NIS-2-Umsetzungsgesetz verabschiedet

Der Bundestag und der Bundesrat haben den Gesetzentwurf der Bundesregierung zur Umsetzung der NIS-2-Richtlinie angenommen.

In einer ca. 30-minutügen Debatte hat der Bundestag am 13. November in der 2. und 3. Lesung den Entwurf zur Umsetzung der NIS-2-Richtlinie angenommen. Der Bundesrat hat dem Gesetzentwurf am 21. November ebenfalls zugestimmt. Mit dem Gesetz setzt Deutschland die Vorgaben zur Erreichung eines einheitlichen Cybersicherheitsniveaus aus der europäischen Richtlinie um.

Das Gesetz verpflichtet etwa 30.000 Unternehmen zu umfassenden Maßnahmen im Bereich Cybersicherheit. Die Einordnung in wichtige und besonders wichtige Einrichtungen erfolgt nach Sektorzugehörigkeit und Unternehmensgröße. Eine Übersicht der Pflichten für betroffene Unternehmen finden Sie hier.

Anpassungen am Gesetzentwurf

Der Bundestag hat in seiner zweiten und dritten Lesung in einer Beschlussempfehlung noch einige Anpassungen am Gesetzentwurf der Bundesregierung beschlossen. Die Änderungen treffen überwiegend Bundesverwaltungen. Nachstehend die wichtigsten Änderungen:

  • Ausnahmeregelung: Im Anwendungsbereich des neuen BSI-Gesetzes (§ 28 Absatz 5 Satz 4) wird die Angabe „vernachlässigbar ist“ durch die Angabe „eine Nebentätigkeit darstellt“ ersetzt. Somit bleibt weiterhin eine Ausnahme bei der Zuordnung zu den wichtigen oder besonders wichtigen Einrichtungen gemäß den Anlagen 1 und 2 möglich, wenn die kritische Geschäftstätigkeit „im Hinblick auf die gesamte Geschäftstätigkeit der Einrichtung eine Nebentätigkeit darstellt“.
  • Ausnahmen für Einrichtungen der Bundesverwaltung gestrichen: Im § 29 wurden die Ausnahmeregelungen für Bundesverwaltungen gestrichen. Somit müssen nun alle Bundesverwaltungen die Risikomanagementmaßnahmen nach § 30 anwenden.
  • Meldung kritischer Komponenten (§ 33): KRITIS-Betreiber müssen die zum Einsatz kommenden Typen von kritischen Komponenten benennen und auch jede Änderung an zum Einsatz kommenden Typen von kritischen Komponenten übermitteln.
  • Untersagung des Einsatzes von kritischen Komponenten (§ 41): Das Bundesinnenministerium kann gegenüber Betreibern kritischer Anlagen den Einsatz von kritischen Komponenten untersagen.
  • Vorgaben für Einrichtungen der Bundesverwaltung (§ 44): Bundesbehörden müssen die IT-Sicherheitsstandards des BSI nun verbindlich umsetzen; der IT-Grundschutz wird erstmals mit Frist bis 1. Januar 2026 modernisierungspflichtig.
  • Amt des Koordinators für Informationssicherheit (§ 48): Konkretisierung der Rolle des Koordinators bzw. der Koordinatorin für Informationssicherheit – diese Rolle übernimmt die Leitung des BSI.
  • Bestimmung kritischer Komponenten durch Rechtsverordnung (§ 56): Das BMI kann kritische Komponenten per Rechtsverordnung bestimmten, ohne Zustimmung des Bundesrates.

Ab wann gilt die NIS-2-Umsetzung?

Auf EU-Ebene gilt die NIS-2-Richtlinie bereits seit Anfang 2023. Die EU-Mitgliedstaaten mussten sie bis zum 17. Oktober 2024 in nationales Recht umsetzen. Deutschland und weitere EU-Staaten konnten diese Frist nicht einhalten, weswegen ein Vertragsverletzungsverfahren der EU-Kommission eingeleitet wurde.

Das NIS-2-Umsetzungsgesetz wurde nun politisch beschlossen. Sobald dieses im Bundesgesetzblatt verkündet wird, ist es ab dem Folgetag für deutsche Unternehmen verbindlich. Mit dem Inkrafttreten wird noch bis Ende 2025 gerechnet.

NIS-2-Compliance mit unserer Schulung für Geschäftsführungen erfüllen

Gemäß § 38 dem neuen BSI-Gesetz sind Geschäftsführungen betroffener Einrichtungen zur regelmäßigen Teilnahme an Schulungen verpflichtet. Das BSI hat hierzu bereits eine Handreichung veröffentlicht. Mit unserer NIS-2-Schulung erfüllen Sie diese Schulungspflicht und sind bestens auf die Umsetzung in Ihrem Unternehmen vorbereitet.

Bei Fragen oder Anmerkungen wenden Sie sich gerne an Cedric Sell.