NIS-2-Umsetzungsgesetz in Kraft getreten
Am Nikolaustag wurde das Gesetz zur Umsetzung der europäischen NIS-2-Richtlinie verkündet. Was steckte da im Stiefel?
Lange hat es gedauert, nun ist es endlich da: Das Gesetz zur Umsetzung der NIS-2-Richtlinie. Das Gesetz verpflichtet etwa 30.000 Unternehmen zu umfassenden Maßnahmen im Bereich Cybersicherheit und ist ab sofort ohne Übergangsfristen gültig. Die Einordnung in wichtige und besonders wichtige Einrichtungen erfolgt nach Sektorzugehörigkeit und Unternehmensgröße.
Eine Übersicht der Pflichten für betroffene Unternehmen finden Sie hier. Wer sich unsicher ist, erhält von der BSI-Betroffenheitsprüfung eine erste, wenn auch nicht rechtsverbindliche, Auskunft. Die wichtigsten Änderungen zum Gesetzesentwurf der Bundesregierung finden Sie hier noch einmal zusammengefasst. Das Artikel-Gesetz ändert eine ganze Reihe anderer Gesetze und Verordnungen, unter anderem das BSI-Gesetz (BSIG) und Energiewirtschaftsgesetz, auf die wir im Folgenden kurz eingehen wollen.
Neue Fristen für KRITIS-Betreiber
In §39 des BSIG werden die Nachweispflichten für Betreiber kritischer Anlagen definiert. Statt alle zwei Jahre müssen nun nur noch jedes dritte Jahr Nachweise eingereicht werden. Sonderfall sind Betreiber, deren Einreichungsfrist bis 05.12.2026 ablaufen würde. Hier wurde festgelegt, dass in diesem Zeitraum ein Nachweis nach den bisher geltenden Vorgaben erbracht werden kann.
Für alle laufenden Prüfverfahren bedeutet das: Alles kann wie geplant durchgeführt werden.
Sollten Sie dennoch den Wunsch haben, Ihr Audit zu verschieben, kontaktieren Sie gern Ihre Projektbearbeitenden der GUTcert. Wir bemühen uns, eine gute Lösung für alle Beteiligten zu finden. Bitte beachten Sie jedoch, dass es bei kurzfristigen Verschiebungen ggfs. zu Mehraufwand entsprechend unserer AGBs kommen kann. Weiterhin hat das BSI jederzeit das Recht, neue Anforderungen, wie zuletzt durch die „Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN)“ zum 01.04.2025, an die Prüfung und Nachweisführung zu erlassen. Was sich in den nächsten Jahren verändern wird, ist zum aktuellen Zeitpunkt nicht abzusehen. Als Lesende unseres Newsletters bleiben Sie immer bestens informiert.
Systeme zur Angriffserkennung (SzA) für Netz- und Anlagenbetreiber
Die gesonderte Nachweispflicht für SzA gemäß §11 Absatz 1f und 1e EnWG entfällt, da die Absätze 1a bis 1g gestrichen wurden. Neu ist jedoch die in § 5c Absatz (4) formulierte Anforderung, dass der IT-Sicherheitskatalog der Bundesnetzagentur Vorgaben zum Einsatz von SzA enthalten soll. Die Pflicht zur Umsetzung entfällt also keinesfalls, ist zukünftig nur an anderer Stelle zu finden.
Bis der neue Sicherheitskatalog veröffentlicht wird, können wir aktuell zu Aufwand, Durchführung und Übergangsfristen nur spekulieren. Grundsätzlich ist davon auszugehen, vielleicht auch nur zu hoffen, dass sich Art und Umfang an der bisherigen Prüfung orientieren werden und sich nicht wesentlich ändern. Gewissheit haben wir wohl zu Beginn des neuen Jahres. Aus Beamtenkreisen heißt es, dass der neue Katalog grundsätzlich fertiggestellt sei und vor Veröffentlichung nur noch formal an das NIS-2-Umsetzungsgesetz angepasst werden soll.
NIS-2-Compliance mit unserer Schulung für Geschäftsführungen erfüllen
Gemäß § 38 des neuen BSI-Gesetz sind Geschäftsführungen betroffener Einrichtungen zur regelmäßigen Teilnahme an Schulungen verpflichtet. Das BSI hat hierzu bereits eine Handreichung veröffentlicht. Mit unserer NIS-2-Schulung erfüllen Sie diese Schulungspflicht und sind bestens auf die Umsetzung in Ihrem Unternehmen vorbereitet.
Bei Fragen oder Anmerkungen zur NIS-2-Schulung wenden Sie sich gerne an Cedric Sell.
Bei allen anderen Fragen zum Themenfeld ISMS wenden Sie sich gerne an Tim Stauffenberg.