NIS2-Richtlinie: Aktuelle Entwicklungen und Verzögerungen

Ursprünglich sollte die NIS2-Richtlinie am 17. Oktober in Kraft treten. Doch wie so oft bei der Umsetzung umfangreicher Regelwerke scheint sich auch hier eine Verzögerung abzuzeichnen. Referentenentwürfe liegen vor und der Umsetzungsprozess dauert länger als ursprünglich angenommen. Daher hier ein aktualisierter Überblick über die aktuellen Entwicklungen und die Gründe für die Verzögerung.

Die Ziele der NIS2-Richtlinie

Die NIS2-Richtlinie ist eine EU-Richtlinie, die in nationales, d.h. deutsches Recht umgesetzt werden muss. Ziel der Richtlinie ist die Etablierung eines ganzheitlichen Ansatzes zur IT-Sicherheit. Dabei sollen besonders wichtige Einrichtungen in Deutschland dazu angehalten werden, aktiv an ihrer Cybersicherheit zu arbeiten. Bisher wurden nur KRITIS-Betriebe reguliert, mit NIS2 wird der Fokus auf deutlich mehr Einrichtungen gelegt.

Verzögerungen bei der Umsetzung

Die Umsetzung der NIS2-Richtlinie verzögert sich derzeit aus verschiedenen Gründen. Einer der Hauptgründe sind die zahlreichen Referentenentwürfe für die nationale Gesetzgebung, die sich in Details unterscheiden. Referentenentwürfe sind ein wichtiger Schritt im Gesetzgebungsverfahren, insbesondere in Deutschland und anderen europäischen Ländern. Sie stellen den ersten formellen Entwurf eines Gesetzes oder einer Richtlinie dar, der von einem Ministerium oder einer Behörde erarbeitet wird. Diese Entwürfe bilden die Grundlage für die weitere Diskussion und Bearbeitung innerhalb der Regierung und häufig auch mit betroffenen Interessengruppen und Experten. 

Die Diskussionen im Rahmen der NIS2-Richtlinie beziehen sich unter anderem auf die zu regulierenden Sektoren und die Verantwortung des Managements. Zudem müssen sich die verschiedenen Branchenverbände abstimmen, um praktikable Lösungen zu finden. Ein weiterer Faktor ist die parallele Entwicklung anderer Gesetze, wie z.B. das kritische Dachgesetz und das DORA-Gesetz, die ebenfalls Einfluss auf die Regulierung der Cybersicherheit haben. Ziel ist es, diese Regelwerke so zu gestalten, dass sie ineinandergreifen und kein Flickenteppich entsteht.

Die aktuelle Situation und zukünftige Entwicklungen

Der dritte Entwurf des NIS2 Umsetzungs- und Cybersicherheitsstärkungsgesetzes befindet sich derzeit in der Abstimmung mit den Verbänden. Dieser Entwurf enthält einige wichtige Änderungen, die die betroffenen Sektoren betreffen. Eine der wichtigsten Änderungen ist die Umbenennung der Kategorien: Die bisher als "wesentliche und wichtige Einrichtungen" bezeichneten Sektoren werden nun als "besonders wichtige und wichtige Einrichtungen" bezeichnet. Diese neue Einteilung soll die Priorisierung und den Schutz besonders sensibler Bereiche noch deutlicher hervorheben.

Darüber hinaus werden nun auch Betreiber kritischer Anlagen sowie Bundesbehörden in den neuen Entwurf einbezogen. Das bedeutet, dass diese Einrichtungen strengen Sicherheitsanforderungen und Meldepflichten unterliegen, um ihre Cybersicherheit zu gewährleisten. Klassische Kommunalverwaltungen bleiben hingegen vorerst von diesen Regelungen ausgenommen. Ziel dieser Unterscheidung ist es, die Maßnahmen auf die Bereiche mit dem höchsten Risiko und der größten Bedeutung für die nationale Sicherheit und öffentliche Ordnung zu konzentrieren.

