BMI veröffentlicht neuen NIS-2-Referentenentwurf

Der neue Referentenentwurf des NIS-2-Umsetzungsgesetzes orientiert sich in weiten Teilen am Regierungsentwurf der vorherigen Legislaturperiode – die Umsetzung erfolgt voraussichtlich Anfang 2026.

Mit der NIS-2-Richtlinie werden große Teile der deutschen Wirtschaft zu umfassenden Maßnahmen im Bereich Cybersecurity verpflichtet. Betroffen sind insbesondere Betreiber kritischer Anlagen (KRITIS) und andere Einrichtungen (nach Branche und Unternehmensgröße) sowie einige Sonderfälle und Bundeseinrichtungen. Auf Unternehmen kommen insbesondere Registrierungs-, Melde-, und Risikomanagementpflichten zu. Wer ein ISMS nach ISO 27001 betreibt, deckt bereits große Teile der Anforderungen ab.

Erster NIS-2-Referentenentwurf in der neuen Legislaturperiode veröffentlicht – mit wenig Überraschungen

Das Bundesministerium des Innern (BMI) ist weiterhin federführend bei der Umsetzung der NIS-2-Richtlinie. Nachdem Ende Mai bereits verschiedene Versionen eines neuen Entwurfs geleakt wurden, hat das BMI am 24. Juni einen offiziellen Referentenentwurf veröffentlicht. Verschiedene Fachverbände haben nach Aufforderung des BMI schriftliche Stellungnahmen zum neuen Entwurf abgegeben.

Die Regierungsversion aus der letzten Legislaturperiode wurde in großen Teilen ohne Änderungen übernommen.  Einige spannende Anpassungen gibt es jedoch. Im Geltungsbereich unter § 28 (3) wurde etwa folgender Absatz hinzugefügt:

„Bei der Zuordnung zu einer der Einrichtungsarten nach den Anlagen 1 und 2 können solche Geschäftstätigkeiten unberücksichtigt bleiben, die im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung vernachlässigbar sind.“

Laut Begründung des Gesetzes wird damit „im Einzelfall vermieden, dass eine nur geringfügige Nebentätigkeit zu einer unverhältnismäßigen Identifizierung als wichtige oder besonders wichtige Einrichtung führt“. Der Deutsche Anwaltverein sieht in seiner Stellungnahme in dieser sehr unklaren Formulierung erhebliche rechtliche Unsicherheiten und plädiert für eine Streichung des neuen Absatzes.

In § 56 wurden außerdem Passagen gestrichen, die der Wirtschaft und/oder Wissenschaft ein Mitspracherecht (z. B. bei der Einstufung von erheblichen Sicherheitsvorfällen) eingeräumt hatten.

Schriftliche Stellungnahmen von Verbänden – Expertenkritik aus dem letzten Jahr bleibt überwiegend bestehen

Verschiedene Verbände (u. a. die AG Kritis oder bitkom) haben eine schriftliche Stellungnahme zum neuen Entwurf abgegeben. Im Wesentlichen bleibt die Expertenkritik am letzten Regierungsentwurf bestehen:

• Forderung nach Harmonisierung in der Gesetzgebung
• Vermeidung von doppelten Zuständigkeiten (z. B. BNetzA und BSI)
• Wunsch nach Stärkung des BSI als zentrale Anlaufstelle
• Kritik an weiterhin bestehenden Ausnahmeregelungen für Verwaltungseinrichtungen

Umsetzung voraussichtlich erst 2026

Gemäß übereinstimmenden Medienberichten und Aussagen von Claudia Plattner (Präsidentin des BSI) soll die Umsetzung in deutsches Recht nun Anfang 2026 erfolgen. Der Gesetzentwurf muss noch einige Lesungen im Bundestag überstehen, ehe er verabschiedet werden kann. Nach der parlamentarischen Sommerpause Ende August kann mit den nächsten Schritten gerechnet werden. Damit bleibt Unternehmen, die sich noch nicht umfassend auf die Anforderungen aus der NIS-2-Richtline vorbereitet haben, noch genug Zeit zur Vorbereitung.

ISO/IEC 27001 als Grundlage für NIS-2-Compliance

Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 bietet eine ideale Basis, um die Anforderungen von NIS-2 zu erfüllen. Die ISO/IEC 27001 ist ein internationaler Standard, der die Planung, Implementierung, Überwachung und Verbesserung der Informationssicherheit in Unternehmen systematisch vorantreibt. Die GUTcert bietet als akkreditierte Zertifizierungsstelle nach ISO/IEC 27001 Zertifizierungen von ISMS gemäß ISO/IEC 27001 und KRITIS-Nachweise gemäß § 8a (3) BSIG an.

Das BSI hat einige nützliche Informationen für betroffene Unternehmen bereitgestellt, beispielsweise die Betroffenheitsprüfung oder Hinweise zu Risikomanagementmaßnahmen.

Seminare im Bereich Informationssicherheit

In der GUTcert Akademie bieten wir verschiedene Schulungen zu Themen der Informationssicherheit an. Werden Sie jetzt Informationssicherheitsbeauftragter nach ISO 27001 und sichern Sie die NIS-2-Compliance für ihr Unternehmen ab.

Mit unserer NIS-2-Schulung für Führungskräfte erfüllen Sie die Schulungspflicht für Geschäftsführungen betroffener Unternehmen gemäß § 38 des aktuellen Gesetzentwurfs.

Bei Fragen zum Thema wenden Sie sich gerne an Cedric Sell.