Umsetzung der NIS-2-Richtlinie

Umsetzung der NIS-2-Richtlinie – es geht weiter

Das Bundesministeriums des Innern und für Heimat (BMI) hat einen vierten Referentenentwurf zum NIS-2-Umsetzungs-und Cybersicherheitsstärkungsgesetz veröffentlicht (NIS2UmsuCG, Bearbeitungsstand: 24.06.2024 16:13).

Was hat sich im Wesentlichen geändert?

Bei der Regulierung von Einrichtungen der Bundesverwaltung haben sich einige Details geändert. Informationssicherheitsbeauftragte der Bundesministerien und -behörden sollen ihre Berichts- und Beratungsaufgaben unabhängig und weisungsfrei erfüllen.
Die Ausnahmen für öffentliche IT-Dienstleister wurden angepasst. Es gibt nun eine Öffnungsklausel, die es den Ländern ermöglicht, eigene Regelungen für öffentliche IT-Dienstleister zu erlassen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kann auch selbst die Öffentlichkeit über erhebliche Sicherheitsvorfälle sensibilisieren, wenn dies erforderlich sein sollte.
Eine „Entschärfung“ gibt es bei der Haftung von Geschäftsleitern: Die Formulierung zur Unabdingbarkeit von Schadenersatzansprüchen entfällt, die Haftung soll sich nach dem jeweils geltenden Gesellschaftsrecht bemessen. Nur sofern es in der jeweiligen Gesellschaftsform dazu keine Regelungen gibt, soll die Bestimmung des NIS2UmsuCG greifen.
Statt „Billigung“ von Risikomanagementmaßnahmen durch Geschäftsleitungen heißt es nun „Umsetzung“. Die neue Formulierung betont die aktive Rolle der Geschäftsleitungen der betroffenen Einrichtungen.
Bei der Ermächtigung zum Erlass von Rechtsverordnungen des BMI für Sicherheitszertifikate, Anerkennungen und das IT-Sicherheitskennzeichen wurde die zuvor enthaltene „Anhörung der Wirtschaftsverbände“ entfernt.
Bei der Festlegung, welche Produkte, Dienste oder Prozesse die durch besonders wichtige oder wichtige Einrichtungen genutzt werden über eine Cybersicherheitszertifizierung verfügen müssen, gab es ebenfalls eine Änderung. Die Anhörung von Vertretern der Wissenschaft, der betroffenen Einrichtungen und der betroffenen Wirtschaftsverbände wurde ersatzlos gestrichen.

Wir haben unsere FAQ zum NIS2UmsuCG aktualisiert, in der wir umfassende Informationen zu den bevorstehenden Änderungen durch die Umsetzung der NIS-2-Richtlinie bereitstellen.

Was passiert als Nächstes?

Am 24.07.2024 wird das Bundeskabinett (vermutlich auf Basis des vierten Referentenentwurfes) über die Umsetzung in Deutschland beraten. Mit einer Umsetzung im Oktober wird laut BMI jedoch nicht mehr gerechnet, man geht hier von einem Inkrafttreten des NIS2UmsuCG im Frühjahr 2025 aus.

Thomas Wennemann | 8. Juli 2024 | Informationssicherheit | BMI, BSI, NIS-2-Richtlinie