Die Frist zur Umsetzung der NIS2-Richtlinie für den deutschen Gesetzgeber ist abgelaufen: Eigentlich hätte die EU Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union („NIS2“-Richtlinie) von den Mitgliedsstaaten der EU bis zum 17. Oktober 2024 in nationales Recht überführt werden sollen. In Deutschland ist dies bislang nicht geschehen. Zwar finden die Vorschriften der NIS2-Richtlinie damit weiterhin keine Anwendung auf Unternehmen in Deutschland. Gleichwohl sind Unternehmen gut beraten, sich schon jetzt mit den kommenden gesetzlichen Anforderungen zu beschäftigen. Denn nach Schätzungen des Bundesamtes für Sicherheit in der Informationstechnik betrifft die Gesetzesänderung voraussichtlich ca. 29.500 Unternehmen in Deutschland aus unterschiedlichen Sektoren. Außerdem stehen die wesentlichen Anforderungen bereits fest und es ist unwahrscheinlich, dass der deutsche Gesetzgeber Unternehmen einen großzügigen Umsetzungszeitraum gewährt. Zum anderen wächst die Bedrohungslage im Bereich der IT-Sicherheit zunehmend und der IT-Sicherheit kommt bei Vertragspartnern in Lieferketten und bei Versicherungen immer größere Bedeutung zu.
Aktueller Stand des Gesetzgebungsverfahrens zum NIS2-Gesetzesentwurf
Am 24. Juli 2024 hat das Bundeskabinett den Regierungsentwurf des „NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ (NIS2UmsuCG) beschlossen und Bundesrat und Bundestag zugeleitet. Am 4. November 2024, war der Gesetzentwurf Gegenstand einer öffentlichen Anhörung des Innenausschusses des Bundestags und ist auf erhebliche Kritik gestoßen.
Ein zentraler Kritikpunkt ist das Fehlen einer harmonisierten IT-Sicherheitsstrategie. Die Uneinheitlichkeit der Vorschriften und deren unterschiedliche Umsetzung in den einzelnen Mitgliedstaaten würde eine effektive Reaktion auf Cyberbedrohungen sowie die Umsetzung der gesetzlichen Vorgaben für international agierende Unternehmen erschweren. Außerdem seien die Ausnahmen zu weitreichend: Die Experten fordern, dass die neuen Pflichten nicht nur für Unternehmen, sondern auch für staatliche Behörden gelten sollten. Anderenfalls würde die Glaubwürdigkeit untergraben. Im Übrigen würden betroffene Unternehmen in Deutschland nicht ausreichend informiert werden, während in anderen Ländern die Behörden proaktiv auf ihre Unternehmen zugehen. Auch der Datenschutz komme zu kurz und die Regelungen werden teils sogar als unionsrechtswidrig beurteilt. Das BSI als zentrale Cybersicherheitsbehörde soll hingegen gestärkt und die Stelle eines Chief Information Security Officers für eine einheitliche Koordination geschaffen werden.
Die nächsten Schritte im Gesetzgebungsverfahren
Nach der aktuellen Planung soll der Bundestag das Gesetz am 5./6. Dezember 2024 beschließen. Der Bundesrat soll planmäßig im Februar 2025 über das Gesetz beraten. Das „NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetzes“ (NIS2UmsuCG) würde dann im März 2025 in Kraft treten. Ob es dem Gesetzgeber gelingt, diesen Zeitplan einzuhalten und in welchem Umfang er auf die geäußerte Kritik eingeht, wird sich zeigen. Sicher ist jedoch, dass sich Unternehmen über Kurz oder Lang mit dem neuen IT-Sicherheitsrecht auseinandersetzen müssen und die verbleibende Zeit effizient nutzen sollten.
Für welche Unternehmen das neue IT-Sicherheitsrecht gelten wird und wie man ein entsprechendes Umsetzungsprojekt angehen kann, ist Gegenstand der Onlineveranstaltung „NIS2-Umsetzungsgesetz: Sind Sie vorbereitet?“ am 26.11.2024 von 9.30 bis 10.30 Uhr, diewir gemeinsam mit den Beratungsunternehmen V-Formation und Consileon organisieren. Weitere Informationen zur Veranstaltung und die Anmeldeseite finden Sie unter: https://zirngibl.de/event/webinar-nis2-cyberrichtlinie/.