Am 16. Januar 2023 ist die „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (Network and Information Security Directive - „NIS-2“) in Kraft getreten. Die Mitgliedsstaaten müssen die NIS-2-Richtline bis zum 17. Oktober 2024 in nationales Recht umsetzen.

Die Umsetzung in Deutschland erfolgt durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Seit dem 22. Juli 2024 liegt der verabschiedete Regierungsentwurf vor. Eine Umsetzung bis zum Oktober 2024 war schon damals unwahrscheinlich. Nun ist klar:

Die Umsetzung der NIS-2-Richtlinie kommt nicht, jedenfalls nicht im Oktober 2024!

Der Bundesrat hat am 27. September 2024 zu dem Regierungsentwurf Stellung genommen und fordert zahlreiche Anpassungen und Erweiterungen.

Ein zentrales Anliegen betrifft den Schutz vor Fake-Shops. Um Missbrauch zu verhindern, sollen Registrare von .de-Domains künftig strengere Identitätsprüfungen bei der Registrierung und Übertragung von Domains vornehmen.

Geschäftsleitungen sollen sicherstellen, dass alle Mitarbeiterinnen und Mitarbeiter in sensiblen Bereichen regelmäßig Schulungen zur Cybersicherheit erhalten.

Ein weiteres Anliegen betrifft ein einheitliches Meldeverfahren für Sicherheitsvorfälle. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll Online-Formulare bereitstellen, die eine einfache Meldung von Vorfällen ermöglichen. Diese Meldungen sollen automatisch an die zuständigen Datenschutzbehörden weitergeleitet werden, um gleichzeitig den datenschutzrechtlichen Meldepflichten nachzukommen.

Darüber hinaus fordert der Bundesrat eine Überarbeitung der Kriterien zur Einstufung von kritischen Infrastrukturen. Nach Auffassung des Bundesrates sollen auch kleinere Krankenhäuser als kritisch eingestuft werden, um deren besonderen Schutzbedarf zu berücksichtigen.

Weitere Forderungen des Bundesrates betreffen den Gesundheitsbereich. Der Bundesrat fordert eine finanzielle Unterstützung von Krankenhäusern bei den Kosten für die Umsetzung der IT-Sicherheitsmaßnahmen.

Schließlich regt der Bundesrat an, Musterverträge für IT-Dienstleistungen bereitzustellen oder bestehende Verträge zu erweitern, um klare rechtliche Grundlagen für die Zusammenarbeit mit Dienstleistern zu schaffen.

Über diese Vorschläge wird der Bundestag am 9. Oktober 2024 beschließen.

Die Umsetzung der NIS-2 Richtlinie in nationales, deutsches Recht bis zum Oktober 2024 ist mit diesen Forderungen des Bundesrates vom Tisch. Mit einem Inkrafttreten wird nun im ersten Quartal des nächsten Jahres gerechnet. Diese zeitliche Verschiebung verschafft den betroffenen Unternehmen mehr Zeit für die Umsetzung. Sie sollte allerdings nicht dazu verleiten, in den Umsetzungsbemühungen nachzulassen. Betroffene Unternehmen sind gut beraten, ihre Bemühungen zur Umsetzung der Vorgaben der NIS-2 Richtline weiter voranzutreiben.

Weitere Informationen zu NIS-2-Richtline:

Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union: Richtlinie - 2022/2555 - EN - EUR-Lex (europa.eu)

Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, Bearbeitungsstand 07.05.2024: Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

Referentenentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, Bearbeitungsstand 24.06.2024: Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

Regierungsentwurf NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, Bearbeitungsstand 22.07.2024: Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

Blog-Beitrag zum Stand des Gesetzgebungsverfahrens vom 28. Juni 2024: https://www.schulte-lawyers.com/schulteblog/bmi-nis-2-richtlinie


Thorsten Walter berät nationale und internationale Unternehmen umfassend im Bereich des individuellen und kollektiven Arbeitsrechts, des Datenschutzrechts und angrenzender Rechtsgebiete.