Die NIS2-Richtlinie verpflichtet die EU-Mitgliedstaaten, ihre Vorgaben bis spätestens 17. Oktober 2024 in nationales Recht zu überführen. Der deutsche Gesetzgeber zeigt mit dem aktuellen Regierungsentwurf, dass er bemüht ist, diese Frist einzuhalten. Experten vermuten jedoch, dass sich das Gesetzgebungsverfahren aufgrund der anstehenden Lesungen im Bundestag und möglichen Vorbehalten des Bundesrats noch verzögern könnte, insbesondere wegen der parlamentarischen Sommerpause.
NIS2-regulierte Unternehmen müssen die neuen Vorgaben erst mit dem endgültigen Inkrafttreten des BSIG erfüllen, auch wenn dies nach dem 17. Oktober 2024 geschehen sollte. Da keine Übergangsfrist vorgesehen ist, sollten betroffene Unternehmen jedoch bereits jetzt prüfen, ob die NIS2-Richtlinie auf sie zutrifft und gegebenenfalls mit der Umsetzung der neuen Pflichten beginnen.
Obwohl einige Verbände, die vom Bundesinnenministerium angehört wurden, Unklarheiten im letzten Referentenentwurf festgestellt haben, sind größere inhaltliche Änderungen im weiteren Gesetzgebungsverfahren nicht zu erwarten. Die Klärung offener Fragen wird daher der Rechtsprechung überlassen bleiben.
NIS2 Anforderungen
Die Merkl IT ist Ihr Partner für die technische NIS2-Umsetzung. Wir sind ein preisgekrönter IT-Dienstleister aus München und seit 2007 spezialisiert auf Managed Services für Unternehmen. Neben Einrichtung & Betrieb von digitalen Arbeitsplätzen sowie Backups bieten wir IT-Sicherheit für Unternehmen als Service.
Gemeinsam mit Partnern beschäftigen wir uns schon lange mit NIS2. Schauen Sie doch mal auf unsere NIS2-Übersichtsseite! Dort erfahren Sie, ob Sie von NIS2 betroffen sind und welche Anforderungen zur NIS2-Compliance von Unternehmen verlangt werden.