Nachdem Mitte Januar vom Bitkom noch eine Meldung kam, dass die FDP kurzfristig auf einen Beschluss zum NIS2UmsuCG hinwirken möchte, berichtete der Tagesspiegel Background heute, dass die Gespräche dazu gescheitert sind. Das NIS2UmsuCG wird in dieser Legislaturperiode also nicht mehr verabschiedet – genau wie das KRITIS-Dachgesetz.
Laut Tagesspiegel Background geben sich SPD, Grüne und FDP gegenseitig die Schuld für das Scheitern der Gespräche. Es ist bedauerlich, dass sich die Regulierung zur Verbesserung der Informationssicherheit und zum physischen Schutz kritischer Sektoren dadurch weiter verzögert. Die neue Regierung wird den Gesetzgebungsprozess neu starten müssen. Vor Herbst 2025 ist demnach nicht mit einer Umsetzung zu rechnen.
Bemerkenswert ist jedoch, dass die Durchführungsverordnung (DVO (EU) 2024/2690) zur NIS-2-Richtlinie für Anbieter Digitaler Infrastrukturen und Anbieter digitaler Dienste bereits am 7. November 2024 in Kraft getreten ist (wir berichteten). Die Durchführungsverordnung ist keine allgemeine EU-Verordnung, sondern speziell für die genannten Anbietergruppen. Insofern müssen folgende Anbieter bereits jetzt die Anforderungen der DVO erfüllen:
- DNS-Diensteanbieter
- TLD-Namenregister
- Anbieter von Cloud-Computing-Diensten
- Anbieter von Rechenzentrumsdiensten
- Betreiber von Inhaltszustellnetzen
- Anbieter verwalteter Dienste (MSP)
- Anbieter verwalteter Sicherheitsdienste (MSSP)
- Anbieter von Online-Marktplätzen
- Online-Suchmaschinen
- Plattformen für Dienste sozialer Netzwerke
- Vertrauensdiensteanbieter
Einige Regelungen werden jedoch erst mit der nationalen Umsetzung der NIS-2-Richtlinie konkretisiert oder überhaupt erst formuliert. Dafür ist ein Gesetz erforderlich, das erst von der neuen Regierung verabschiedet werden kann.
Dies führt zu einer anhaltenden Unsicherheit. Da bei Nichtbefolgung erhebliche Haftungsrisiken entstehen können, sollten betroffene Unternehmen zeitnah handeln. Insbesondere empfiehlt es sich zu prüfen, inwieweit die detaillierten Anforderungen aus dem Anhang der DVO (hier abrufbar) bereits erfüllt sind und wo gegebenenfalls Nachbesserungen erforderlich sind.
Bei Bedarf unterstützen wir gerne – sowohl im Bereich Compliance bei der Analyse der Betroffenheit und potenzieller Haftungsrisiken als auch im Bereich Informationssicherheit bei der Umsetzung der erforderlichen Maßnahmen.