Expertenkritik am aktuellen NIS-2-Gesetzentwurf
Verschiedene Experten haben sich zum aktuellen Regierungsentwurf des NIS-2-Umsetzungsgesetzes geäußert. Kritisiert werden unter anderem die fehlende Harmonisierung in der Gesetzgebung und die vorgesehene Ausschlussregelung für staatliche Behörden.
Die EU-Richtlinie NIS-2 (zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit) zur Stärkung der Cybersicherheit vom 14. Dezember 2022 sollte mit Frist 17. Oktober 2024 in deutsches Recht umgesetzt werden. Die Frist konnte nicht eingehalten werden. Das NIS2UmsuCG (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) liegt zurzeit (Stand November 2024) im Regierungsentwurf vor. Die erste Lesung im Bundestag fand am 11. Oktober 2024 statt. Das Inkrafttreten ist nun für Ende März 2025 geplant.
Expertenkritik am aktuellen Gesetzentwurf
Am 4. November fand eine öffentliche Anhörung zum NIS-2-Umsetzungsgesetz statt. Außerdem liegen schriftliche Stellungnahmen verschiedener Experten vor. Sachverständige und Experten kritisieren unter anderem die fehlende Harmonisierung bezüglich IT-Sicherheitsmaßnahem in der Gesetzgebung und damit verbunden den fehlenden Bürokratieabbau, Ausnahmeregelungen für öffentliche Verwaltungen oder fehlende Mittel des BSI, das in der Umsetzung eine zentrale Rolle spielen wird.
Fehlende Harmonisierung in der Gesetzgebung
Kritisiert wird eine fehlende vereinheitlichte Systematik des nationalen Cybersicherheitsrechtes. Nach wie vor bestehen unterschiedliche Cybersicherheitsanforderungen, die auf unterschiedliche regulatorische Ebenen verteilt sind. Hier wird beispielsweise der §5 EnWG genannt, der in Verbindung mit dem aktuellen NIS-2-Entwurf zu doppelten Zuständigkeiten für Energieversorger durch die BNetzA und/oder das BSI führen würde. Die Experten fordern daher eine harmonisierte Gestaltung der Gesetzgebung und Stärkung des BSI als zentrale Anlaufstelle für Cybersicherheit, um doppelte Zuständigkeiten zu vermeiden. Insbesondere wird eine Harmonisierung der NIS-2-Anforderungen mit dem KRITIS-Dachgesetz gefordert.
Weiterhin Ausnahmeregelungen für Bundesbehörden
Auf starke Kritik stoßen außerdem die Ausnahmeregelungen, die im aktuellen Gesetzesentwurf für Verwaltungseinrichtungen vorgesehen sind. Im § 29 BSIG-E werden lediglich für Bundesbehörden Cybersicherheitsmaßnahmen gefordert. Diese haben die Regelungen für besonders wichtige Einrichtungen anzuwenden. Nachgeordnete Behörden oder Verwaltungen auf länder- oder kommunaler Ebene sind damit von den Regelungen ausgenommen. BSI-Präsidentin Claudia Plattner spricht in ihrer Stellungnahme von einem massiven Glaubwürdigkeitsproblem, „wenn wir selber nicht bereit sind zu tun, was wir von der Wirtschaft erwarten“.
Die Aufzeichnung der öffentlichen Anhörung sowie die Stellungnahmen zum Gesetzentwurf finden Sie hier.
Webinar zum NIS-2-Umsetzungsgesetz
In unserem Webinar zum NIS-2-Umsetzungsgesetz berichteten wir bereits am 30. Oktober zum aktuellen Stand in der Gesetzgebung, über die für betroffene Unternehmen entstehenden Pflichten und zu treffenden Maßnahmen sowie Umsetzungsstrategien. Am 16.04.2025 informieren wir Sie wieder über den aktuellen Stand. Außerdem halten wir Sie in unserem Newsletter über aktuelle Entwicklungen im Gesetzgebungsverfahren auf dem Laufenden.
ISO/IEC 27001 als Basis zur Erfüllung der NIS-2-Anforderungen
§ 30 (2) des aktuellen Gesetzentwurfs legt in Bezug auf Risikomanagementmaßnahmen die Berücksichtigung europäischer und internationaler Normen nahe. Mit einem ISMS nach ISO/IEC 27001 schaffen Sie für Ihr Unternehmen eine systematische Grundlage, um einen Großteil der NIS-2-Anforderungen zu erfüllen. In unserem kompakten 5-tägigen Seminar lernen Sie, wie Sie ein ISMS nach ISO/IEC 27001 aufbauen, aufrechterhalten und stetig verbessern.
Ansprechpartner
Bei Fragen und Hinweisen wenden Sie sich gerne an das Team der GUTcert Akademie, Tel: +49 30 2332021-211.