Neues zu NIS-2 – wie geht es weiter mit dem NIS-2-Umsetzungsgesetz?

Neue Regierung und erste Sitzungen des Bundestags: Erfahren Sie, wie die Umsetzung der NIS-2-Richtlinie in nationales Recht weitergeht.

Die EU-Richtlinie NIS-2 zur Stärkung der Cybersicherheit vom 14. Dezember 2022 sollte bis zum 17. Oktober 2024 in deutsches Recht umgesetzt werden. Das NIS-2-Umsetzungsgesetz lag bereits im Regierungsentwurf vom 22. Juli 2024 vor. Aufgrund der vorgezogenen Neuwahlen konnte das Gesetzgebungsverfahren jedoch nicht abgeschlossen werden. Die neue Regierung muss nun aufgrund des Diskontinuitätsprinzips (alle Gesetzentwürfe und andere Vorlagen, die vom alten Bundestag noch nicht beschlossen wurden, müssen neu eingebracht und verhandelt werden) einen neuen Entwurf in den Bundestag einbringen.

Mit der NIS-2-Richtlinie werden große Teile der deutschen Wirtschaft zu umfassenden Maßnahmen im Bereich Cybersecurity verpflichtet. Betroffen vom NIS2UmsuCG sind Betreiber kritischer Anlagen (KRITIS) und andere Einrichtungen (nach Branche und Unternehmensgröße) sowie einige Sonderfälle und Bundeseinrichtungen.

Nächster Schritt im Vertragsverletzungsverfahren durch EU-Kommission eingeleitet

Neben Deutschland wurden 22 weitere Mitgliedsstaaten bereits Ende November 2024 von der EU-Kommission schriftlich aufgefordert, die NIS2-Richtlinie vollumfänglich in nationales Recht umzusetzen. Da die Umsetzung der Richtlinie in nationales Recht weiterhin aussteht, hat die EU-Kommission nun Anfang Mai mit Gründen versehene Stellungnahmen an 19 Mitgliedsstaaten (u.a. Deutschland) geschickt und damit den nächsten Schritt in einem Vertragsverletzungsverfahren eingeleitet. Deutschland hat nun zwei Monate Zeit zur vollständigen Umsetzung. Andernfalls kann die EU-Kommission beschließen, den Gerichtshof der Europäischen Union anzurufen.

Hoher Stellenwert bei den Themen Digitalisierung und Cybersecurity in der neuen Bundesregierung

Die neue Regierung zeigt mit der Gründung eines Ministeriums für Digitalisierung und Staatsmodernisierung (BMDS), dass Themen wie Digitalisierung und Cybersecurity einen besonders hohen Stellenwert haben sollen. Das BMDS erhält ressortübegreifende Kompetenzen und soll unter anderem für die Cybersecurity des Bundes zuständig sein. Weitere Details und Einzelheiten müssen noch geklärt werden.

Zeitnahe Umsetzung der NIS-2-Richtlinie unwahrscheinlich

Das Bundesministerium des Inneren (BMI), weiterhin federführend bei der Umsetzung der NIS-2-Richtlinie, wird unter der neuen Regierung von der CSU geführt. CDU und CSU hatten bereits in der letzten Legislaturperiode auf eine rasche Umsetzung gedrängt. Noch ist nicht klar, ob die letzte Regierungsversion (November 2024) in weiten Teilen übernommen wird oder aus parteipolitischen Gründen ein neues Gesetz vorgelegt werden soll. Wie man aus Regierungskreisen hört, soll ein erster Entwurf noch vor der Sommerpause vorgelegt werden. Völlig offen ist dagegen weiterhin, wie lang es dauern wird, bis das Gesetz tatsächlich verabschiedet wird.

Was bedeutet die Verspätung für betroffene Unternehmen?

Ob Sie von NIS-2 betroffen sind, können Sie beispielsweise mit der Betroffenheitsprüfung des BSI herausfinden. Auch wenn sich die NIS-2-Umsetzung in deutsches Recht noch verzögert, sollten sich betroffene Unternehmen bereits jetzt vorbereiten, da das Gesetz unmittelbar am Tag nach der Verkündung in Kraft treten soll (und damit theoretisch alle Anforderungen erfüllt sein müssen).

ISO/IEC 27001 als Grundlage zur Erfüllung der NIS-2-Anforderungen

Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 bietet eine ideale Basis, um die Anforderungen von NIS-2 zu erfüllen. Die ISO/IEC 27001 ist ein internationaler Standard, der die Planung, Implementierung, Überwachung und Verbesserung der Informationssicherheit in Unternehmen systematisch vorantreibt. Die GUTcert bietet als akkreditierte Zertifizierungsstelle nach ISO/IEC 27001 Zertifizierungen von ISMS gemäß ISO/IEC 27001 und KRITIS-Nachweise gemäß §8a (3) BSIG an.

Seminare im Bereich Informationssicherheit

In der GUTcert Akademie bieten wir verschiedene Schulungen zu Themen der Informationssicherheit an. Werden Sie jetzt Informationssicherheitbeauftragter nach ISO 27001 und sichern Sie Ihre NIS-2-Compliance!

Mit unserer NIS-2-Schulung für Führungskräfte erfüllen Sie die Schulungspflicht für Geschäftsführungen betroffener Unternehmen gemäß § 38 des letzten Gesetzentwurfes.

Die GUTcert Akademie ist außerdem anerkannter Weiterbildungsträger für Pflichtschulungen, die ISMS-Auditoren bei Strom-, Gasnetz- und bestimmten Anlagenbetreibern gemäß IT-Sicherheitskatalog bzw. Konformitätsbewertungsprogramm der Bundesnetzagentur (BNetzA) absolvieren müssen. Neben der Vollschulung (5 Tage) werden auch die Aufbauschulung (2 Tage) für Auditoren mit entsprechenden Vorkenntnissen sowie der alle drei Jahre benötigte Refresher angeboten.

Bei Fragen zum Thema wenden Sie sich gerne an Cedric Sell.