Ein weiterer wichtiger Aspekt des neuen Referentenentwurfs ist die Einführung von Registrierungspflichten beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Innerhalb von drei Monaten nach Inkrafttreten des Gesetzes müssen sich betroffene Unternehmen beim BSI registrieren lassen. Die Verantwortung für die Feststellung der Betroffenheit liegt dabei bei den Unternehmen selbst. Dies bedeutet, dass jedes Unternehmen eigenständig prüfen muss, ob es unter die Regelungen des Gesetzes fällt, da keine direkte Benachrichtigung durch den Gesetzgeber erfolgt. Diese Eigenverantwortung erfordert von den Unternehmen ein hohes Maß an Aufmerksamkeit und ein gründliches Verständnis der gesetzlichen Anforderungen, um ihren Verpflichtungen nachzukommen und mögliche Sanktionen zu vermeiden.

Die Rolle des BSI

Das BSI erhält durch die NIS2-Richtlinie erweiterte Kompetenzen und Zuständigkeiten. Als Kontroll- und Umsetzungsinstanz wird das BSI zukünftig eine zentrale Rolle bei der Überwachung und Durchsetzung von IT-Sicherheitsmaßnahmen einnehmen. Insbesondere die Betreiber kritischer Infrastrukturen werden verpflichtet, dem BSI regelmäßig Nachweise über die Einhaltung der Sicherheitsvorgaben zu erbringen. Diese Nachweise sollen sicherstellen, dass höchste Standards in der IT-Sicherheit eingehalten werden.

Bei anderen, nicht als kritisch eingestuften Infrastrukturen behält sich das BSI vor, stichprobenartige Kontrollen durchzuführen. Diese Kontrollen sollen sicherstellen, dass auch in weniger sensiblen Bereichen die notwendigen Sicherheitsmaßnahmen umgesetzt werden. Durch diese Kombination aus Vollüberwachung bei den kritischen Betreibern und Stichproben bei den übrigen Einrichtungen soll ein hohes Sicherheitsniveau im gesamten Bereich der Netze und Informationssysteme erreicht werden.

Unterschiede in der nationalen Umsetzung

Obwohl die EU-Richtlinie einheitliche Regelungen für alle Mitgliedstaaten vorsieht, bleibt ein gewisser Spielraum für nationale Anpassungen. Diese Abweichungen von den EU-Vorgaben sind jedoch nur unter besonderen Umständen zulässig, um sicherzustellen, dass die grundlegenden Ziele der Richtlinie nicht unterlaufen werden.

Das nationale Umsetzungsgesetz integriert bestehende Gesetze wie das BSI-Gesetz und das Energiewirtschaftsgesetz und passt sie entsprechend an. Durch diese Integration soll sichergestellt werden, dass sich die neuen Anforderungen der NIS2-Richtlinie nahtlos in den bestehenden Rechtsrahmen einfügen. Diese Anpassungen sind notwendig, um die Effizienz und Kohärenz der Sicherheitsmaßnahmen unter Berücksichtigung der bestehenden rechtlichen Strukturen und Zuständigkeiten zu gewährleisten.

Herausforderungen und Eigenverantwortung

Unternehmen sollten sich frühzeitig mit den Anforderungen des neuen Regelwerks auseinandersetzen, da nach Inkrafttreten des Gesetzes keine langen Übergangsfristen vorgesehen sind. Zwar wird das BSI den Unternehmen eine gewisse Karenzzeit einräumen, dennoch ist es ratsam, mit der Umsetzung nicht bis zum letzten Moment zu warten. Eine proaktive Herangehensweise an Cybersicherheit ist unerlässlich.

Cybersicherheit sollte als fortlaufender Prozess verstanden werden, ähnlich wie eine Modelleisenbahn, die nie wirklich fertig wird. Ständige Anpassungen und Verbesserungen sind erforderlich, um den sich ständig ändernden Bedrohungen zu begegnen. Unternehmen müssen daher stets wachsam sein und ihre Sicherheitsmaßnahmen regelmäßig überprüfen und anpassen, um die hohen Standards der NIS2-Richtlinie zu erfüllen und ihre Systeme wirksam zu schützen.

Für weitere Informationen über die NIS2-Richtlinie haben wir einige Podcast-Episoden und Whitepaper bereitgestellt.